Masterclass PCI DSS - Des fondations à la maîtrise | Taimur Ijlal | Skillshare
Menu
Recherche

Vitesse de lecture


  • 0.5x
  • 1 x (normale)
  • 1.25x
  • 1.5x
  • 2x

Masterclass PCI DSS - Des fondations à la maîtrise

teacher avatar Taimur Ijlal, Cloud Security expert, teacher, blogger

Regardez ce cours et des milliers d'autres

Bénéficiez d'un accès illimité à tous les cours
Suivez des cours enseignés par des leaders de l'industrie et des professionnels
Explorez divers sujets comme l'illustration, le graphisme, la photographie et bien d'autres

Regardez ce cours et des milliers d'autres

Bénéficiez d'un accès illimité à tous les cours
Suivez des cours enseignés par des leaders de l'industrie et des professionnels
Explorez divers sujets comme l'illustration, le graphisme, la photographie et bien d'autres

Leçons de ce cours

    • 1.

      Introduction

      8:02

    • 2.

      Aperçu du DSS PCI

      6:10

    • 3.

      Structure standard

      3:29

    • 4.

      Processus PCI DSS ( Fondation )

      14:11

    • 5.

      Processus DSS PCI ( Mise en œuvre )

      8:01

    • 6.

      Exigence 1

      4:47

    • 7.

      Exigence 2

      4:43

    • 8.

      Exigence 3

      14:11

    • 9.

      Exigence 4

      3:34

    • 10.

      Exigence 5

      2:55

    • 11.

      Exigence 6

      6:28

    • 12.

      Exigence 7

      2:03

    • 13.

      Exigence 8

      3:30

    • 14.

      Exigence 9

      4:14

    • 15.

      Exigence 10

      2:25

    • 16.

      Exigence 11

      5:10

    • 17.

      Exigence 12

      3:25

    • 18.

      Contrôles de compensation

      2:25

    • 19.

      SAQ et ses types

      8:52

    • 20.

      PCI DSS v4 et les changements clés

      13:18

    • 21.

      Comment se préparer

      2:03

    • 22.

      Chemin en avant

      2:12

  • --
  • Niveau débutant
  • Niveau intermédiaire
  • Niveau avancé
  • Tous niveaux

Généré par la communauté

Le niveau est déterminé par l'opinion majoritaire des apprenants qui ont évalué ce cours. La recommandation de l'enseignant est affichée jusqu'à ce qu'au moins 5 réponses d'apprenants soient collectées.

41

apprenants

--

projet

À propos de ce cours

La norme PCI DSS est considérée comme la norme d'or dans le monde pour la protection des données des titulaires de cartes et a été mise en œuvre par des millions d'organisations à ce jour. Si vous êtes intéressé à maîtriser ce standard à partir de zéro, alors ce cours est fait pour vous ! Ce cours suppose une connaissance zéro de la norme et enseigne les exigences fondamentales et la manière de mettre en œuvre la norme dans n'importe quel environnement.

En outre, le DSS PCI a connu un changement majeur avec la version 4.0 récemment sortie. Ce cours est l'un des premiers cours du marché à couvrir la nouvelle version de PCI DSS v4.0 en détail et les nouvelles exigences qui entreront en vigueur au cours des prochaines années.

Faites le prochain grand pas de votre carrière avec ce cours

Sujets abordés :

· Aperçu du DSS PCI

· Structure de la norme PCI DSS

· Processus DSS PCI de la mise en œuvre à l'audit final

· Quelles sont les 12 exigences du DSS PCI

· Différents types de SAQ

· PCI DSS v4.0 et les changements clés dans la norme

· La voie à suivre pour mettre en œuvre un DSS PCI dans votre environnement

En plus d'un aperçu complet de la norme, vous obtiendrez des conseils pratiques de l'instructeur qui a plus d'une décennie d'implémentation du DSS PCI dans le monde entier.

Rencontrez votre enseignant·e

Teacher Profile Image

Taimur Ijlal

Cloud Security expert, teacher, blogger

Enseignant·e
Level: Beginner

Notes attribuées au cours

Les attentes sont-elles satisfaites ?
    Dépassées !
  • 0%
  • Oui
  • 0%
  • En partie
  • 0%
  • Pas vraiment
  • 0%

Pourquoi s'inscrire à Skillshare ?

Suivez des cours Skillshare Original primés

Chaque cours comprend de courtes leçons et des travaux pratiques

Votre abonnement soutient les enseignants Skillshare

Apprenez, où que vous soyez

Suivez des cours où que vous soyez avec l'application Skillshare. Suivez-les en streaming ou téléchargez-les pour les regarder dans l'avion, dans le métro ou tout autre endroit où vous aimez apprendre.

Transcription

1. 1 - Introduction: Bonjour, bonjour à tous. m'appelle femoris et je suis le créateur de ce cours, discours de bienvenue qui s'appelle les bases PCI DSS à maîtriser. Maintenant, le PCI DSS, c'est l'un des sujets les plus et ce depuis une quinzaine d'années, je crois. Et il restera à faire chaud honnêtement, tant que les transactions de paiement se poursuivront. Donc, si vous souhaitez en savoir plus sur la norme PCI DSS à partir de zéro, ce cours est certainement pour vous Si vous êtes déjà un expert, je veux dire, vous avez une certaine expérience dans la mise en œuvre de PCI DSS, alors c'est toujours pour ce cours, je le recommanderais toujours car sera un excellent récapitulatif pour vous simplement passer en revue certains des concepts de base et d'obtenir des conseils pratiques. Je couvrirai également les nouvelles mises à jour de la norme qui se trouve dans la version 4 de la norme PCI DSS. Et honnêtement, peu importe l'évolution de la technologie, données des titulaires de carte restent l'un des types de données les plus importants et il faudra toujours les protéger. Donc, que vous soyez une petite startup, que vous soyez un Fortune 500, honnêtement, la norme s'applique généralement à vous. Ce cours. Je l'ai spécialement conçu pour aider les gens maîtriser la norme PCI DSS à partir de zéro, d'accord ? Vous n'avez pas besoin d' être un expert en transactions par carte de crédit ou le secteur des paiements, ni même un expert en informatique. Ok. Il est basé sur ma propre expérience de neuf ou dix ans mise en œuvre de PCI DSS. Je l'ai mis en œuvre dans plusieurs normes dans plusieurs zones géographiques. Je connais la norme à fond dans le cours. Cela vous permettra de comprendre et maîtriser la norme PCI, DSS. Et il vous donne toutes les connaissances dont vous avez besoin pour l'implémenter honnêtement dans n' importe quel environnement. Et j'essaie de vous donner des conseils pratiques. Je ne veux pas t'ennuyer et faire en sorte que ce soit comme une mort par PowerPoint. Mais je suis juste en train de lire une diapositive et vous êtes juste comme, je vais essayer de vous donner un, rendre cela aussi pratique que possible. Quelles sont les principales choses que vous devez savoir ? Quelles sont les erreurs que les gens font si géniales, Commençons. Juste un bref aperçu de moi, les gars ne savent pas qui vous enseigne ce cours. Je m'appelle Dan Voltage Law. Ok. J'ai occupé divers postes de direction au cours des 20 dernières années, principalement au Moyen-Orient. Ok. Je vais donc totaliser environ 20 ans et le risque technologique. J'ai été chargé de superviser mise en œuvre de la norme PCI DSS trois ou quatre sites pendant plus de neuf ans. J'ai donc une expérience très diversifiée et PCI, DSS. Ok. Je suis actuellement basé à Londres. Je suis auteur. Oui, j'aime aussi bloguer et je suis également professeur et instructeur, ce que vous pouvez voir ici. Je suis également coach de carrière en cybersécurité. J'essaie généralement d'aider les gens s'ils veulent réussir. Et vraiment ce qu'il a appelé, Allez-y et améliorera leur carrière en cybersécurité. J'ai une chaîne YouTube appelée Cloud is cloud security guy, que vous pouvez consulter. Et je parle généralement questions relatives à la sécurité dans le cloud, à intelligence artificielle et aux conseils en matière de cybersécurité sexospécifique. Hormis la cybersécurité, mon parcours a connu des hauts et des bas. J'ai remporté de nombreux prix dans le secteur et je me suis établi au Moyen-Orient depuis de nombreuses années. J'ai également écrit un livre sur gouvernance de l'intelligence artificielle dans le domaine de la cybersécurité. Et j'ai prévu deux autres livres cette année. J'ai trouvé que c'était un sujet qui n'était pas suffisamment couvert. J'ai donc pensé faire ma part pour sensibiliser autant que possible mon argent à l'industrie. J'ai reçu un visa de talent mondial pour le Royaume-Uni. Et j'aide également les personnes qui demandent l'approbation de technicien britannique. J'ai essayé de les aider dans leurs applications autant que je le pouvais. Ce n'est donc qu'un récapitulatif de qui je suis. Ce que je fais, c'est de comprendre qui enseigne dans ce cours. While et PCI, les gars de DSS. Quelle en est la raison ? Pourquoi devriez-vous, si vous suivez ce cours, évidemment, avoir une raison. Cela fait peut-être partie de votre travail. Ou peut-être que votre entreprise a décidé de le mettre en œuvre en tant qu' exigence réglementaire lorsque vous n'avez pas le choix Tout ce que vous pourriez être condamné à une amende si vous ne le mettez pas tout en œuvre. Ou peut-être qu'une entreprise dit simplement que c' est une bonne norme à mettre en œuvre, que c'est une bonne pratique. Alors allons-y et mettons en œuvre l'une des raisons, d'accord. Mes gars, VR, ce qu'il a appelé le « Moving to a cashless society », non ? Les transactions par carte sont plus en plus courantes. Il peut s'agir de terminaux de point de vente, de caisses enregistreuses, de smartphones, tout est alimenté par des transactions sans espèces. Et protéger ces transactions est très important. Si vous voulez avoir l'impression que si les clients pensent qu'ils ne peuvent pas protéger leurs données, ils traiteront avec vous, ce qui détruira votre entreprise. Je veux dire, si vous êtes un commerçant ou un fournisseur de services, n'est-ce pas ? Et les gens ne veulent pas faire de transactions avec vous, c'est devenu un gros problème. C'est là que la norme PCI DSS entre en jeu et qu'elle s'applique comme une norme commune dans le monde entier pour la protection des données des titulaires de carte. Cette norme, elle restera applicable tant que vous appellerez les personnes qui font des transactions, d'accord ? Et ce sera très important dans un avenir proche. C'est une bonne chose d'avoir sur votre CV, c'est une expérience formidable à avoir. De plus, selon l'industrie, il se peut que vous n'ayez pas le choix. Vous devez être conforme si vous stockez, transmettez ou traitez des données de titulaire de carte, ce que nous verrons. Mais ce sont, comme je l'ai dit, de bonnes raisons de savoir comment implémenter une norme PCI DSS, ce qui est l'une des raisons pour lesquelles j'ai suivi ce cours. Que couvrira ce cours ? Et j'espère que vous comprenez maintenant pourquoi vous devriez noter PCI, DSS, d'accord ? Qu'en est-il de ce cours ? Ou qu'est-ce que cela va t'apprendre ? Il va tout d'abord vous apprendre PCI DSS à partir de zéro. Je ne vais pas lire le standard de la première page jusqu'à la fin. Ok. Personne ne veut ça. Honnêtement, si vous voulez que je lise point par point, ce n'est pas le cours pour vous. Je vais vous faire comprendre l'intention de toutes les exigences. Quelles sont les étapes pratiques pour y parvenir ? Vous n'avez pas besoin de mémoriser le standard. Beaucoup de personnes ont commencé à faire cette erreur. Ok. Ce que je vais faire, c'est expliquer comment fonctionne la norme et quelles sont les meilleures méthodes de mise en œuvre. Je vais m'attarder sur ces 12 exigences, les normes, et nous allons les examiner en détail. Ok ? Je vais te donner des conseils pratiques, d'accord ? En fait, des conseils basés sur des implémentations réelles que j'ai faites. Enfin, la norme est en cours de révision, d'accord ? Les dernières mises à jour pour PCI, DSS pour les points, quels sont les principaux changements dont vous devez être conscient ? Quelles sont les choses auxquelles vous devriez être prêt, peu importe ce que vous pensez devoir commencer à faire maintenant. Parce que les deux mille vingt-quatre vingt-cinq sont très proches. Ça a l'air loin mais ça va venir. Et vous pourriez avoir besoin de faire certaines choses, alors je veux m'assurer que vous êtes prêt pour cela. Ok. À qui s'adresse ce cours ? Que vous soyez un nouvel employé dont connaissances actuelles sont limitées ou un administrateur système expérimenté. Ce cours va vous aider, vous et votre organisation, à vous conformer aux normes PCI, DSS ou aux commentaires. Je l'ai fait, j'ai conçu ce cours comme un guide de référence, abordant les aspects les plus difficiles de la conformité PCI et DSS. Donc, selon votre parcours, votre rôle, l'organisation quitte certaines sections peuvent être plus pertinentes que d'autres, d'accord. Vous pouvez donc être un auditeur informatique qui va auditer son environnement par rapport à la norme PCI DSS. Vous pouvez être comme, je ne sais pas, un QSEN ISAF, personnes qui se préparent aux examens pour PCI, DSS, vous vous y préparez peut-être. Et cet exemple vous donne quelques informations intéressantes à ce sujet. Il y a de bonnes questions de test, des conseils pratiques, tout va bien. Vous êtes peut-être un professionnel de la gestion des risques. Et qui veut comprendre la norme, comment elle, quels sont les risques ? Quelles sont les choses que nous devons mettre en œuvre, d'accord ? Ou vous êtes peut-être un professionnel des affaires. Votre entreprise peut être soulignée pour PCI, DSS, et vous souhaitez comprendre comment les mettre en œuvre. Ce sont donc toutes les choses qui étaient les personnes auxquelles la norme pouvait s'appliquer. Comme un projet de classe guide des informations que vous n' appliquez pas , vous allez les oublier. Ok ? C'est ce que j'ai vécu tout au long de ma vie. Si vous ne mettez pas en œuvre ce que vous apprenez, vous allez l'oublier. Donc, à la fin de ce cours, je veux que vous remplissiez une ville ou nous allons entrer dans les détails sur SAQ pour un commerçant physique ou un commerçant en ligne. Il suffit donc de penser à un hypothétique marchand. Ils acceptent les transactions par carte. Est-ce qu'ils font du commerce électronique ? Et je veux que vous remplissiez et SEQ pour cela ne vous aide pas vraiment à le verrouiller et à vraiment vous faire comprendre comment fonctionne la norme PCI DSS. J'espère donc vous avoir enthousiasmé pour ce cours et quelles sont les choses que je vais vous apprendre ? Et comment allez-vous en apprendre davantage sur la norme PCI DSS ? Commençons, les gars. Merci beaucoup d' avoir suivi ce cours. Et je vous verrai dans la section suivante. 2. 2 - Aperçu du DSS PCI: Ok les gars, Bienvenue, Bienvenue dans le premier module de ce cours, qui est PCI, DSS, et aperçu de la norme. Mais tout d'abord, je veux vous apprendre ce que norme PCI DSS est susceptible ou ne voulez pas vous lancer dans la mise en œuvre des normes et exigences PCI DSS, n'est-ce pas ? Vous ne comprenez pas ce que nous entendons des idées, c'est comme ça que ça fonctionne. Quel est l'intérêt de cette norme, n'est-ce pas ? Nous avons déjà tellement de normes. Par un de plus. Découvrons-en plus sur la norme PCI DSS. À partir de zéro, je recommanderais d'adopter ce modèle même si vous avez déjà de l'expérience dans la mise en œuvre de la norme PCI DSS, car vous aurez une bonne vue d'ensemble et un historique de la norme. Et je vais vous montrer comment la norme est structurée et certaines des erreurs courantes que j'ai vues faire depuis environ dix ans de mise en œuvre de la norme PCI DSS, d'accord ? Ok. Tout d'abord, la norme PCI DSS, d'accord. Elle a été créée en 2006 ou huit par les principales marques de cartes, Visa , MasterCard, American Express, Discovery , JCB, toutes. Pourquoi l'ont-ils fait ? En termes simples, historiquement, qu' arrivait-il avec tous ces jeux de couleurs ? Ils avaient leurs propres normes, ils avaient leurs propres programmes, donc la conformité. Supposons que vous soyez un marchand, non ? Nous voulons embaucher, vous voulez accepter les cartes Visa, d'accord ? Visa avait sa propre norme que vous devez respecter avant de pouvoir le faire, puis Mastercard ne le fait que si vous souhaitez accepter MasterCard. Et simplement avec Amazon, encore une fois avec American Express, je fais un geste. Vous pouvez donc comprendre que c' est devenu un gros problème pour les commerçants et les fournisseurs de services. La quantité de temps et argent mis en œuvre différentes normes. Ok ? Ce qui s'est passé, c'est que toutes les normes se sont réunies et qu'ils vont établir une norme commune. Et cette norme sera applicable aux personnes impliquées dans le secteur des paiements. Cela a éliminé la nécessité de respecter chaque promesse séparément, d'accord ? C'est ainsi que, si vous souhaitez stocker, traiter, transmettre ces données, vous devez mettre en œuvre la norme pour les protéger. Sur la base de milliers et de milliers d' enquêtes sur des marchands qui ont été victimes d'une infraction. Ce qui a été confirmé, que s'ils avaient mis en œuvre correctement distendu. Ok. Comment appelle-t-on qu'ils ont mis en œuvre correctement centré. Cela réduirait considérablement le risque qu'ils soient attaqués ou compromis. Ok, donc la norme est très utile. Est-ce que cela vous rend 100% sûr ? Non, absolument pas. Mais c'est un très bon point de départ. Ok ? Alors, à qui cela s'applique-t-il ? Souvenez-vous essentiellement de ce stockage, traitement ou transmission de toute entreprise qui stocke, traite ou transmet des données de carte de paiement, vous êtes tenu de mettre en œuvre la norme pour empêcher les données des titulaires de carte, OK ? Vous pouvez être un commerçant, un fournisseur de services, une banque, un centre d'appels. Nous pouvons être une entreprise technologique. Peu importe si tu fais ces trois choses. une ou l'autre des trois choses que nous allons aborder. quantité que vous devez mettre en œuvre, c'est là que la différence se produit. Mais soyez assuré que vous entrerez dans le champ d'application. Ok. Alors pourquoi ? Vous pourriez vous demander pourquoi, d'accord. Je suis déjà en sécurité. J'ai mis en place des contrôles et tout ça, etc. Pourquoi dois-je appliquer la norme ? Ok. Quel est le besoin de la norme ? En termes simples, comme si l' on se basait sur le vieux truc selon les criminels vont là où l'argent est bon ? Pareil. À l'ère numérique, les commerçants sont devenus des fournisseurs de services, il devient une nouvelle cible pour les activités frauduleuses. Ok ? Il se peut que ce soit votre caisse enregistreuse, votre point de vente principal. Il peut s'agir d'un panier d'achat, d'un réseau Wi-Fi. Il peut s'agir des PC ou des postes de travail dont vous disposez. Ok ? C'est devenu un sérieux problème parce que les attaquants savent que même une de ces choses peut être compromise. Je pourrais avoir accès à ces données. Je pourrais peut-être commettre une fraude avec ça. C'est pourquoi il est essentiel comprendre ces vulnérabilités. Ils peuvent se produire n'importe où dans l'écosystème de traitement des cartes. Comme je l'ai dit, cela peut se produire dans les appareils mobiles, points de vente, les points d'accès sans fil où les applications d' achat peuvent être transmises et peuvent aller, ce n'est peut-être pas dans la ville sèche de Miami, il peut s'agir d'un fournisseur de services. Cela se trouve peut-être dans votre environnement Cloud. OK, c'est pourquoi le PCI DSS entre en jeu et vous aide vraiment à sécuriser cet environnement, vous fait vraiment comprendre ce que je dois faire. Qu'est-ce que je n'ai pas à faire ? Une autre activité de due diligence que je dois mettre en œuvre. Ok ? Donc, il y a absolument 0 quand il a appelé désavantage dans la mise en œuvre de cette norme. Ok. C'est pourquoi toute technologie, toute entreprise qui était, qui traite et impliquait des transactions de paiement, je recommande toujours de mettre en œuvre une norme PCI DSS. Ok. La chronologie de la norme a donc parcouru un long, très long chemin, honnêtement. Et pourquoi il a été tellement révisé parce que c'est un document évolutif. Il a évolué pour suivre l'évolution du commerce électronique et des cybermenaces les plus sophistiquées. Et honnêtement, comme les technologies ont évolué il y a 10 à 15 ans, le Cloud n'était pas si important. Les transactions sur smartphone ne se produisaient pas autant qu' elles le faisaient , mais pas tant que ça. Ok. Des attaques pour différents utilisateurs qui n'avaient pas de conteneurs similaires dans Cloud et Sowell étant donné que toutes ces choses se sont produites, c'est pourquoi la norme ne cesse de changer. Nous n'avons pas besoin d'aimer ça. Vous n'avez pas besoin de mémoriser l'histoire et c'est juste pour votre référence. Mais sachez simplement qu'il a subi diverses itérations pour se tenir à jour avec les technologies. En 2022, la version 4 a été publiée. Ok ? Et juste pour vous faire comprendre, en 2022, il est apparu, n'est-ce pas ? De plus, elle s'est étendue à l'AMF, l'authentification multifacteur ou leurs rôles et responsabilités. Et de nombreuses nouvelles exigences sont apparues jusqu'en mars 2024. ce moment-là, la PCA, l'ancienne version, qui est 3.20.1, sera retirée et complètement remplacée par 4. Vous avez donc un peu de temps. Et d'ici mars 2025, les nouvelles exigences entreront officiellement en vigueur. Quelques commentaires facultatifs, d'accord. Celles-ci sont basées sur les projections du Conseil des normes de sécurité de la CPA, l'organisme qui maintient la norme. Ils peuvent être sujets à changement, mais la chronologie. C'est pourquoi je continue de recommander ça. Si vous êtes dans le champ d'application de la norme PCI, commencez dès aujourd'hui à examiner les 4 exigences. Ne le remettez pas à plus tard. Ok, c'était donc un aperçu de base de la norme. Dans le module suivant, je vais passer en revue l'architecture vésiculaire, comment la norme est structurée, comment elle fonctionne et comment elle est structurée. Merci les gars, et à bientôt dans le prochain module. 3. 2 - Structure standard: Bon les gars, alors bienvenue dans ce module qui traite de la structure PCI DSS, fonctionnement de la norme. En termes simples, c'est très simple. Il compte six écoles et 12 exigences. Les gens se concentrent généralement davantage sur les 12 ou les commentaires de un à k, nous devons l'implémenter pour devenir conforme à la norme PCI DSS. Vous êtes peut-être dans la portée de certains que je remarque pour les pères. Mais c'est essentiellement ainsi que la norme a été structurée est assez simple. Ce n'est pas si compliqué. Donc, les objectifs, ce sont des exigences communes, honnêtement, certains d'entre eux que vous pourriez regarder et dire, Hey , ok, toutes ces choses que je fais déjà. Mais c'est là tout le but. Parce que ce qui peut vous sembler logique peut ne pas l'être pour d'autres environnements tels que d'autres fournisseurs de services marchands, ils peuvent dire : « Bon, je n'ai pas besoin d' implémenter un pare-feu, je ne J'ai besoin de le faire. C'est ce que dit mon mandat. Quelles sont donc les six catégories de base ? Il s'agit généralement de maintenir et de créer un réseau sécurisé pour les pare-feu ou autres appareils. Vous devez protéger les données des titulaires de carte quel que soit l'endroit où elles sont stockées. Vous devez disposer d'un programme de gestion des vulnérabilités afin garantir la sécurité de vos systèmes. OK. Des problèmes surgissent, tu es au courant ? Nous devrions avoir des mesures de contrôle d'accès solides qu'elles soient physiques ou logiques. Vous devriez surveiller régulièrement votre réseau, d'accord ? Ne présumez pas que votre réseau est sécurisé. s'est peut-être passé quelque chose. Bien entendu, du point de vue de la diligence raisonnable, vous devez avoir un haut niveau de gouvernance par le biais de politiques et de chartes, en vous assurant que la formation est là, que les personnes sont conscientes de leurs exigences. OK. Ce sont donc les objectifs. Les objectifs et les exigences vont passer revue chacun de ces éléments en détail, les gars. Mais juste pour vous donner un niveau élevé d'exigence matière de maintenance d'un pare-feu, vous devez avoir une standardisation. Vous devriez protéger les données des titulaires les sécurisant sur le réseau, les protégeant contre Albert, en mettant à jour vos systèmes. Ce sont les six premiers. Les six prochaines, nous restreignons l'accès, ce soit logiquement ou physiquement, ayant des identifiants uniques, d'accord. Aucun partage de mot de passe, s'il vous plaît Avoir la sécurité physique, journaliser et surveiller ce qui se passe en faisant VN, VN PT, d'accord. Et documentez et évaluez les risques qui se présentent. Donc c'étaient les 12 ou les gars des commentaires. Cela peut sembler trop. Ok, 12 heures qui va mémoriser ça ? Cela m'amène donc à quelques-unes des erreurs courantes que les gens commettent lorsqu'ils mettent en œuvre les exigences. Et je veux m' assurer que tu ne feras pas le même billet pour moi. Ensuite, souvent, certaines des erreurs les plus courantes sont qu'ils essaient de mémoriser le standard. OK. Il n'est pas nécessaire de mémoriser la norme et les exigences du tronc. Personne ne fait ça. Tu n'es pas obligée de faire ça. Vous pouvez simplement comprendre l'intention de la fonctionnalité Commentaire, d'accord ? Et puis quand vous pouvez l'implémenter, tant que vous comprenez ce qu'ils sont essentiellement des commentaires, vous pouvez avoir beaucoup de va-et-vient avec l'auditeur PCI et vous pouvez satisfaire, regardez, Je suis en train d'implémenter la norme, peut-être que XYZ n'est pas implémenté, mais vous avez fait autre chose. Nous examinons cela en détail. Cela m'amène à mon point suivant, qui est une autre erreur commise par les gens est de ne pas s'engager avec le QSR plus tôt. Si vous avez un auditeur PCI disponible, vous devriez engager avec lui dès le début. Dites-leur que je ne fais pas ça pour qu'ils soient au courant. Peut-être que si vous faites des erreurs, vous pouvez les rattraper dès le début. OK. L'audit ne traite pas cela comme si vous essayiez de cacher des choses à l'auditeur engagé avec eux tout de suite. J'espère donc que vous avez compris comment la norme est structurée. Quels sont les objectifs clés, les exigences clés et les erreurs que vous devez éviter. Donc dans le prochain module, nous allons commencer le processus, d'accord ? Le PCI, DSS aussi en tant que processus, n'est pas que vous pouvez simplement commencer à mettre en œuvre les 12 exigences de toute façon. Il y a un processus standard que nous devons suivre et nous allons l'étudier en profondeur. Si vous comprenez que le processus PCI DSS va devenir, je peux vous promettre qu'il deviendra plus facile. Bon, les gars, passons au module suivant. Merci. 4. 3 - Processus DSS PCI ( Fondation ): Bonjour à tous, Bienvenue dans ce module qui traite de PCI DSS, de la compréhension du processus. Une chose que je tiens à mentionner, c'est que beaucoup de personnes commettent des erreurs. Beaucoup d'entreprises commettent l'erreur avoir décidé de mettre en œuvre la norme PCI DSS, ce qu'elles font c'est de sauter, télécharger la norme et commencer à la mettre en œuvre, n'est-ce pas ? Ils disent : « OK, je dois activer l' authentification multifacteur. Je dois renforcer mon serveur, je dois patcher XYZ, etc. Ce n'est pas comme ça que vous voulez démarrer PCI DSS. C'est vous mettre en place. Si vous souhaitez être conforme à la norme PCI DSS, il existe un processus structuré à suivre. Vous ne pouvez pas simplement commencer à mettre en œuvre les exigences immédiatement. Ça ne marchera pas. Vous perdrez beaucoup de temps et serez Willis le Lewis, beaucoup d'argent également. Voyons donc quelle est la meilleure façon de mettre en œuvre PCI, DSS et environnement ? Il y a deux phases. L'une est fondamentale, l'autre est la phase de mise en œuvre. Si vous travaillez dur pendant la phase de base, la phase de mise en œuvre deviendra beaucoup, beaucoup plus facile. La phase de mise en œuvre, mais prend généralement plus de temps, mais elle est beaucoup plus facile car nous avons une direction ferme. Ok, quelles sont les étapes ? Les étapes clés à suivre pour implémenter avec succès la norme PCI DSS dans votre environnement. Bon, commençons. Dans ce module, je vais passer en revue les éléments fondamentaux. Première étape, la plus importante, et parfois elle est ratée. Rassembler, gérer, soutenir la gestion. Vous avez besoin d'un support de gestion pour votre PCI DSS soit efficace. Pci DSS, veuillez le noter très attentivement. Il ne s'agit pas d'un projet informatique. Il traite des personnes, des processus, des technologies opérationnelles qui doivent être testés et protégés. Ce n'est pas le cas, c'est un projet, mais ce n'est pas un projet informatique. Dans de nombreuses entreprises, ce qu'elles font, c'est donner aux équipes informatiques les moyens d'aller de l' avant et de le mettre en œuvre. Tu peux le faire, mais que va-t-il se passer ? Ce sera soit un échec, soit ce sera une activité ponctuelle. Vous serez conforme pendant la première année, deuxième année, le service informatique sera occupé par d'autres choses. J'ai tout oublié. Vous avez donc perdu votre temps et votre argent. Vous devez d'abord changer de culture, nous avons besoin d'un sponsor au niveau de la direction, préférence le PDG ou le PDG ou quelqu'un pourrait avoir la syllabe. Vous avez besoin que ce type envoie un message clair à l' ensemble de l'organisation. Pci, DSS est une priorité et nous allons l' implémenter et nominer des unités de formule XYZ. Ils approuveront le budget parce que cela va vous coûter cher, vous devez mettre en œuvre des choses. Ne présumez pas que tout sera gratuit, mais le soutien de la direction garantit que votre personnel, tout le monde, comprend l'importance de cela. Et tu te faciliteras considérablement la vie plus tard. Pour les grandes entreprises, si vous souhaitez bénéficier d'une conformité continue aux normes PCI et DSS, elles ont besoin d'une culture de collaboration, de communication et d'engagement très forte de la part de la direction exécutive. Merci de ne pas coller cette étape. Désignez un sponsor exécutif qui approuvera le budget et qui le fera, à qui vous enverrez les mises à jour de votre projet. Salut les gars, c'est le statut de la PCI DSS. Faites-en un projet, mais n'en faites pas un projet informatique. Vous pouvez le gérer depuis votre service des risques, quel que soit votre département. Mais n'en faites pas un projet informatique et assurez-vous d'avoir un support de gestion, d'accord ? OK. Deuxième étape. Quelle est la deuxième étape de la phase de fondation ? Il s'agit de comprendre vos responsabilités, mais qu'êtes-vous ? Êtes-vous un commerçant, votre fournisseur de services, UI ou une banque ? OK. Parce que vous avez des processus, des technologies et des objets différents , d'accord ? Vous serez intéressé, je suis sûr que vous saurez que vous êtes en PCI, DSS cope ou pas. Mais vous devez découvrir quel type d'activité vous exercez. Est-ce que le commerce électronique est un point de vente, est-ce de l'externalisation ? Donc, d'habitude, je recommande de faire appel à votre carrière. Il peut s'agir d'une banque, d'un système de cartes comme Visa, MasterCard et demandez-leur, je fais XYZ, que dois-je faire pour devenir conforme à la norme PCI DSS ? Pourquoi est-ce que je dis ça ? Parce que le Conseil de la PCA, disaient-ils là-bas, a mis en place le Conseil des normes PCR en blanc, mais chaque paiement neuf Visa, MasterCard, ils ont leur propre carte. Celles-ci sont en train de le valider. Vous devez donc contacter les marques de paiement ou la banque acquéreuse. OK. Cela vous donnera une idée claire ce qu'il a appelé un ton pour quoi ? Tu dois le faire. Un audit complet, vous devez remplir un questionnaire, soumettre une analyse Esri, ces choses que vous pouvez découvrir sur leurs sites Web ou vous pouvez les contacter eux-mêmes. Je recommanderais de faire les deux pour s'assurer qu' il n'y a pas d'ambiguïté. Et plus tard, vous n'êtes pas surpris par une utilisation comme une comète qui surgit soudainement et dont vous ne vous rendez pas compte. OK. C'est donc le numéro deux. Quel est le numéro tiers ? Troisième partie. Vous avez donc contacté la banque de paiement ou l'acquéreur. Vous découvrez maintenant quelle est votre obligation de conformité. S'agit-il d'un questionnaire d'auto-évaluation ou d'un audit complet ? Désolé. Cq. Le premier, SAQ, est comme une validation du questionnaire Lisa. Ce que tu dois faire c'est le remplir toi-même. Tu n'as pas à demander à quelqu' un d'autre de le faire. Tu peux le faire toi-même. OK. Si vous n'êtes pas tenu de faire un audit complet, vous pouvez simplement remplir un SAQ. Il s'agit d'une série de questions par oui ou par non pour chaque PCI, DSS ou commentaire, il vous suffit de le remplir 111, nous le signons, puis vous le soumettez sous forme de données. C'est l'un des moyens les plus faciles de transmettre un audit PC. OK. C'est donc exactement ce que cela signifie. Il s'agit d'un questionnaire d'auto-évaluation. Vous pouvez le remplir vous-même et il indiquera en gros que c' est ma position actuelle en matière de conformité. Personne ne va le vérifier. Que votre travail et vous devez être véridiques, s'il vous plaît, ne prenez pas cela trop de temps. Vous devez être honnête, mais personne ne va le vérifier, c'est vraiment vous pouvez demander à votre équipe d'audit de s'enregistrer. C'est la première partie. Ou vous pouvez être soumis à un audit complet, c' est-à-dire que le paiement Granville a demandé conformité importante et également une attestation de conformité, qui est un EOC qui est essentiellement un audit complet. Vous devrez contacter votre dissertation Q. Vous devrez vous engager avec l'entreprise, ce qui est comme tous les États-Unis et le Royaume-Uni en discuteront plus tard. Ils font appel à un évaluateur de sécurité qualifié. OK. En gros, ils ont fait l' objet d'un audit PCI DSS. Ils procéderont à un audit complet. Ils viendront évaluer votre environnement et vous diront : « D'accord, c'est satisfaisant et vous donneront un rapport indiquant que automobile civile complète soumise à votre bande de paiement à votre banque. OK. Mais celui-ci est plus difficile, mais je recommande généralement de faire l'audit complet juste pour s'assurer qu'il est toujours préférable de faire venir un tiers pour le vérifier. Ok ? Voici donc les deux obligations de conformité que vous pourriez avoir. OK. Maintenant que nous avons compris que, accord, je dois être conforme à la PCA. Et maintenant, qu'est-ce que je fais ? Une étape très, très clé qui est, s'il vous plaît, ne sautez pas. Il s'agit de définir le champ d'application. De nombreuses organisations ont de l'amidon. Ils ont posé cette question, d'accord, où dois-je mettre en œuvre les idées PCA Si j'ai 12 succursales dans, je ne sais pas, 50 pays et 5 000 employés doivent empêcher les PC ID et chacun des eux ? Non. Donc, comme je l'ai dit, votre champ d'application se situe essentiellement partout où il stocke, traite et transmet l'environnement des données des titulaires de carte. C'est très difficile de mettre en œuvre PCI, DSS. De nombreuses organisations qui ont des difficultés à déterminer quels systèmes sont une idée de portée des NPC et lesquels ne déterminer quels systèmes sont le sont pas. OK. Pour cela, je recommanderais le document de jeu de données. J'essaierai d'y toucher si je le peux, c'est ce qu'on appelle le PCI, DSS scoping et le supplément de segmentation Netflix. OK. Je crois qu'il est sorti en mai 2017. Cela vous donne vraiment des conseils pour identifier quels systèmes doivent être inclus dans le champ d'application, quels systèmes ne le sont pas, et comment vous pouvez réellement réduire votre portée grâce à la segmentation. Les gars très importants, vous devez comprendre votre environnement commercial, en particulier la façon dont les systèmes interagissent avec les données des titulaires de carte. Les données des titulaires de carte sont stockées et nous allons nous occuper de cela. Mais vous devez vraiment vous asseoir avec votre entreprise. Ne vous contentez pas de vous asseoir avec les informaticiens, de vous asseoir avec votre entreprise, car l' ensemble du flux de données des titulaires de carte, vous devez mettre en œuvre vos contrôles en plus de cela. Et ce sont les personnes, les processus et les technologies sur lesquels les exigences de la 12e PCI seront mises en œuvre. Ok, alors quoi, quel conseil à la scoping est un sujet très important va me prendre du temps là-dessus. Qu'est-ce qui entre dans le champ d'application PCS ? Vous devez d'abord répertorier, répertorier et confirmer tous les systèmes connectés qui traitent, stockent ou transmettent les données des titulaires de carte. OK. Il y a quelques conseils le don du conseil met simplement, tout système qui stocke traite les données transmises par les titulaires de carte ou les données sensibles, ou tout système qui se trouve sur le même réseau les possède. C'est assez simple. Je pense que c'est assez logique, non ? Et qu'est-ce qui va bien, en dehors de cela, tous les systèmes qui les fournissent, qui sont connectés à eux, ou leur fournissent de la sécurité. OK. Alors qu'est-ce que ça peut être ? Bon, un système peut être directement connecté à votre caudale et ramifié via la connectivité réseau interne. Ou il peut être connecté indirectement, comme une connexion à un serveur de saut. Ou cela peut avoir un impact sur la sécurité de votre environnement cardinal. Peut-être s'agit-il d'un serveur Web, d'un serveur DNS ou peut-être d'un serveur qui fournit de la sécurité, comme l'époxy de filtrage du trafic réseau. Peut-être qu'il distribue des correctifs, une authentification unique ou peut-être qu'il s'agit d'un pare-feu qui sépare l'environnement en ligne de votre carte des autres environnements. OK. Vos pare-feu sont configurés pour bloquer feux de signalisation qui entreront dans le champ d'application. Ou il prend en charge PCI, DSS ou les commentaires, peut-être le serveur de temps, votre solution SIM. Ok ? Donc, regardez ce diagramme. Ça t'aidera à le découvrir, d'accord ? Et bien sûr, vous pouvez comprendre que cela semble correct, genre de chose gérée, beaucoup de système, la portée. Comment raccourcir la portée de la norme PCI DSS ? D'accord, il y a certaines choses que vous pouvez faire pour réduire la portée de la norme PCI DSS dans votre environnement. Et le plus important, c'est la segmentation. Sans segmentation, votre réseau devient comme un réseau plat. Qu'est-ce que ça veut dire ? Cela signifie que tout se trouve sur le même réseau. OK. Votre environnement caudal, vos systèmes de sécurité, votre carte de pelouse, des systèmes plus anciens qui n'ont rien à voir. Mais vous êtes des données de titulaires de carte. Ils font tous partie du même réseau. Et ce qui se passe, c'est que si l'un des systèmes est compromis, il se peut que votre ordinateur portable soit compromis pour la connexion à Internet. Désormais, l'attaquant peut simplement sauter de ce serveur vers votre environnement caudal. Sans cela, à cause de cet aplatissement, tout sera dans la portée. C'est pourquoi vous devez segmenter votre réseau. Et cela empêche le système hors du champ d'application. Vous allez donc séparer votre environnement non lié au titulaire de carte de votre environnement de titulaire de carte, d'accord ? Et cela empêche ces systèmes de communiquer entre eux. Et même si cet environnement non causal est compromis, parce qu'il ne sera pas aussi sécurisé, cela n'aura aucun impact sur l'environnement de votre titulaire de carte, d'accord ? Même si un attaquant pénètre dans ce document, n'a pas accès à l'environnement du titulaire de la carte. Ok ? C'est pourquoi il difficile pour l'attaquant de migrer depuis le point d'entrée. Peut-être que c'était comme un ordinateur portable ou station de travail pour d'autres systèmes. OK. Donc, généralement, les gens utilisent des pare-feu pour la segmentation ou vous pouvez créer des zones au sein de vos fibres. Et voyons comment cela se passe. Il suffit donc d'une simple intégrale en bleu. C'est à quoi ressemble un réseau de vols typique , les gars. Cela a l'air très institut. Vous avez votre réseau, n'est-ce pas ? Les serveurs, vos Midas, Heterolytic, vos ordinateurs de bureau, vos machines de point de vente. Ils se sont tous connectés à un pare-feu sur le même pare-feu et ils se sont connectés à Internet. Vous pouvez donc voir que c'est comme un cauchemar qui attend d'arriver. L'un d'eux se fait prendre comme une plage par un assaillant. Il peut accéder à peu près à tout ce que vous pouvez sauter de là à l'environnement du titulaire de carte. Ce n'est pas comme ça qu'il faut procéder. Alors qu'est-ce qu'on a à faire, les gars ? Nous créons ce qu'on appelle un réseau segmenté. Nous créons donc un segment dans les zones vertes, à l'intérieur du pare-feu. Et nous le divisons en réseaux plus petits comme réseau Cardano comme un réseau de garde , pas un réseau d'entreprise. Et vous placez des pare-feu ou d'autres appareils entre eux. Cela limite donc leur connectivité. Voici à quoi ressemblera un segment et il ressemblera. Ainsi, même si un environnement est compromis, vous ne pouvez pas passer à l' autre, d'accord ? Parce que vous avez d'autres contrôles, la segmentation peut être délicate, surtout si vous n'avez pas connaissances techniques, d'accord ? Je recommande donc toujours votre équipe réseau de le vérifier. Ils ont juste que votre responsable des risques est le gars de la sécurité. Vérifiez-le, revérifiez toutes vos segmentations. Et vous pouvez, nous allons examiner cela. Comment vérifier si la segmentation est correctement effectuée ? Mais j'espère que vous avez compris pourquoi c'est si important. Et maintenant, vous pouvez voir comment cela va réduire la portée de votre réseau PCI DSS, n'est-ce pas ? Vous aurez dans la portée et hors de portée. Et juste pour être très clair les gars, il est amusant de parler de hors de portée. Nous parlons donc de systèmes. Ils ne sont pas concernés par la norme PCI DSS Vous n'avez donc pas besoin d'y implémenter PCI DSS. Mais alors ils n' auront pas accès à l'environnement caudal. Mais si c'est le cas, alors vous devez implémenter la PCA, d'accord ? Vous devez avoir des contrôles comme je l'ai mentionné, la segmentation et d'autres choses pour les empêcher d' avoir accès. Au sein de la console PCA, ils ont donc donné quelques conseils. Ils disent ces autres choses afin qu' il ne puisse pas traiter les données des titulaires de carte. Il ne peut pas être sur le même réseau, il ne peut pas vous connecter et vous n'aimez tout simplement pas ça. S'il le fait pour être considéré comme hors du champ d'application, il doit satisfaire à toutes ces zones grises et vous devez avoir mis en place des contrôles pour fournir à l'auditeur l' assurance que, par exemple, vous ne pouvez pas simplement Changez ça demain, non ? Vous ne pouvez pas simplement transférer cette métrique sur le même réseau. Vous devez disposer d'autres contrôles tels que des pare-feu, des contrôles d'accès physiques, l'authentification multifacteur, restriction de l'accès administrateur ou la surveillance active de cette métrique pour vous assurer qu'il n'y a pas de réseau connectivité. Ok ? Et d'habitude, les gars, une chose que je recommande, et ce n'est pas populaire. Pourquoi il n'est pas nécessaire d' implémenter PCI, DSS, un otoscope. Mais je recommande toujours que vous puissiez systématiquement implémenter Shade ne pas être audité, mais c'est juste une bonne pratique de sécurité, car le PCI, DSS est une si bonne norme de contrôle, vous devriez l'implémenter sur les réseaux hors champ également. Ok ? Voici donc à quoi cela ressemble, un réseau typique. Ok, c'est ce dont je parlais quand je l'ai mentionné. Vous pouvez donc voir ici, les gars, vous avez un environnement Caligula en haut à droite, vous avez une machine de point de vente, vos systèmes de coordonnées. Il est connecté à des services partagés tels que territoire arctique, le traitement par lots, la journalisation. Il y a un serveur de saut et vous avez un réseau externe, donc il n'y a pas de connectivité entre le CDE la ligne d'entreprise, d'accord. Il existe une connectivité entre les services partagés et cela. Mais vous comprenez qu'il n' y a pas de connectivité directe. S'il y avait une connectivité directe, elle deviendra certainement dans le champ d'application. C'est pourquoi, utilisez-le comme guide de haut niveau sur façon dont vous souhaitez segmenter votre réseau. Bon, c'est de ça que je parlais, de segmentation. C'est comme de l'art. Franchement, cela change en fonction de la taille du réseau, contrôle dont vous disposez, nombre de solutions techniques dont vous disposez, qualité de votre équipe réseau ? Et je vous recommande simplement de contacter votre auditeur avant, lui montrer le diagramme de réseau avant et après la façon dont vous allez segmenter, d'obtenir ses conseils. Ne présumez pas qu'ils ne sont pas là pour vous aider. Ils ne sont pas là pour un audit d'échec. Ils sont là en tant que partenaires. Nous allons vous aider. Alors, tendez-leur la main. Cela vous évitera beaucoup de problèmes plus tard. J'espère que cela vous a été utile et que cela a permis de terminer notre phase de fondation. Passons maintenant à la phase de mise en œuvre. Merci. 5. 3 - Processus DSS PCI (mise en œuvre): Bonjour les gars, Bienvenue dans ce module, qui est la deuxième partie du processus PCI DSS. Nous avons maintenant terminé la partie fondamentale. Je vais parler de la partie mise en œuvre, qui est très importante. Maintenant. Vous avez posé les bases, vous avez posé toutes les bases. Maintenant, le plaisir commence, qui consiste à implémenter norme PCI DSS dans votre environnement. Ok ? Donc, l'une des principales choses que vous ferez si vous ne l'avez pas déjà fait serait d'engager le Royaume-Uni et les États-Unis. En gros, l'évaluateur de sécurité qualifié. C'est une désignation que le conseil de la CPA donne à certaines personnes, alors elles sont définitivement qualifiées pour effectuer maintenant des attente PCI, des services de conseil et des audits. Pour devenir PCR, vous devez répondre à certains recombinants de l"éducation pour réussir une certification et suivre formation appropriée du conseil PCA. Et ensuite tu seras employé par un cabinet de sécurité et d'audit comme moi. Et généralement, ils doivent être certifiés chaque année. Ils ont invité la hiérarchie des États-Unis. Il s'agit d'une tierce partie indépendante créée par des organisations qui souhaitent concourir ici, conformément à la norme DSS. Ok. Et ils veulent s'assurer qu'ils viendront et qu'ils feront l'audit. Ils vous conseilleront sur la façon de devenir conforme à la norme PCI DSS. Au cours de l'audit préalable à la vente, le QSIF déterminera si votre organisation a répondu de manière satisfaisante aux commentaires complémentaires du PCF, The Directory, ou peut-être que vous n'avez pas d'importance, mais vous avez mis d'autres commandes, sont des commandes de compensation. Si cela suffit, il remplira un ROC et un rapport de conformité, ce qui ressemble à un rapport détaillé, et un AUC qui est une attestation de conformité. Vous et lui avez un bateau, je peux l'assigner. Ensuite, vous allez l'envoyer à votre système de paiement ou votre banque pour vérification. En gros, les trois SQS en tant qu'ami ne sont pas là pour vous faire échouer. Tu es déjà Zai pour t'aider. S'il vous fait beaucoup d' observations, croyez-moi, il est dans votre intérêt vous assurer qu' elles soient rectifiées. Ok. Beaucoup de personnes veulent simplement passer un audit PC et en finir avec. Ok. Ils ont l'impression d'avoir fait leur travail. Interagissez avec eux. comprendre quelles sont les exigences et pourquoi il le fait. On le traite comme un partenaire. Ok. Traitez-le comme un partenaire afin d'être en mesure de répondre pleinement aux exigences de la norme PCI DSS. Ok, maintenant tu peux aller au Kiva, disons que tout le travail de base que nous avons fait maintenant tu peux avoir la portée. Vous avez segmenté le réseau. Vous pouvez maintenant commencer à mettre en œuvre les exigences de la norme PCI DSS. Nous allons les examiner en détail dans la section suivante. Je ne vais donc pas perdre trop de temps là-dessus. Fondamentalement, ils sont à la fois opérationnels et techniques. L'accent est toujours mis sur la protection des données des titulaires de carte. Nous avons six catégories et 12 commentaires et je vais entrer dans les détails à ce sujet. Mais le PCL ou le QS disent habituellement entre et il fait un filamentaire comme un audit d'écart. Ok. Et il vous donne vos conclusions. Voilà donc à quoi cela ressemble. C'est la première fois, je peux vous l'assurer. La première fois que tu fais un audit d'écart, tu vas avoir comme si tu allais être très déprimé quand tu verras les résultats. Il y aura beaucoup et beaucoup de découvertes vont arriver parce que peu importe la base que vous avez faite, toutes ces choses que vous ne saviez pas. Vous allez trouver les données des titulaires de carte claires dans les endroits les plus insoupçonnés qui arrivent à tout le monde. Ceci est basé sur ma propre expérience de la PCR au cours des dix dernières années. Ok. Mais il y aura de nombreuses lacunes. Ne vous inquiétez pas, c'est un voyage, pas une destination. Vous allez donc élaborer un plan d'action avec une longue liste d'éléments et commencer à travailler dessus. Ok ? Implémentez une victoire rapide. Il y aura des choses que vous pourrez mettre en œuvre immédiatement. Commencez à travailler dessus et obtenez des mises à jour régulières, le QSEN, puis concentrez-vous sur les plus longues. C'est là que je vous ai dit, souvenez-vous où vous êtes et quel est l'état souhaité. De nombreuses entreprises ont les mots-clés pour le faire. Vous pouvez également le faire vous-même, soit dit en passant, simplement pour vous le faire savoir ou vous pouvez avoir une entreprise complètement indépendante, comme une société distincte des États-Unis. Certaines grandes entreprises, je sais qu'elles ont fait comme ça, d'accord. Également. C'est donc à vous de décider de la façon dont vous le faites. Ok ? Mais comme je l'ai dit, concentrez-vous sur les écrans rapides et vous aurez ensuite ces résultats. Cela va prendre un certain temps. C'est là que le soutien à la gestion, dont j'ai parlé, va aller à NP-Hard. Parce que si le PDG, le PDG est là pour vous aider, croyez-moi, les choses vont bouger. Dans le cas contraire, d'autres ministères ont d'autres priorités. Ils ont d'autres choses dans leur assiette, mais leur travail n'est pas de ne pas faire PCI DSS. Vous obtiendrez beaucoup de soutien si vous vous engagez tôt avec le soutien de la direction . Supposons que tu l'as fait. Tu combles toutes les lacunes. Maintenant quoi ? Maintenant vient la dernière partie, qui est l'audit final. Avant la finale, vous pouvez tester le CQ. Ok. Résolvez tout, entrez et faisons l'audit final avant que cela ne se produise, recueillez votre documentation et vos politiques de sécurité, vos accords de contrôle des modifications, accords de contrôle des modifications rapports d'analyse des diagrammes de réseau, documentation, formation sur et sur. Ok. S'assure que toutes les parties prenantes sont alignées et prêtes. Ne présumez pas qu'ils vont tout laisser tomber et venir à vos réunions parce que généralement le QSEN a besoin de réunions planifiées, réserver tout le monde dans le calendrier, de mettre et de s'assurer qu'ils comprennent l' importance de ce calendrier, les rapports qu'il implique, votre haute direction est également impliquée, et les personnes clés de l'informatique, des applications de sécurité, des ressources humaines, services juridiques, de tous Ces gars-là sont là. Des habitudes comme une sorte d' équipe, vous pouvez créer un groupe de travail pour la CPA et vous pouvez demander aux sociétés de lobby des prêts de faire cela parfois. Les gars, assurez-vous de réserver suffisamment de temps pour corriger les résultats. Si votre date limite de conformité PCI est le 15 mai, n'appelez pas l'auditeur et le 14 mai, ne présumez pas qu' il veut trouver des informations. Vous pourriez trouver quelque chose de complètement inattendu. Avoir une période tampon de deux semaines, un mois, dépend probablement votre environnement pour vous assurer que, juste au cas où des découvertes complètement inattendues se produiraient, vous ayez suffisamment de temps pour y des découvertes complètement inattendues se produiraient, remédier. eux. Maintenant. Félicitations. Vous avez peut-être dit audit. L'auditeur va remplir le rapport sur la conformité ROC ou cette décision de conformité ou vous n'en aurez peut-être pas besoin avec mes chiffres remplissant un questionnaire d'auto-évaluation. Et vous n'aviez pas du tout besoin du QSR. Les rapports sont le mécanisme officiel par lequel vous, en tant que commerçant, prestataire de services ou banque, vous signalez votre conformité PCI à votre institution financière, comme un paiement de marque Visa, MasterCard. Et parfois, vous pouvez avoir besoin de soumettre un rapport SEQ sur la conformité. Parfois, vous pouvez même avoir besoin de soumettre un Stan. Ok. Cela dépend vraiment. Comme je l'ai dit, cela dépend de la façon dont on s'y prend. Parfois, vous pouvez également avoir besoin de soumettre des historiques d' analyse réseau tous les trimestres. Pouvons-nous discuter du décilitre ? Cela dépend vraiment du paiement lorsqu'il est difficile de vous proposer une solution unique pour chaque environnement. Ok ? Ok. Et maintenant, vous passez le PCR que vous l'avez soumis. Quoi maintenant ? Les gars très importants, s'il vous plaît, vous devez implémenter PCA en tant que processus BAU pour vous assurer que contrôles de sécurité continuent d'être correctement mis en œuvre, vous devez le corriger dans vos processus BAU dans le cadre de votre stratégie globale, comme le mettre dans les autres départements, les manuels opérationnels, leur technicien qui a dit ça ? Non, ils savent que c'est quelque chose que tu dois faire. Mettez-la dans votre propre calendrier, les normes que vous devez faire, les avis, ils doivent faire l'annonce. C'est une façon de surveiller l'efficacité de vos contrôles et de la maintenir. Donc même si tu es là, tu n'es pas là, quelqu'un d'autre entre, peut-être que tu es en congé. Tout le monde sait ce qu'il doit faire. Ok ? Vous pouvez donc surveiller vos contrôles de sécurité pour vous assurer et vous assurer que si quelque chose échoue, peut-être qu'un scan passe quart ne passe pas l'autre trimestre. Si vous avez une sorte de calendrier, c'est un excellent mécanisme pour connaître cohérence de la norme PCI DSS si vous passez des analyses tous les trimestres, contrôleurs de disque arrivent à maturité maintenant. Assurez-vous donc que vous l'avez implémenté dans le cadre d'un BAU. Ne l'oubliez pas et puis réveillez-vous, vous devez soudainement faire cette affaire. C'est ainsi que vous implémentez la norme PCI DSS dans votre environnement, les gars, comme je l'ai dit, c'est un processus évolutif. Elle ne cesse de changer, d'évoluer. La première année sera difficile. Le deuxième jour, tu te verras t'améliorer. La troisième année, vous pourriez faire face à d'énormes défis. Continuez à améliorer la portée. Ne gardez que, je pense qu' avec l'auditeur changez régulièrement vos auditeurs. Ne comptez pas sur le même auditeur au cours des dix prochaines années. Ce n'est pas une bonne pratique. Continuez à ajouter de nouvelles choses à votre environnement et vous verrez certainement votre environnement mûrir, cela deviendra plus facile. Et vous commencerez à profiter de l'ensemble du processus pour devenir conforme à la PCA. Ok les gars, donc c'est la fin du processus BCR. Passons maintenant à un examen approfondi la norme et des exigences dont j'ai parlé plus tôt. Je te verrai dans le prochain module. Merci. 6. 4 - Exigence 1: Bonjour à tous. Bienvenue dans ce module dans lequel nous allons approfondir les exigences PCI. Auparavant, nous parlions du processus, de la norme elle-même. Maintenant, ils vont étudier en profondeur chacune des exigences des essais, d'accord ? Comme je l'ai mentionné, je ne vais pas passer en revue chaque ligne de chaque exigence. Personne ne veut manger pour ça. Que vous puissiez vous faire vous-même honnêtement, l'essentiel est de comprendre l'intention sous-tend chaque exigence et essayer de répondre à cela. Le PCA est une norme technique. D'accord. Mais cela vous laisse une grande marge de manœuvre. Commençons donc par le premier commentaire et voyons voir. Et n'oubliez pas que vous pouvez toujours joindre votre cellule. Donc, si vous êtes confus sur une exigence, traitez-le comme un partenaire de sécurité. Bon, commençons par la première exigence qui est l'installation et la maintenance d'un pare-feu. Juste pour résumer, si vous vous souvenez d'un objectif de fibres, le but premier d'un pare-feu. Pourquoi mettez-vous un pare-feu ici ? C'est de filtrer le trafic potentiellement dangereux, est la première ligne de défense. Et le simple fait d'installer un réseau de fibre optique ne le sécurise pas, n'est-ce pas ? Donc, si votre fibre n'est pas configurée et maintenue correctement et que l'efficacité n'est pas sécurisée dans l'état par défaut. En résumé, ce que je veux dire c' est qu'un pare-feu correctement configuré sera la première ligne de défense pour bloquer les accès réseau indésirables. Vous allez vouloir le placer entre votre réseau, vos systèmes et Internet également au sein de votre réseau de titulaires et de vos autres réseaux également. Bon, tu vas avoir besoin de plusieurs fibres. D'habitude c'est comme ça qu'ils font. Et le pare-feu est généralement lorsque vous faites votre segmentation, vous allez également créer vos zones. Donc c'est pour ça que quand l'auditeur arrivera, il va vérifier s'il découvre que vous n'avez pas revu votre pare-feu depuis deux ans, ça va poser problème. S'il constate que votre pare-feu utilise toujours les mots de passe par défaut, comme un accès complet ouvert à Internet. Rien de tout cela vous causera de problèmes. Juste pour récapituler, nous en avons déjà parlé, vous vous souvenez du fonctionnement de la segmentation, n'est-ce pas ? Vos règles et votre nouvel environnement vont donc évoluer au fil du temps. Ça ne va pas être statique. Vous allez donc vous assurer que la segmentation est et qu'elle est revue tous les six mois. Minimum. Au moins tous les six mois, vous devez revoir votre fibre, la conserver sous forme de documentation, y avoir un rapport qui prouve que vous avez effectivement revu le pare-feu. Qui se souvient de ça ? Sinon, l'auditeur n' aura aucun moyen de savoir si vous le faites ou non. Et quelles sont les principales actions. Donc, comme je l'ai déjà mentionné, une erreur courante, une erreur très, très courante que les gens font est de supposer que le pare-feu est comme une technologie plug and play de pompe. Une fois que vous l'avez installé, des efforts supplémentaires sont presque toujours nécessaires pour restreindre l'accès et protéger l'environnement des données des titulaires de carte. L'objectif final du pare-feu est de filtrer trafic Internet potentiellement dangereux et d'autres réseaux non fiables. Donc, si vous travailliez dans le commerce électronique, le pare-feu serait là entre votre Internet et votre environnement dorloté, n'est-ce pas ? Donc vous devez le faire, c'est là que la portée et tout ce travail acharné que nous avons fait avant Cela va entrer en ligne de compte. Vous allez donc vous assurer que toutes ces choses sont là. Tu vas avoir une règle de refus. Vous allez avoir une unité de filtrage de paquets de tuyaux. Chaque fois que vous ouvrez un port, ils doivent retraiter l'unité IK qui s'ouvre vers le haut. Est-ce que cela a été vérifié par les équipes, cela n'a pas été vérifié. Si une seule personne le fait, personne ne le regarde. Ok. N'oubliez pas que vous devez le protéger. Tout trafic entrant et sortant provenant de l'environnement caudal. Vous devez avoir des normes pour vos pare-feu, ce qui est autorisé ce qui ne l'est pas, et vous avez besoin d'une sorte de révision. Évidemment, personne ne va revoir votre pare-feu ou voler personne. Honnêtement, ce n'est même pas possible. Mais généralement, ce que font les gens, c'est qu'ils s'assurent que tout est anodin et francium. Et ce sont des alertes configurées. Et comme, comment appelle-t-on quelqu'un qui le surveille ? Ok. Si vous générez un rapport, je pense qu'il s'agit généralement de trois cent, cinq cents règles qui apparaîtront dans un petit environnement. Ce n'est donc même pas pratique à distance, mais l'auditeur va vérifier l'interface utilisateur pour s'assurer que votre pare-feu n'est pas simplement quelque chose dans lequel vous le mettez une fois et que vous l'oubliez complètement. Ils sont comme des revues qui se produisent, des normes se produisent. Il est en cours de révision, il est surveillé et il est correctement placé. Il va donc regarder où les empreintes digitales, le diagramme du réseau de fibres également. Alors gardez ces choses à l'esprit et le kilomètre de la fibre est assez simple, je pense honnêtement que votre corps appelle un moment de sécurité. C'est drôle. C'est une de ces choses qui devrait être là de toute façon. Mais la différence entre PCA est l'effort qu'ils mettent tant d'accent et les ports, les examens réguliers et votre diligence raisonnable. exécution d'une règle de sécurité suffit pour compromettre votre environnement de pare-feu. Donc tout ce que j'ai ce concept de confiance, mais vérifiez parce que le pare-feu s'assure qu'ils sont configurés pour toute raison et que c'est une perpétuité, le trafic est bloqué. Ok. Assurez-vous d' avoir personnellement des fibres optiques également sur vos ordinateurs portables et vos PC, vos plateformes mobiles. Ok. Il ne s'agit donc pas simplement d' un pare-feu d'entreprise, assurez-vous que la sécurité du pare-feu est appliquée de manière cohérente sur l'ensemble de votre réseau. C'est donc à peu près ça. C'est un identifiant simple ou un commentaire et vous pouvez consulter la norme pour voir quels sont les détails, comme un refus. Et l'une des choses qui devrait se passer, c'est de s'assurer que ces règles sont bien présentes. Vous examinez et surveillez activité de votre pare-feu. 7. 4 - Exigence 2: Bonjour à tous, Bienvenue dans cette exigence. Dans cette exigence, nous allons traiter de la seconde, qui concerne les normes de configuration et, fondamentalement, le renforcement et la standardisation, la standardisation l'environnement de votre titulaire de carte. Si je devais vous dire un mot pour décrire cela, ou deux mots pour décrire cette exigence. Il peut s'agir de paramètres par défaut. Traditionnellement, n'importe quel appareil, votre routeur ou votre pare-feu, votre serveur, il est livré avec certains paramètres non sécurisés par défaut, non ? PCM nous demande donc de nous assurer qu'ils le sont. Ils ne conservent pas leurs paramètres par défaut et sont sécurisés, peu importe ce que vous mettez dans votre environnement Caldwell. Il a été sécurisé par rapport à sa valeur par défaut. Paramètre. Le moyen le plus simple pour un pirate informatique d'accéder à votre réseau interne. passe secs par défaut certifiés ou exploits basés sur les paramètres par défaut, les paramètres logiciels de votre infrastructure de cartes de paiement. Tu ne le croirais pas. J'ai vu de nombreuses fois des marchands ne modifiaient pas les mots de passe par défaut des distributeurs automatiques ou des caisses enregistreuses. C'est comme si vous aviez une boutique et que vous l'aviez laissée déverrouillée la nuit. Ok ? Donc, la plupart du temps il s'agit de mots de passe et de paramètres par défaut pour les appareils réseau. Ils sont largement connus sur Internet. Ces informations ont été fournies avec certains outils disponibles très gratuitement. Ils peuvent donner très facilement aux attaquants un accès non autorisé à votre environnement. Vous pouvez le sécuriser autant que vous le souhaitez. Vous pouvez mettre autant de followers que vous le souhaitez. Mais si vous le faites, je n'ai pas mis en place ces paramètres par défaut lorsque vous avez laissé la fenêtre ouverte. Vous avez verrouillé la porte, mais vous avez laissé la fenêtre ouverte. Quels en sont donc les points clés ? Comment s'assurer que les mots de passe par défaut des différents paramètres sont renforcés lors de l'installation ? Utilisez-vous ce mot de passe par défaut, 123 MVC, vous savez, les mots de passe standard. Y a-t-il un processus actuel l'auditeur va examiner ? Y a-t-il quelque chose avec lequel vous pouvez durcir votre E/S standard en tombant dans une certaine norme ? OK. Savez-vous que tous les systèmes qui ont comme un inventaire, comme un moyen automatisé de savoir combien de Sudistes y a-t-il ? Et si vous avez comme ça, vous êtes censé avoir 50 serveurs, mais nous avons en fait 100 serveurs et les 50 restants, ils ne sont en fait pas sécurisés. Comment le saurais-tu ? OK. Sur la valeur actuelle des normes en baisse toutes les normes de l'industrie Ce sont donc les choses que vous devez garder à l'esprit. Quelles sont les principales mesures à prendre ? La cohérence est l' essentiel ici. Si vous retirez quelque chose de cette norme, c' est de la cohérence. Donc une fois que vous n'avez pas de serveur et que vous le créez, vous devez le rendre facile en supposant que vous avez créé un standard de harding, non ? Vous dites que je vais suivre l'indice de référence de la CEI. Ok ? Vous devez appliquer à tous les environnements et au client de manière cohérente. Donc, une fois que vous avez configuré le système et que vous vous êtes assuré que tout est là. Tu as d' autres choses à faire, non ? Vous devez vous assurer que cet inventaire est à jour. Il s'agit en fait d'une cartographie de l'environnement. plupart du temps, les gens utilisent une sorte de système automatisé. Personne ne va le faire manuellement. Ok ? De cette façon, s'il existe un système, système dans l'environnement caudal qui n'est pas approuvé pour une utilisation. On peut le découvrir, attends. J'utilise généralement une sorte de logiciel de gestion de système pour m'aider à obtenir cet inventaire. Ils peuvent établir des rapports sur le matériel utilisé ou sur les logiciels qui s'y trouvent. Et comme de nouveaux appareils sont achetés en ligne, ils peuvent appliquer les normes, d'accord. L'administrateur recevra une alerte si votre système n'est pas conforme à votre norme interne. D'habitude, j'ai souvent vu une entreprise utiliser des outils. OK. Vous devez donc disposer d'un moyen sécurisé de gérer l'environnement et d' inventorier tout, tout le matériel et les logiciels normes de configuration documentées. Vous n'avez pas besoin de les créer à partir de zéro, d'utiliser quelque chose comme le benchmark CIS, d'accord ? Et vous devez disposer d' un moyen sécurisé accéder à vos systèmes. S'assure que tout ce qui est par défaut est supprimé. Comment fais-tu ça ? Il existe de nombreux outils disponibles, d'accord. D'habitude, ça ressemble à ça. OK. Donc, si vous installez un serveur, un pare-feu ou un appareil dans n'importe quelle ville ou État, votre équipe va procéder à un renforcement. Ils vont faire quelques scans. Ils vont examiner le rapport. Ça va leur dire, OK. Il n'est pas durci selon l'indice de référence de la CEI. Ce mot de passe est là, ces choses sont là. Toutes ces choses sont que les paramètres de mot de passe ne sont pas là. Vous savez, la complexité des paramètres de mot de passe de base et toutes ces choses. Ce n'est pas là que l' administrateur va faire le travail et il va le durcir. Comment appliquez-vous cela de manière cohérente ? Habituellement, les gens utilisent quelque chose comme une image dorée ou ils ont une sorte de script, tout bascule. Et en plus de cela, ils ont un scan qui se produit régulièrement. Cette analyse est en cours et vérifie toute non-conformité. Vous devez donc disposer de ces outils dans votre environnement. L'auditeur va examiner cela et s'assurer de découvrir s'il y a des écarts par rapport à vos normes, accord, vous devriez avoir un processus pour y remédier. Donc, assurez-vous que ces éléments sont, disent-ils simplement, rappelez-vous simplement qu'il n'y a pas de paramètres par défaut ou de renforcement et de normalisation et un processus de surveillance soit là pour s'assurer que tout est standardisé dans l'environnement de votre titulaire de carte. D'accord, je pense que c' est assez simple. Je suis sûr que vous pensez que c'est déjà là. Eh bien, s'il existe déjà, formalisez-le et examinez les exigences s'il y a quelque chose que vous n'êtes pas significatif. OK. Merci les gars. Je te vois dans la prochaine vidéo. 8. 4 - Exigence 3: Bonjour à tous, Bienvenue dans ce module. Maintenant, c'est probablement l'exigence la plus importante pour PCI DSS. Souvent, quand les gens parlent de PCI DSS, ils parlent de cette exigence particulière uniquement parce que capture en gros ce que PCI DSS est n. C'est l'une de ces choses uniques que possède PCI DSS. Ok. Je parle de la protection des données des titulaires de carte. Je ne me souviens pas de ce que je t'ai dit tout à l'heure à propos de ne pas mémoriser les exigences Cela ne s'applique pas à celui-ci. Vous devez absolument connaître cette exigence à fond car c'est là l'auditeur va se concentrer le plus. Ok. C'est là que si vous des bêtises et que vous ne le suivez pas correctement, vous risquez d' échouer à l'audit. C'est donc très, très important. Donc, lorsque nous parlons de données de titulaires de carte, nous parlons essentiellement toute information imprimée, transmise ou stockée sur une carte de paiement, d'accord ? Si vous aimez accepter les cartes de paiement et que vous êtes censé protéger ces données, qu' elles soient imprimées ou stockées dans une base de données ou un réseau public interne, ou peut-être dans un cloud. Ainsi, les parties essentielles savent où vous stockez ces données et ce dont vous n'avez pas besoin pour ne pas les stocker. Et trouvez un moyen de savoir où vous stockez ces données. Vous ne voulez pas que l' auditeur le trouve. Tu veux le découvrir toi-même, d'accord ? Voilà donc les choses. PCI, DSS est donc très, très clair sur ce que vous pouvez et ne pouvez pas stocker. Et vous devez savoir ce que vous stockez, où vous le stockez, comment vous le stockez pour vous assurer que vous respectez les normes PCI DSS. Alors, juste pour regarder, quand tu parles de carnaval, des éléments, de quoi parle-t-on ? Il y a quelque chose qui s'appelle le numéro de compte, le numéro du titulaire de la carte, en gros le numéro du titulaire de la carte, en gros le pan que nous appellerons, c' est un numéro à 16 chiffres. Nous avons des éléments tels que le nom du titulaire de la carte, la date d'expiration, le code de service. Au verso, vous devez suivre les données, les données la bande magnétique et vous avez le code CVD que vous pouvez utiliser pour les transactions de commerce électronique. En gros, lorsque vous stockez ces données, elles doivent être protégées. Ensuite, vous le stockez affichait ces données. Il doit être protégé lorsque vous imprimez le Delta, il doit être protégé. Le problème survient généralement lorsque les gens, sans le savoir, finissent par déformer et ne pas protéger ces données, ce qui est à l'origine de la grande majorité des problèmes. Alors, qu'est-ce que PECSA et voyez ce qui doit être stocké ? Ok ? Tout d'abord, il divise les données en deux éléments, d'accord ? Vous parlez de données de titulaires de carte et de données d'authentification sensibles. Ok. Donc, votre plan, vous êtes le code du service d'exploration du nom du titulaire de carte, c' est-à-dire les données du titulaire de carte. Vous pouvez le stocker, mais vous devez le protéger. Et l'autre, qui est constituée de données d'authentification sensibles comme les données, le code CVD, le code PIN et le bloc PIN, le code PIN que vous entrez lorsque vous effectuez une transaction qui est données d'authentification sensibles ou SAD, ne les stockez pas. Si ce n'est pas le cas, vous n'avez pas à le stocker une fois la transaction autorisée. Ok. Ensuite, la grande majorité des fois, ces gros compromis qui se sont produits, personnes malveillantes, ils peuvent, ils découvrent que ces données sont stockées et ils les utilisent pour reproduire votre carte et effectuer une transactions frauduleuses. Le code CPP est que vous remarquez que le code à trois chiffres que vous utilisez pour les transactions électroniques par carte ne présente pas les transactions. Le bloc de broches est donc bien entendu la broche que vous utilisez. Ça devient un bloc d'épingles. Il est crypté. Mais même si, même s'il est crypté, vous ne pouvez pas le stocker, les gars, juste pour vous en souvenir, je pense que vous pouvez stocker des choses si c'est une production. Donc je pense que tu ne peux pas stocker, d'accord ? Et c'est la principale chose que vous devez garder à l'esprit si vous stockez le nom Guardiola et comment vous appelez si vous stockez la casserole, vous devez la crypter. Ou peut-être que si vous le montrez , vous devez faire autre chose. Donc je vais, ce que je vais faire c'est parce qu'ils ont très nombreuses façons de le faire. Comment appelle-t-on la protéger ? Ensuite, vous le stockez lorsque vous le montrez, lorsque vous l'imprimez. Je veux y aller un par un. Quelles sont les étapes que l'ACP vous indique ? Donc, tout d'abord, c'est le masquage ou ce qui masque les vidéos généralement lorsque vous les affichez sur écrans ou des reçus d'impressions. Il ne faut pas le confondre avec les autres exigences comme le stockage, d'accord ? Ainsi, lorsque vous l' affichez à l'écran, lorsque vous êtes vertical et que cette personne n' a pas besoin de le voir. Ok ? Donc, ce que vous pouvez faire, c'est que vous pouvez masquer le pan, en gros, vous pouvez utiliser les numéros de carte XXX. À part ça, tu obtiens le maximum. Vous pouvez nous montrer les six premiers et les quatre derniers. Tout le reste, vous pouvez simplement masquer. Vous pouvez donc voir que c' est le réservoir de stockage. Quand il est partagé à l'écran, vous pouvez complètement mascotte, d' vous pouvez complètement mascotte, accord, nous ne parlons pas de la façon dont les données sont stockées. Nous parlons du moment où il sera diffusé. Ok. Quand les gens sur les écrans d'ordinateur de Missy et quand il n'y a pas d'entreprise ont besoin de voir l'ensemble du panoramique parfois comme les agents de votre centre d'appels ou d'autres personnes, ils peuvent avoir une bonne idée de voir le panoramique complet, OK, tu dois le documenter. Mais neuf fois, tu n'en as pas besoin. Ok ? Donc, cela concède essentiellement certains chiffres lors de l'affichage, même pendant les vacances, quelle que soit la façon dont la casserole est stockée, vous pouvez masquer le goût. Ok, donc la première étape est le masquage. Découvrez où vous allez devoir le masquer. Et en fait, le masquage ne devrait être la valeur par défaut que quelqu'un qui a des exigences professionnelles. Si votre système a la capacité de le masquer, je l'allume simplement après avoir vérifié auprès de l'entreprise. Ok. C'était donc le premier qui masque. Le deuxième inverse est la troncature. Vous pouvez également tronquer les données lorsque vous les stockez. troncature est similaire au masquage, mais là, vous n'avez pas XXX nos données, nous supprimons simplement ces chiffres. Vous pouvez voir ici qu'il s' agit d'un numéro de casserole complet. Et quand vous le stockez dans une base de données, vous pouvez simplement l' ignorer, d'accord ? Donc, en gros, cela rend la carte illisible. Suppression d'un segment de ces données. Et il est généralement utilisé, je l'ai vu être utilisé dans des bases de données et des fichiers. Ainsi, même si un attaquant peut accéder à ce jour, il ne peut rien faire car ces chiffres ont été supprimés. Parfois, les entreprises peuvent également utiliser cette méthode comme méthode. C'est plus sur le stockage, accord ? Ok, qu'y a-t-il d'autre ? Vous pouvez faire du hachage à sens unique. Ensuite, vous stockez des données. Qu'est-ce que le hachage unidirectionnel ? C'est comme un processus cryptographique. Il prend vos données et les convertit en un type de chaîne différent. Ainsi, chaque fois que vous le faites sur une poêle, le résultat sera différent. Pourquoi est-ce que tu appelles ça un hachage à sens unique ? Parce que c'est toujours réversible. Vous ne pouvez donc pas obtenir cette verticale à partir du hachage. Vous ne pouvez pas récupérer le numéro de carte. Ok ? Beaucoup de temps les gens l'utilisent pour vérifier si des données ont été modifiées ou non, mais vous pouvez également l'utiliser pour les stocker, d'accord ? Donc, en gros, vous créez un hachage unidirectionnel irréversible de vos données. C'est à vous de décider si vous souhaitez utiliser ce processus. Je l'ai vu être utilisé. N'oubliez pas que vous ne pouvez pas revenir en arrière. Tu ne peux pas l'utiliser pour de futures transactions, d'accord ? Parce que ces données sont modifiées de manière irréversible. Comme parfois, nous avons besoin de bonbons que vous n'avez pas à stocker, comme vous le faites, il n'est pas nécessaire de les masquer. Ce n'est pas seulement pour la troncature et vous n'avez pas besoin de ces données, vous pouvez les stocker sous forme de hachage. C'est l'une des manières possibles. Nous avons donc parlé des gars de troncature juste pour revenir en arrière. C'était donc du Caucase. Lorsque vous le stockez, c'est hachage. Maintenant tu sais faire la différence. Une chose très, très importante les gars. Vous ne pouvez pas enregistrer les versions tronquées et hachées de la même carte de paiement. Environnement caudal de Virginie. Ok ? Parce que ce qui se passe, c'est qu'ils peuvent être corrélés. Qu'est-ce que je veux dire par là ? Si l'attaquant a accès à la bande tronquée et à cette bande et aux versions hachées du numéro d'enregistrement, il peut récupérer le plan d'origine sur la base de ces deux données. Ainsi, lorsque vous les stockez dans des bases de données et des fichiers plats tels que des feuilles de calcul ou peut-être des journaux d'audit de sauvegarde, vous devrez peut-être les protéger et ne pas les stocker ensemble. Ok. Il était l'un des deux, mais ne les rangez pas ensemble. Beaucoup de gens que j'ai vus oublient parfois cette exigence et que la troncature et le hachage se font en même temps. S'il te plaît, ne fais pas ça. Qu'est-ce qu'il y a d'autre ? Tokenisation. tokenisation est un processus très simple. Ce qui arrive , c'est que parfois vous avez remarqué que lorsque vous le hachez, vous le tronquez. Le format à 16 chiffres change, non ? Ce n'est plus un numéro à 16 chiffres. tokenisation est un processus qui remplace le numéro de carte d'origine. Un autre numéro à 16 chiffres. Cela aussi s'appelle un jeton. Le jeton peut ressembler à un numéro de titulaire de carte légitime, mais ce n'est pas le cas, il n'a aucune valeur pour un attaquant. Ok ? Donc, généralement, ce qui se passe est que cela est réversible, donc vous pouvez tokeniser que vous avez quelque chose appelé un jeton volt. Donc avec le formulaire de ce jeton, vous pouvez revenir en arrière, récupérer le numéro de carte d'origine , d' accord, vous pouvez le récupérer. Donc, la tokenisation, d' habitude, je l'ai vue, elle est utilisée lorsque les gens veulent simplement stocker les données du titulaire de la carte pour des transactions futures. Mais ils veulent s'assurer que c'est sécurisé et ils ne veulent pas que ce format soit modifié. Donc je veux dire, il y a plusieurs façons de le faire. Vous pouvez le faire à partir de la poêle. Vous pouvez le générer de manière aléatoire. Vous pouvez avoir un jeton, un coffre à jetons en cours de création, qui est les données de tokenisation et de tokenisation D. Il existe plusieurs façons de procéder. Il suffit de comprendre le jeton qui préserve le stockage, de formater le pan à 16 chiffres, et vous pouvez l'inverser afin qu'il puisse tokeniser et le tokeniser D. Parfois, vos bases de données peuvent stocker grandes quantités de données qui sortiraient si vous les hachiez et elles ont besoin d'un numéro à 16 chiffres. tokenisation vous aide donc. tokenisation aussi parfois, je vais même la sortir de la portée. Mais il y a encore beaucoup de travail à faire à ce sujet. C'est donc la différence fondamentale entre la tokenisation et les autres fonctions. Enfin, le chiffrement, qui est la chose la plus courante. Le chiffrement est un peu similaire à la tokenisation en ce sens que le Japon est remplacé par d'autres données qui n'ont aucune valeur. Mais le chiffrement est quelque peu différent car tout d'abord, il ne préserve pas le format d'origine. Et il utilise un gestionnaire de clés comme un mur avec une clé cryptographique. Et il utilise comme un gestionnaire de clés parce que votre enfant utilise une clé et un algorithme pour générer un nombre énorme, que vous ne pouvez pas récupérer le numéro de carte d'origine à partir de ces données. Ok ? En général, la taille des données augmente comme si elle ne conservait pas le format d'origine. C'est donc à vous de décider ce que vous voulez utiliser. Certaines personnes préfèrent la segmentation en jetons parce qu'elles veulent restaurer ce format dans les 16 chiffres d'autres préfèrent le chiffrement. Cela dépend généralement des exigences de votre entreprise. Je sais juste une chose. J'ai parlé d'une clé comme si vous aviez besoin d'une clé pour chiffrer ces données. Donc cette clé, vous devez également la chiffrer avec une autre clé, et vous devez la stocker séparément. C'est comme si vous pouviez vous référer à l'exigence. Sachez simplement que lorsque vous cryptez des données, les données d'un titulaire de carte, vous devez les chiffrer avec une clé et vous devez également protéger cette clé, vous devez crypter cette clé à nouveau. N'oubliez pas que lorsque vous parlez de cryptage, je sais que c'est un billet de loterie, les gars. Il suffit de passer par là, de le réviser et lentement, lentement, vous commencez à le comprendre. Vous n'avez pas à implémenter toutes ces choses, ce sont des nombres que vous pouvez simplement faire avec le chiffrement hachage ou la tokenisation. Il suffit de connaître ces différents départements. Ok ? Ensuite, vous parlez, si je me souviens bien, recherche de nos données. Vous devez donc revoir vos sources de données pour vous assurer que le NADH stocke les données des titulaires de carte non cryptées. Vous ne disposez d'aucune donnée d'authentification sensible. Regardez vos journaux de transactions, les données de transaction, votre trace. Essayez comme vous le savez, parfois les gens activent le suivi pour le dépannage. Souvent, cela commence à stocker des données non chiffrées, d'accord. Examinez les schémas de votre base de données. Les schémas peuvent vous indiquer s'il y a un numéro de carte. Ok. Examinez vos sauvegardes, tous fichiers de vidage sur incident de la mémoire existants. Ok. Votre DLP, beaucoup de choses le sont, elles ne font que commencer par la gauche. Vous pouvez consulter vos terminaux de paiement, que vous maîtrisiez ou tronquiez toutes les données que vous stockez des données d'authentification sensibles. Vous ne stockez aucune donnée indéterminée. Regardez vos écrans et vos rapports. Ok. Y a-t-il quelqu' un qui a besoin de voir des données, des données de titulaires de carte, sinon, juste de la mousseline tronquée sur les rapports, peut utiliser cette extrémité, ces données désolées ? Et si tu pouvais t'en sortir ? Ok. Et si quelqu'un a accès à distance, il peut récupérer ces données. Avons-nous des contrôles DLP ? Quid des bases de données et du stockage ? Ok. Donc, lorsque vous stockez ces données, y a-t-il un cryptage proton ? Existe-t-il des données d'authentification sensibles ? Habituellement, les gens disposent d'une sorte d'outil qui analyse les bases de données et leur permet de générer des rapports. Vous ne pouvez pas le faire manuellement. Il y aura des millions d'enregistrements, vous ne pouvez pas le faire manuellement. Enfin, le partage de fichiers. Souvent, des partages de fichiers ou un angle mort. gens ne savent pas que les employés mettent les données des titulaires de carte dans des feuilles Excel ou ce qu'il a appelé fichiers plats et ils ne le savent pas et font soudainement l' audit, ça revient. Assurez-vous donc de les scanner également, et assurez-vous qu'ils ne peuvent pas être exfiltrés. Ces autres choses, les gars, j'ai passé plus de temps là-dessus parce que c'est très, très important de le savoir. Donc, des actions clés. Découvrez les premières données des titulaires de carte vidéo ce n'est pas seulement utiliser la méthode technique, parlez également aux gens, dessinez un diagramme de données de titulaire de carte. Assistez avec votre entreprise et découvrez quel est le flux de données à partir du moment où les données sont capturées, du titulaire de la carte jusqu'à ce qu'elles soient autorisées et stockées. Ok. Vous le trouverez donc dans des bases de données, des partages de fichiers, même des e-mails, vous le trouverez chez les fournisseurs d' externalisation cloud. Et enfin, je veux parler de, d'accord, si vous ne pouvez pas implémenter le contrôle soviétique PCA ? Je tiens à garder cela à l'esprit. Nous parlerons plus tard de ce que l'on appelle des contrôles compensatoires. C'est donc quelque chose que vous devez garder à l'esprit. Et si vous ne pouvez pas chiffrer parce qu'il s'agit d'une application héritée, n'est-ce pas ? Alors qu'est-ce que tu vas faire ça ? C'est donc quelque chose que je veux que vous gardiez à l'esprit. Ok. De quoi avez-vous besoin d' une politique de conservation des données. Peut-être que vous n'avez pas besoin d'arrêter les données des titulaires de carte après 30 jours, d'accord. Il suffit de le supprimer pour qu'il ne soit pas nécessaire de le conserver. Vous devez avoir un diagramme de flux de données. L'auditeur va demander, tout d' abord, comment savoir où sont stockées vos données. Avons-nous une sorte d'outil qui analyse régulièrement vos serveurs, bases de données, ordinateurs portables et les gars les plus importants, veuillez ne pas stocker de données d'authentification sensibles. Une fois que l'autorisation de votre carte est terminée. Transférez votre camion aux données ou au MOOC. Nous ne nous arrêtons pas en blocs masquer les pins sur les réceptions des clients. Et si vous le stockez, les informations du titulaire de la carte, alors s'il vous plaît mascotte ou tronquée ou sécurité au cryptage. Assurez-vous que le moins de personnes possible accèdent aux bases de données ou à leur stockage. Ok. C'était donc l' exigence, les gars. J'espère que ce n'était pas trop. Prends ton temps, passe au standard. L'essentiel est de savoir où se trouvent les données de votre titulaire de carte et de les protéger en conséquence. , ne stockez pas de données sauf si vous n'en avez pas besoin. Il suffit donc de revoir ce modèle une fois de plus. Il sera révisé. Vous en avez donc une meilleure idée et vous prenez des notes, puis essayez de l'implémenter dans leur environnement. Je peux te le garantir. Si vous êtes dans le secteur des cartes, vous trouverez les données du titulaire là où vous ne vous attendiez pas à les trouver. C'est une chose courante. Ne t'en fais pas peur. Assurez-vous simplement que vous disposez d'un processus pour y remédier à l'avenir. Ok, les gars, je vais vous voir dans la section suivante maintenant. J'espère que vous avez une meilleure idée maintenant et je vous verrai dans le prochain module. 9. 4 - Exigence 4: Bonjour les gars, Bienvenue dans ce module. Ce module est relativement court. C'est assez simple, il s'agit de sécuriser les données, réseaux ouverts et publics. C'est assez simple. Je pense. Je ne pense pas avoir besoin de trop expliquer cela, mais de le calculer. Je veux dire, si vous l'envoyez sur réseau ouvert et public, vous en avez deux cryptés, non ? Vous ne voulez pas que les gens se contentent de consulter ces données. Cela va être envoyé à un processeur tiers, peut-être des sauvegardes, peut-être via le Cloud. Et surtout, les cybercriminels peuvent intercepter cette transmission via les données de Guardiola. Il est donc important de mettre en place des contrôles que leur chiffrement peut utiliser. Vous pouvez mettre n'importe quel chiffrement en utilisant une unité cryptographique forte TLS et tous ces autres contrôles. Vous avez peut-être des terminaux de point de vente qui envoient des données par Internet, qui envoient des données par Internet sans fil ou GPRS. Vous avez le cryptage sur cela, sur vos violonistes et sur d'autres technologies cellulaires. Ok. Et qu'en est-il de la messagerie ? Comme le courrier électronique, la messagerie instantanée, les SMS, le chat. Vous pouvez également envoyer les données du titulaire de la carte. Vous devez donc mettre en place des politiques, vous devez mettre en place des contrôles tels que DLP. Il est donc très, très important d'avoir ces choses. Il existe un certain mélange de contrôles techniques et opérationnels. Vous pourriez penser que c'est très simple, mais croyez-moi, surtout si vous utilisez des terminaux de point de vente, plupart du temps, ce sont des terminaux de point de vente utilisent d'anciennes versions de TLS, TLS 1.1, et nous n'utilisons pas les nouvelles versions comme 1.21.3. Vous devez vous assurer que vous avez un plan pour les migrer. Il suffit de construire à partir des diagrammes de flux de données dont nous avons parlé plus tôt dans le numéro trois commun, vous connaîtrez la date cardo qu'il provient de NBC envoyé à l'extérieur. Je veux m'assurer que c'est crypté. En cas d'envoi sur des réseaux publics ouverts. Vous ne voulez pas vous assurer que ce cryptage ou qu' ils ont une politique interne de ne pas envoyer de numéros de carte en clair par SMS, par chat, par l'intermédiaire des équipes Slack. S'il te plaît, ne l'ai pas. Ok ? Vous voulez vérifier vos terminaux de point de vente pour vous assurer qu'ils cryptent correctement. Si vous ne les maintenez pas, vous demandez à un fournisseur de contacter le fournisseur et de vous assurer que ces terminaux de point de vente ne sont pas sujets à des exploits connus, tels que des vulnérabilités standard. En général, c'est le fournisseur qui vous indique que vous pouvez effectuer vos propres tests. Également. Souvent, ces entreprises s'assurent que leurs terminaux de point de vente sont déjà certifiés PCI DSS. Vous pouvez vérifier le numéro modal. Vous pouvez aller sur le site Web et mettre le mortier lombaire, mettre cette version et voir où il y a style de vie certifié est généralement appelé la transaction rose PDF Standard. Et je pense qu'il existe un autre standard, mais vous pouvez le vérifier sur leur site Web. Il vous indiquera immédiatement si cet appareil est sécurisé ou non certifie les données conformément à la norme PCI DSS. C'est à peu près ce que c'est. Assurez-vous d' avoir un inventaire de toutes vos données qui sont envoyées. Souvent, ce sont les terminaux des points de vente. Assurez-vous de contrôler messagerie de vos utilisateurs finaux, comme les e-mails, temps perdu, peu importe ce que vous utilisez. Ces contrôles doivent être là pour empêcher données des titulaires de carte ne soient envoyées sur le réseau public ouvert. Voilà qui conclut cette section en particulier. Enfin, nous allons simplement nous assurer que vous n'utilisez pas TLS 1, désactivez tous ces protocoles non sécurisés. Vous ne voulez pas utiliser ces premières implémentations de SSL et TLS parce que c'est très facile à compromettre. Ce n'est pas considéré comme sûr. Vérifiez donc auprès de votre point de vente quand il s'agit de son fournisseur de point de vente et établissez une sorte de plan. Si vous découvrez que vos appareils de point de vente l'utilisent, vous devez avoir un plan d'atténuation des risques et un plan de migration avant de le laisser dans les 12 ou 18 prochains mois, je vais de tout migrer vers TLS 1.2 parce que croyez-moi, l'auditeur va vous le demander. Ok, c'est fini, les gars. Je te verrai dans le prochain module. Merci. 10. 4 - Exigence 5: Bonjour les gars, Bienvenue dans cette section. Cette exigence est, je pense, la distribution la plus facile pour vous, ce qui veut dire que si vous ne l'avez pas, il n'y a qu' un plus gros problème que de ne pas être certifié PCI DSS. Cette exigence concerne les antivirus, anti-programmes malveillants qui doivent être installés sur tous les systèmes couramment affectés par les logiciels malveillants. Vous devez vous assurer que vous avez une solution antivirus, qui est là, que tout ce qui se trouve dans l'environnement cardinal, vous voulez vous assurer qu'il est là. Il est régulièrement debout, régulièrement mis à jour. Et vous devriez avoir un processus pour savoir s'il y a une nouvelle attaque en cours. Comment allez-vous savoir s' il y a un exploit zero-day ou s' il y a un malware qui affecte soudainement tous les systèmes ? Avez-vous un moyen de savoir ce qui se passe, quelles sont les alertes qui arrivent, d'accord ? Assurez-vous donc généralement d'avoir un PCSS qui implémente un anti-malware sur les systèmes fréquemment touchés. Les gens le prennent pour Windows, mais vous devriez aussi le mettre sur Linux, beaucoup de versions de serveurs Linux qui existent, elles supportent l'anti-malware. Assurez-vous que c'est bien là. Ne soyez pas paresseux sur Linux. Et assurez-vous que vous avez mis en œuvre un anti-programme malveillant dans tous les domaines. Tu es en train de le scanner. Et ce qui se passe. plupart du temps, les gens aiment mettre un anti-malware, mais si une alerte arrive, personne ne la regarde. Ok ? Vous voulez donc vous assurer que ces alertes vont quelque part, d'une certaine manière en prenant réellement une action basée sur cette alerte, afin que cette fenêtre de compromission soit très courte. Ces éléments permettent de s'assurer que vos anticorps sont à jour et qu'ils envoient des alertes. Ok, ne présume rien ici. Comme je l'ai dit, les points clés sont le déploiement d'un antivirus sur des systèmes couramment affectés et des systèmes non fréquemment affectés également, s'il vous plaît les gars, si vous avez une sorte de Linux ou autre, s'il est possible d' implémenter un anti-malware, veuillez le déployer. Ne soyez pas paresseux, d'accord, assurez-vous qu'il est mis à jour s' configuré pour analyser automatiquement et si quelque chose arrive, ces alertes vont quelque part. OK. Votre définition doit être à jour. Il ne devrait pas être en mesure de contacter votre administrateur informatique mais il ne peut pas simplement désactiver l'antivirus blanc, assurez-vous qu'il y a une séparation des tâches. Et vous devriez vous assurer que certaines pratiques là-bas, lorsque vous les appelez pour évaluer régulièrement les systèmes, comme peut-être vous avez un ancien système AS 424 tandem HP ne les arrête pas tous anciens systèmes que beaucoup de personnes n'utilisent plus. Mais faites une sorte d'évaluation des risques réglementaires pour savoir s'il y a des alertes de l'industrie qui sortent. Peut-être qu'un nouveau virus est apparu récemment et que vous ne connaissez pas, et qu'il affecte ces systèmes. Veuillez donc vous assurer que ces contrôles sont là et qu'ils sont documentés, qu'ils peuvent donner à l'auditeur l'assurance que vous avez un processus est mort et que vous allez bien au-delà. Ok ? Vous regardez les tendances du secteur et vous mettez en place des contrôles qui doivent être là. Il s'agit donc d'une norme assez facile à respecter. Je ne pense pas qu'il devrait y avoir de difficultés. Généralement, les personnes qui rencontrent des problèmes lorsqu'elles examinent ces systèmes hérités. Mais en dehors de cela, je pense qu'il devrait être simple à mettre en œuvre. Merci les gars. Je te verrai dans le prochain module. 11. 4 - Exigence 6: Bonjour à tous, bienvenue dans cette leçon. Et du point de vue VHDL, nous sommes à mi-chemin de la baie à cram et six, qui est le développement et la maintenance de systèmes sécurisés. Ok ? Et c'est l'un de ces départements que beaucoup de gens détestent parce qu' il s'agit de patching. Encore une fois. Je ne pense pas que quelqu'un aime le patching, mais malheureusement, c'est un élément obligatoire de tout système de sécurité. Et vous devez avoir un système en place qui soit le plus approprié pour corriger les systèmes vulnérables. Pourquoi fais-tu ça ? C'est assez simple, non ? Failles de sécurité dans les systèmes et les applications. Ils peuvent permettre aux criminels de contourner contrôles et d'accéder aux données des titulaires de carte. La plupart de ces vulnérabilités peuvent être éliminées en installant des correctifs de sécurité. Lorsqu'ils ont fourni des correctifs, nous nous sommes adressés à Microsoft ou à votre fournisseur tiers. Et c'est comme s'il se connectait la faille de sécurité et à ce que nous appelons Asper PCIe. Tous les systèmes critiques, ils ont besoin des correctifs logiciels récemment publiés, je pense que c'est le plus tôt possible dans les 30 jours. Et d'autres, vous pouvez le faire dans les 90 jours, mais c'est vraiment l'une des choses les plus difficiles à accomplir. Tu peux comprendre pourquoi. Parce que les serveurs sont critiques, les serveurs sont très critiques et vous ne pouvez pas simplement avoir des temps d'arrêt. Et en même temps, vous avez des attaquants qui sont payés, qui exploitent peut-être cela. Et ça devient plus dangereux quand ce n'est pas le cas. Une chose intéressante. Donc, tout comme vous avez besoin d'un processus de gestion des correctifs très solide en place pour implémenter des correctifs de sécurité critiques, les gars, c'est l'un des plus difficiles et des plus importants à commenter et à PCI. Ok ? Alors qu'est-ce que tu dois faire ? Eh bien, vous devez vous assurer que les politiques de gestion des correctifs en place et que vous avez un processus. Comment savez-vous que certains correctifs critiques sont disponibles ? Vous devez également disposer d'un processus de gestion des modifications pour tout changement chimique. Comment savez-vous que vos modifications n' introduisent pas de nouveaux problèmes de sécurité, n'est-ce pas ? Et comme je l'ai dit, ayez un mois, un mois, ce que nous appelons l'installation là-bas. Parfois, les entreprises ne peuvent pas le respecter. Vous devez l'avoir plutôt que d'autres commandes de compensation en place. Vous devez disposer d'un système permettant d'appliquer rapidement des correctifs, déployer des correctifs sur un environnement de test, puis de les déployer en production. C'est très, très difficile à rencontrer, je sais, mais c'est quelque chose qui vient de votre position de sécurité. Pci, DSS peut réellement vous aider ici parce que équipes informatiques peuvent parfois devenir paresseuses lorsqu'il s'agit d' implémenter des correctifs et PCI DSS vous aidera vraiment ici. Cela vous aidera également à pousser les équipes technologiques à implémenter les correctifs le plus rapidement possible. C'est davantage du point de vue du système d'exploitation. Elle s'applique aux applications. Vous aurez également accès à des correctifs au niveau de l'application. Mais du côté de l'application, les exigences six introduisent certaines nouvelles choses dont j'ai besoin pour que vous soyez disponible pour comprendre. Qu'est-ce qu'ils sont. Donc, lorsque vous développez des applications , vos développeurs, ont besoin d'une formation sur les vulnérabilités de sécurité des applications que vous connaissez, d'accord ? Il s'agit probablement d'une norme commune en matière de sécurité des applications. Ils devraient être formés à la nature de ces vulnérabilités. Dans le même temps, votre code source doit être revu. Également. Vous devriez avoir une sorte de dispositif en place qui est en fait en train de réviser votre code, vous indiquant s'il y a de nouvelles vulnérabilités ici et votre développement et votre drame, il ne peut pas y avoir de live les données du titulaire de carte. Parfois, les gens le font pour faire des tests. Ils ont mis l'environnement Guardiola en test ou UAT ou quelque chose comme ça, s'il vous plaît. Vous ne pouvez absolument pas laisser cela se produire. Ok. Et puis, lorsque vous passez à la production, le jour Raman devrait être un processus de gestion du changement approprié. Si c'est comme une application connectée à Internet , vous devez l'atténuer. Comment faites-vous pour atténuer ce risque ? Vous pouvez avoir une application Web comme un test de stylo en cours, d'accord ? Comme les événements abstraits, si je vous fais savoir s'il y a des vulnérabilités ou si vous pouvez avoir un pare-feu d'application Web, vous savez, je suis sûr que vous devez en être conscient. Idéalement, je recommanderais les deux. Je ne pense pas que l'un remplace l'autre. Vous devriez avoir un VAV et vous ne devriez pas avoir test de sécurité d'application qui se passe meurt. Ils travaillent donc tous ensemble. Vous devez comprendre, vous révisez le code, vos développeurs de formation et les techniques d' enregistrement sécurisées par CCA. Vous vous assurez qu'il n'y a pas de cartilage, il y a des données que des tests ou des tests UAT Vous vous assurez que la bonne gestion de la chaîne est là. Ensuite, vous avez une analyse de l'application Web et des applications le couplage. Donc, tout cela a vraiment aidé à réduire le risque qu'un problème se produise. Vous savez, à quel point les vulnérabilités au niveau des applications sont courantes , n'est-ce pas ? Mais tous ces éléments, si vous les mettez en œuvre correctement, ils contribueront grandement à atténuer les risques de sécurité des applications. Et ils ont vraiment contribué à améliorer votre posture de sécurité. Ok. Passons aux gars. Quelles sont donc les principales actions qui existent ? Pour rappel, vous devez disposer formules de politique de sécurité d'application et les distribuer à vos développeurs. Vous devriez suivre une formation de codage sécurisée et une révision du code. Quelque chose qui vous permet de savoir s'il y a du code non sécurisé et qui ne le laisse pas se propager en production. Vous pouvez utiliser des outils commerciaux courants qui aident vraiment les développeurs. Vous pouvez également avoir un outil open source similaire. Troisièmement, comment savoir s'il existe un pan dans l'environnement de développement ? Vous devez étendre votre analyse à cet endroit. Vous devez vous assurer qu' il n'y a pas de masque uniquement ou comme un interruption ou qu'il n'a même pas crypté. Vous ne maîtrisez que les nombres tronqués ou comme complètement. L'environnement de développement. Comme je l'ai mentionné, vous devriez avoir un du pare-feu d'application Web test en peluche du pare-feu d'application Web et un stylo de sécurité des applications. Et bien sûr, la gestion de la chaîne. N'oubliez pas que la sécurité des applications ne sera jamais parfaite, d'accord ? Ils ne seront jamais le moment de dire que sécurité de mon application est devenue parfaite. Je peux arrêter ça. Non, non. C'est pourquoi vous devez continuer à affiner ce processus. Il suffit d'une faille de sécurité pour que l'attaquant en jeu et compromette votre environnement, n'est-ce pas ? Donc, les correctifs et la sécurité des applications, tous ensemble. C'est l'un des commentaires les plus difficiles à commenter, mais il présente l'un des avantages les plus importants pour votre posture de sécurité si vous l'avez mis en œuvre correctement. Donc j'espère que vous avez compris maintenant, comme tout cela fonctionne ensemble, comme je l'ai dit, je suis sûr que vous trouverez dans des applications secrètes, vous trouverez comme des anciennes versions de Windows qui ne peuvent pas être corrigées. Vous devez donc en tenir compte. Supprimez-les de votre environnement actuel ou placez-les dans d'autres contrôles. Ils ont toujours des manières de le faire. J'ai souvent vu des applications qui s' exécutent sur d'anciennes applications héritées. Vous pouvez peut-être le visualiser, vous pouvez le conteneuriser. Vous pouvez en mettre, dans une sorte de Citrix, quelque chose qui est encapsulé, défini ou supprimé le jour. Beaucoup de façons de le faire atteignent vos États-Unis et je suis sûr qu'il vous aidera. Mais assurez-vous simplement que vous êtes conscient de ces vulnérabilités et qu'elles ne vous attrapent pas sur un vase, d'accord. OK, les gars, je vais passer à la prochaine réinscription. Merci. Je te verrai dans la prochaine leçon. 12. 4 - Exigence 7: Bonjour les gars, Bienvenue dans cette leçon. C'est l'un d'entre eux plus facile à commenter, surtout après le dernier. Et ça a à voir avec la restriction de l'accès, d'accord ? En gros, si vous suivez le principe du moindre privilège, si vous ne le respectez pas, vous devriez le suivre. Mais si vous les ajoutez, cela devient facile car votre cartilage endommage très sensible. Vous devriez avoir quelque chose comme un contrôle d'accès basé sur les rôles, qui vous garantit que seules les personnes ayant une obligation légitime de consulter données des titulaires de carte le font correctement. Vous ne voulez pas de vos comptes utilisateurs avancés qui n'ont aucune raison de consulter les données des titulaires de carte, ils arrivent. PCA nécessite donc une liste à jour, comme une matrice de contrôle d' accès basée sur les rôles. Je suis sûr que vous aurez cette matrice, non ? Tu devrais avoir ça. L'auditeur va le prendre. Cette liste ne contient pas chaque rôle. Quel rôle joue quel genre de choses auxquelles il a accès, quel est le privilège actuel est-il vraiment nécessaire ? Donc sur cette base et vous devriez le certifier régulièrement, n'est-ce pas ? Vous devriez regarder si l'informatique a accès, je ne sais pas, comme les programmeurs ont accès à la production, n'est-ce pas ? Est-ce que l'administrateur système a accès au rédacteur de base de données d' applications, devraient-ils avoir ce droit ? Donc, ces choses dont vous avez besoin, vous devez les documenter et vous devez les formaliser. En plus de cela, vous devez avoir des évaluations régulières. Donc oui, c'est ce dont nous avons besoin. Quelles sont les actions clés sont une politique écrite pour tous, comme détailler les contrôles d'accès, le contrôle d'accès documenté. Vous devriez le mettre en correspondance avec la classification du poste, n'est-ce pas ? Donc, s'il existe un administrateur de sécurité réseau, vous ne devriez pas avoir accès à votre base de données de production, n'est-ce pas ? Pourquoi aurais-tu besoin d'y accéder ? Rend tous ces mots en public devraient être définis le moindre privilège, c'est l'élément clé ici. Et vous devriez avoir une politique écrite détaillée seules ces entreprises auront accès aux données des titulaires de carte. Seul l' administrateur de base de données peut avoir accès en lecture à la base de données et à toutes ces choses. Cela vous aidera vraiment et vous devriez les avoir régulièrement tous les trimestres, les jours, assurez-vous qu'ils sont revus et recertifiés par tous les utilisateurs. Il s'agit donc d'une économie assez simple à réaliser. De nombreuses entreprises ont constaté qu'elles avaient déjà mis en place une sorte de dispositif, manuel ou automatisé. Il vous suffit donc de le formaliser pour l'environnement de votre titulaire de carte. C'est la fin de cette exigence. Passons au suivant. 13. 4 - Exigence 8: Bonjour les gars, Bienvenue dans ce cours en particulier. Et c'est l'une des exigences, encore une fois, assez faciles à satisfaire si vous suivez déjà une bonne hygiène de sécurité, qui utilise les potentiels UniqueID. PCS indique donc que les informations d'identification de base, comme votre analyseur, doivent être modifiées tous les 90 jours, ce qui devrait avoir une longueur et une complexité. Auparavant, il y avait sept personnages maintenant ils sont enfin mis à jour. Mais si vous utilisez quelque chose comme Active Directory ou une authentification unique, ils appliquent généralement une stratégie de mot de passe stricte. Vous ne voulez pas avoir un mot de passe qui puisse être facilement déchiffré par un pirate informatique pour accéder à des outils automatisés, n'est-ce pas ? Comme la puissance de calcul ne cesse d'augmenter chaque année, puissance de calcul devient de plus en plus puissante. Le forçage brutal devient de plus en plus facile. Vous devez donc avoir des mots de passe complexes, qu'il soit très, très difficile pour un attaquant de les compromettre. Ok ? Vous ne voulez pas avoir de noms d'utilisateur standard, ne pas avoir d'administrateur ou de KPI qui le dirige que je vois encore ces personnes utiliser des trucs très basiques. Vous ne voulez donc pas avoir ces choses qui peuvent être facilement brisées par une attaque d'ingénierie sociale ou une attaque par force brute. Ok, c'est un truc très basique, mais c'est tellement important que les APC en ont fait un climat de séparation. Un autre sujet très important est le MFA, l'authentification multifacteur. Si vous ne savez pas ce que c'est, je suis sûr que vous devez le savoir, mais en plus de l' ID utilisateur et du mot de passe, vous avez besoin d'un autre facteur pour, dans PCI DSS, pour l'accès à distance ou l'accès administratif. Cela peut être quelque chose que vous avez comme un mot de passe à usage unique, comme un jeton ou quelque chose que vous êtes comme une biométrique, vous savez, cela peut être quelque chose comme quelque chose que vous avez, peut être une carte à puce, jeton de sécurité physique et logique, passe à usage unique sur votre smartphone, d'accord. Et quelque chose que vous êtes serait une biométrie comme scan rétinien d'empreinte digitale, une empreinte de pompe, scan de l' iris, toute autre chose qui vous est unique du point de vue biologique. Vous pouvez donc utiliser l'un de ces deux éléments en plus de l'identifiant utilisateur et du mot de passe. Mais rappelez-vous qu'ils doivent être indépendants l'un de l'autre, comme si l'un d'eux est compromis ou s'il n'est pas affecté. Donc, par exemple, si votre smartphone est compromis et qu'un attaquant accès au mot de passe à usage unique OTP, il n'aura toujours pas accès à votre identifiant utilisateur et à votre mot de passe, n'est-ce pas ? Ils doivent donc être indépendants les uns des autres. N'oubliez pas que dans ce commentaire particulier, vous devez disposer d'un accès administratif pour l'accès à distance et authentification multifacteur pour l'accès à distance et d'une authentification multifacteur pour votre accès administratif. 1 pour noter les gars, cela va devenir beaucoup plus difficile NPCI version quatre. D'accord, je vais entrer plus en détail dans une autre section où nous allons simplement discuter des exigences de la version 4 de PCA, mais gardez cela à l'esprit. Le conseil est en train de rendre les choses un peu plus difficiles à l'avenir. Ok, alors quelles sont les principales actions à prendre, les gars ? Vous devez absolument appliquer systématiquement un mot de passe et une norme MFA. Il s'agit de la valeur de p. Ce sont les commentaires positifs minimaux et ce sont les exigences MFA pour la rétrogradation ou l'accès administratif. Assurez-vous que vos comptes distants. Souvent, vous avez eu accès à des fournisseurs, des partenaires commerciaux, des consultants, n'est-ce pas ? Et ils doivent être surveillés et désactivés lorsqu' ils ne sont pas utilisés. Tu ne devrais en avoir qu'eux. Puis au fur et à mesure qu'ils l'utilisent. Beaucoup de personnes utilisent des applications tierces comme VDI ou quelque chose comme ça. Je veux dire, c'est à vous de décider comment votre environnement est configuré, mais il suffit de le mettre en place. Et cela va vraiment, donc en gros, c'est comme une simple exigence de bon sens. Je suis sûr que tu auras déjà beaucoup de ces choses. Si ce n'est pas le cas, vous devriez avoir un MFA pour votre environnement administratif, en particulier s'il s'agit de l'environnement des données des titulaires de carte. Je l'ai certainement fait appliquer. Ok les gars, donc ça conclut ça va commenter. Passons au suivant. 14. 4 - Exigence 9: Salut les gars. Bienvenue dans le commentaire du district. Cela dit comme un domaine que je considère toujours comme un angle mort, c' est-à-dire en ce qui concerne PCI, DSS, qui est la sécurité physique. Beaucoup d'entreprises mettent en place de nombreux contrôles techniques, mais oublient le côté physique de choses comme les imprimés, les rapports. Beaucoup d'entreprises, vous savez, ont un back-office, quelle que soit facturation répétée, comme elles enregistrent le numéro de carte. Ils conservent des copies physiques de la carte actuelle. Et vous ne croirez pas qu' ils sont librement disponibles, n'est-ce pas ? Vous devez donc mettre en place des dispositifs de protection tels que le vol de données et l'accès sensible aux zones sensibles. Vous devez disposer de politiques et de procédures de sécurité physique . Vous ne pouvez conserver que, par exemple, uniquement des informations confidentielles. lieu de travail les a sécurisés dans une zone verrouillée. Les étrangers ne peuvent pas simplement entrer. Les non-employés doivent porter des badges et ne stockent pas d'informations sensibles. Le V ouvert dans mon entreprise, l'une de mes entreprises, nous nettoyions les rues après les heures de bureau. Nous avions l'habitude d'aller vérifier que tout le monde avait bien nettoyé son bureau, non ? Il n'y a aucune information sensible. Ce sont donc des contrôles qui relèvent du bon sens, mais ils vous échappent malheureusement pour une raison quelconque, n'est-ce pas ? Alors, quelles sont les choses dont tu as besoin ? Il doit disposer d'une politique de sécurité physique appropriée mettant en évidence les autres zones sensibles. Une chose que j'ai oublié de mentionner, c'est vos prises réseau, n'est-ce pas ? Vous ne voulez pas que des personnes branchent simplement leur ordinateur portable et connectent votre environnement cible. Le support physique ou la sauvegarde et d'autres éléments doivent être sécurisés et un contrôle strict doit être assuré. Que se passe-t-il si quelqu'un ne peut pas compromettre l'environnement ? Et s'il est capable d'accéder à gag, d' accéder à la bande de sauvegarde, à droite. Qui contient toutes les informations dont vous avez besoin, comme les mettre en sécurité, sont clairement marqués pour cela. Les documents doivent avoir des éléments tels que confidentiels pour être déchiquetés et vous devez être capable de détruire des supports, n'est-ce pas ? Diego a dit de le détruire en fonction de sa classification. Beaucoup de ces choses, encore une fois, elles le font probablement, mais vous ne les étendez peut-être pas à votre environnement de titulaire de carte. Assurez-vous qu'ils soient prolongés. Vous devez vous coordonner avec vos équipes de sécurité physique pour vous assurer que vous avez reçu une formation appropriée. Les zones sensibles sont bouclées. Tous les employés ne peuvent pas se contenter entrer dans vos zones sensibles à la lumière. Donc, tous ces contrôles Metrodorus n'ont pas été forcés d'avoir une couverture de vidéosurveillance appropriée. Il devrait s'agir d'un mélange de préventifs et de contrôles de détection. En gros, les mêmes choses que vous mettez dans votre environnement, n'est-ce pas ? Votre environnement technique, comme la segmentation. La segmentation, vous bloquez cette zone. La vidéosurveillance est comme un badge auditif et blanc, un badge de mot de passe et des épingles. Ils sont comme MFA. Toutes ces choses, il suffit de les reproduire dans un environnement physique. Un environnement unique, les gars, si vous avez des terminaux de point de vente, comme des machines de point de vente. Vous devriez en avoir un inventaire complet. Vous devriez avoir un inventaire à jour de celles-ci. Tu devrais savoir où ils se trouvent. Quel est l'emplacement physique, numéro de série, le modèle nu. Pourquoi ? Parce qu'il devrait l'inspecter. Et si quelqu'un l'a altéré, mais si quelqu'un l'a remplacé par un autre C, puis un autre environnement, généralement un grand nombre d' entreprises qu'ils entretiennent ont des avantages, n'est-ce pas ? Et si quelqu'un est entré , l'a falsifié, a injecté un appareil et que vous ne le savez pas, n'est-ce pas ? Vous pouvez le faire en gros, vous pouvez le faire tous les jours, chaque mois est basé sur le type de niveau que vous avez, d'accord. Vous devriez avoir une couverture de vidéosurveillance. Ce sont des appareils très subtils, d'accord ? Assurez-vous que le haut est complètement restreint. Et vous devriez sensibiliser le personnel qui interagit avec ces choses au quotidien, comme un caissier, qui possède ce type de machine de point de vente, n'est-ce pas ? Vous devez savoir si quelqu'un l'a remplacé. S'il y a un appareil là-bas, vous devriez être en mesure de savoir si quelqu'un a le même, vous devriez être en mesure de vérifier le numéro de série. La physique de base. Ce sont des choses simples que vous pouvez comme une formation vidéo. Vous pouvez leur rendre visite physiquement et leur enseigner, etc., mais juste pour vous assurer que le risque de substitution, quelqu'un substitue l'appareil quand quelque chose ou il y a un autre appareil malicieusement ou comme falsifier, altérer cet appareil, placer un autre appareil dessus. Ceux qui ont un gilet doivent être atténués. Du point de vue de la norme PCI DSS. Ils sont comme beaucoup, beaucoup de formations courantes disponibles même sur le site Web du PCAOB, vous pouvez les trouver. C'est comme une chose unique de PCI, les autres contrôles physiques que vous effectuez peut-être déjà. Mais c'est quelque chose d' unique et vous devez vous assurer de l'avoir dans votre environnement, d'accord ? Voilà qui conclut ce nouvel engagement. Passons au suivant. 15. 4 - Exigence 10: Bonjour les gars, Bienvenue dans cette leçon qui est maintenant presque arrivée à la fin, qui est un dix commun, la journalisation et la surveillance. Journalisation et surveillance. Vous savez, c'est l'une de ces choses que font presque beaucoup d'entreprises. Presque toutes les entreprises le font, mais très peu d'entre elles le font correctement. Parce que ce qui arrive souvent , c'est qu'ils enregistrent simplement des choses. Mais personne ne prend d'action aussi intelligente sur la base de ces alertes, n'est-ce pas ? Sim solutions, vous avez accès des informations de sécurité et à la gestion des Vous y envoyez tous les journaux, mais vous n'envisagez pas vraiment de créer des alertes exploitables. Tu n' affines pas vraiment les mêmes choses. Vous devez capturer tout ce qui se trouve dans l'environnement de données des titulaires de carte, où PCI possède une liste minimale d'événements qui doivent être capturés. Ok ? La plupart des logiciels système génèrent des journaux sécurisant le système d'exploitation, la pause du navigateur , le pare-feu, toutes ces choses que vous devriez capturer, d' accord, alors assurez-vous que ces éléments sont là. Que vous ayez une solution SIM ou autre, vous devez tout capturer. Et j'ai des alertes exploitables basées sur ça. OK. Donc, ce que nous avons commencé à vérifier, c'est vérifier si vous avez un suivi automatique du journal d'audit pour tous les événements de sécurité. Comment faites-vous ? Est-ce que c'est comme si quelqu'un ne voulait pas que quelqu'un le regarde et écrive essentiellement un système automatisé ? Existe-t-il un processus pour examiner quotidiennement les journaux et les événements de sécurité ? En général, c'est comme une solution SIM. Peut-être avez-vous une équipe SOC, ou vous pourriez avoir des équipes similaires, ou vous pourriez nous demander de prendre en charge un administrateur système qui reçoit des alertes. Cela dépend vraiment de la façon dont vous le faites. Si vous le faites dans le Cloud, vous avez peut-être recours à l'automatisation, mais le processus doit être là. Vos journaux d'audit doivent être présents au moins un an et au cours des trois derniers mois. Ils doivent être des journaux en ligne. Tu devrais être incapable d'archiver les 90 derniers jours, d'accord. Vous devez l'avoir en ligne. Et qu'est-ce qu'ils vont finalement capturer PCI, DSS est très précis à ce sujet. Tout comme l'activité d'administration, les échecs de connexion, les modifications apportées aux augmentations de privilèges de compte. Et vous devriez capturer ce qu'ils savaient qui l'utilisateur, quel était l'événement, quelle était la date et l'heure, si c'était un succès, quel échec s'il s'est produit, toutes ces choses. Vous le trouverez facilement dans la norme. Mais assurez-vous de le capturer. Assurez-vous que ces emplacements sont disponibles et testez-les. Ne présumez pas que vous aurez ces journaux corrects. Testez-le et assurez-vous que ces événements sont capturés. Beaucoup de solutions SIM, elles ont déjà des modèles prédéfinis pour PCI DSS, ce qui ne devrait pas être si difficile. Assurez-vous simplement qu'ils sont activés. Que celui-ci était assez simple. Passons à la suivante. 16. 4 - Exigence 11: Salut les gars. Nous en sommes à l' avant-dernière exigence, qui consiste à effectuer des analyses de vulnérabilité et la TEP est acceptable. Pourquoi faisons-nous ces choses, les gars ? Donc, en termes simples, vous devez découvrir quelles sont les faiblesses de votre environnement, n'est-ce pas ? Vous ne voulez pas attendre qu' un attaquant vienne compromettre votre environnement, n'est-ce pas ? analyses de vulnérabilité et les PT sont l'un des meilleurs moyens de déterminer le type d'attaques auquel vous êtes susceptible de faire face. Va est comme un scanner de vulnérabilité est une analyse automatisée de haut niveau. Ok. Vous venez de faire un scan. Ils en ont d'habitude. Vous avez une sorte de logiciel qui analyse l'environnement, vous fournit un rapport, n'est-ce pas ? Vous devez le gérer en interne et en externe sur une base trimestrielle. Et PT Je suis sûr que vous savez déjà, c'est comme un détail pratique. Généralement, il y a une personne réelle qui essaie de détecter et d'exploiter les faiblesses de votre système. Et cela, encore une fois, cela doit être interne et externe, à la fois dans votre environnement. PCR exige que ces choses se produisent à plusieurs niveaux, d'accord ? Vous pouvez simplement le faire en une seule couche et l'appeler efficace. Nous allons détailler ce dont je parle, type de couches dont je parle avant de partir. Une chose très importante les gars, si vous avez un environnement Guardiola public, non ? IP publiques. Pcr demande aux entreprises qui conduisent comme externe via scan et qu'elles appellent cela et ESV scan pour savoir si elles ont des failles potentielles. Tu ne peux pas le faire toi-même. Vous devez être effectué par une entreprise appelée un fournisseur de numérisation approuvé appelé ASP. Ok ? Tu ne peux pas le faire toi-même. Tu dois t'occuper de cette société. Donc, ce qui se passe, c'est que vous serez facturé à cette société et qu'elle effectuera le scan tous les trimestres. Vous devez corriger toutes les vulnérabilités les plus élevées. Vous devez donc continuer à le faire jusqu'à ce que vous passiez. Et ils vous feront passer un scan de passage. Et généralement, vous devez vous soumettre aux schémas de voiture ou au blanc. Ce n'est donc pas quelque chose que vous scannez et oubliez. Vous devez le faire sur une base trimestrielle minimum et vous devez le réussir. C'est l'une des choses les plus importantes. C'est généralement une très bonne exigence, car avec le public est comme un environnement à haut risque. Vous devez être capable de l' analyser et de connaître les vulnérabilités. Ok, alors garde ça à l'esprit. Votre banque ou votre système de paiement vous dira généralement si vous, nous avons parlé des obligations plus tôt sur le taux. Ainsi, votre banque ou votre marque de paiement vous indiquera si vous êtes tenu de le faire ou non. Mais souvenez-vous, je vous ai dit que nous devions le faire à plusieurs niveaux. C'est donc de cela que je parlais. Il suffit d'avoir une vue de haut niveau. Si vous recherchez sur Internet, vous devez avoir des scans ASP et un DP en cours. Ok. de vue externe, dans votre environnement cardinal, vous n'aviez pas de scan trimestriel via des scans, un salaire annuel, un PT est cours et quelque chose appelé surveillance de l'intégrité des fichiers. Qu'est-ce qu'une surveillance de l'intégrité des fichiers ? Si vous n'êtes pas au courant, en gros, c'est un logiciel qui représente l'environnement pour toute modification critique des fichiers, d'accord. Il se peut que votre environnement contienne des fichiers sensibles. Vous ne vous attendez pas à ce qu'ils changent un logiciel de surveillance de l'intégrité des fichiers vous indiquera si ce fichier a changé et déclenchera une alerte. Vous devez donc également l'intégrer à votre environnement. Supposons donc que votre application ait un fichier de configuration sensible qui n'est pas censé changer. Et si ça devenait étrange ? Ok, donc cette solution de surveillance de l'intégrité des fichiers déclenchera une alerte et vous l'enverra qui devrait être là. Et en dehors de cela, si vous avez un environnement sans fil qui se passe sans fil, vous devez également publier un candidat pour les canettes sans fil pour vous assurer que le nouveau réseau sans fil non sécurisé ou peut-être malhonnête points d'accès. Après avoir créé, nous avons généralement trois outils et des outils commerciaux. Vous pouvez analyser l'ensemble de l'environnement et nous trouverons s' il existe des points de vulnérabilité ou de violence routière. Et nous avons parlé de segmentation. Tu te souviens ? Nous avons dit que, d'accord, du point de vue de la segmentation, il devrait y avoir quelque chose qui baisse. Et donc ce sera généralement un pare-feu et IDS et IPS. Nous faisons donc quelque chose que l' on appelle une boîte de segmentation, qu'est-ce que l'analyse de segmentation ? Segmentations Quelqu'un peut-il réellement essayer de compromettre la segmentation ? Donc, à partir de l' environnement du titulaire de carte, il essaie de passer à l'environnement non cloud ou à partir du goût umami non Guardiola Le saut non cloud ou à partir du goût umami non Guardiola au cardo, l'environnement. Il vérifie l'adéquation de la segmentation qui s'est produite, qu'elle soit bonne ou non. C'est pourquoi c'est si important les gars, car toutes ces choses que vous devez faire, les différents moments où ils sont, d'une manière ou d'une autre, je savais qu' une demi-année les mettrait dans votre calendrier. Nous avons parlé d' un processus BAU, n'est-ce pas ? C'est ce dont je parlais. En général, ce que font les entreprises et les mandats de PCL , vous devez disposer d'une méthodologie de test d'intrusion. Et vous mettez ce qui est externe, interne, comme quoi, qu'est-ce qui va se passer chaque année ? Que va-t-il se passer après chaque changement ? Si la segmentation change, comment allez-vous la tester ? Comment allez-vous procéder au niveau 1 de l'application ? Comment allez-vous poser un interrupteur ? Peuvent tous avoir leur documentation dans une formule appropriée est document et le mettre à la disposition de tous. Ainsi, vous n'aurez pas comme une surprise de coton et vous manquerez scan critique que vous êtes censé faire. C'est un niveau élevé , un peu simpliste, mais cela vous indique quelles normes devraient être appliquées dans votre environnement. Donc j'espère que ça, c'était comme si ça te donnait une idée claire. Commencez par ça. Au début, cela devient très accablant et devient lentement, lentement, comme un BAU pour vous. Une fois que vous l'avez intégré à votre processus BAU, vous constaterez que cela devient beaucoup plus facile. Ok, les gars. Ok, ça termine l'avant-dernier. Nous devrions donc passer à la dernière. 17. 4 - Exigence 12: Bonjour à tous, bienvenue dans cette leçon. Nous avons maintenant atteint la dernière exigence du paramètre Alpha, la documentation et l'évaluation des risques. Donc, la précédente était une exigence très technique concernant les tests au stylo et b, a et P, D et toutes ces choses. Nous parlons maintenant de quelque chose beaucoup plus simple la documentation et les évaluations des risques. Donc ici, les gars, nous parlons de quelque chose que vous devez faire comme, du point de vue de la diligence raisonnable, l'auditeur doit savoir que toutes vos politiques de sécurité des informations ont été formalisées, d'autres choses loin de ce qu'ils devraient faire et qu'ils ne devraient pas faire. Cela permet de vous protéger en cas de violation. Ensuite, vous pouvez prouver que vous avez tout fait de votre point de vue. Vous devez vous assurer que vos politiques de sécurité ont été approuvées et que l'organisme a été appelé, communiqué et approuvé par tous les employés auxquels ils ont reconnu leur présence. OK. Si vous êtes un fournisseur de services, vous devez disposer d'une charte PCI DSS. Il indique qui est responsable de PCI DSS et qui va mettre en œuvre le programme et qui est responsable de PCI, DSS. Il doit vous dire qui est la personne responsable et comment elle communiquera avec la direction, d'accord. En dehors de cela, vous devez également avoir un inventaire des fournisseurs tiers, personnes externalisées ou des fournisseurs tiers qui ont accès à votre environnement cardinal. Parce que s'ils font des compromis potentiels sur votre environnement, vous devez disposer d'une liste de tous les fournisseurs de services tiers et indiquer s'ils sont certifiés PECS ou non. OK. Tu dois avoir la liste. La plupart d'entre eux sont généralement disponibles et vous pouvez les intégrer à votre calendrier, mais assurez-vous que ces documents sombres et sombres sont en retard. C'est donc assez simple de commenter principalement à propos de la documentation. Cela prend beaucoup de temps. Mais si vous travaillez avec votre TSA, il s' agit souvent de modèles prêts à l'emploi déjà disponibles. Vous devriez donc pouvoir gagner du temps avec cela. Comme je l'ai dit, vous devez avoir une politique écrite de conformité et de sécurité. La charte devrait être disponible pour votre fournisseur de services. Vous devez vous assurer que j' ai un examen trimestriel pour vous assurer que tout le monde respecte les exigences que tout le monde a approuvées sur la sécurité de l'illustration. Enfin, une évaluation des risques très importante, PCR demande à chacun de réaliser une évaluation annuelle des risques afin d' identifier les actifs critiques. La vulnérabilité Scratch est acceptable car elle vous aidera à hiérarchiser les risques. Et si vous adoptez une approche proactive à cet égard, cela porte vraiment ses fruits à long terme. C'est quelque chose qu'elle dit quelque chose que les gens pensent que c'est comme un après-midi de formalité chaque année. Mais si vous le faites correctement et que vous lui accordez le temps et le respect nécessaires, je peux vous dire que les évaluations des risques peuvent identifier nombreux problèmes de manière proactive, bien plus encore avant que l'auditeur ne le découvre que je souhaite signaler cela avant, car les évaluations des risques vont devenir très, très importantes dans la prochaine révision, qui est la version PCI DSS pour cela. Si vous le faites, si vous ne vous êtes pas trop concentré là-dessus, cela pourrait devenir un problème pour vous. Alors commencez certainement à vous concentrer là-dessus. J'en parlerai plus dans le prochain cours, dans le prochain cours que j'ai, qui porte sur PCI DSS 4. Mais s'il vous plaît, ne faites pas d'évaluation des risques , aimez la formalité artistique que vous devez faire et oubliez cela. Ok ? Donc, concentrez-vous vraiment, il n'y aura pas copier-coller ce que vous avez fait l'année dernière à l'année suivante et vous vous êtes vraiment concentré là-dessus et cela portera certainement ses fruits à long terme. Ok, donc ça met fin à votre procès à venir les gars, j'espère que cela vous a été utile. Passons à un sujet très important que nous devons aborder, à les contrôles compensatoires. C'est ce qui arrive si vous n'êtes pas en mesure de répondre à une exigence. Je te vois dans le prochain cours. 18. 4 - Contrôles de compensation: Salut les gars. C'est un cours très, très court, mais c'est très important. Vous avez donc couvert toutes les exigences relatives aux sentiers, n'est-ce pas ? Mais que se passe-t-il si vous ne pouvez pas manquer une exigence PCI ? Ok ? Prenons un exemple. Vous devez appliquer des patchs dans les 30 jours, n'est-ce pas ? Correctifs critiques. Que se passe-t-il si nous ne pouvons pas appliquer de patch ? Ou que se passe-t-il si vous ne pouvez pas mettre en œuvre la surveillance de l'intégrité Que se passe-t-il alors ? Il existe donc ce qu'on appelle des contrôles compensatoires. Cela arrive quand, quand une partie ne peut pas rencontrer un appartement prédéfini, vous faites une raison illégitime. Ce n'est pas là qu'on est paresseux, peut-être que le système ne le supporte pas ou qu'ils ne le supportent pas. Il existe certaines contraintes. Mais ce que tu fais, c'est mettre une autre commande là, d'accord ? Peut-être que tu ne peux pas le patcher. Mais vous avez une surveillance 24 heures sur 24 et 7 jours sur 7 et vous avez d'autres outils qui vous alerteront immédiatement si quelqu'un essaie d'exploiter ce correctif. Ok ? Cela dépend donc vraiment. Les données sont vraiment un art. Qu'est-ce que tu en dis ? C'est comme si vous deviez vous asseoir avec le QSEN, lui faire comprendre ce que vous avez fait, comment vous avez atténué ce risque et varier l' efficacité de cela. Il change d"environnement en environnement de peu d"esthétique aux États-Unis. Ok ? Mais n'oubliez pas que vous devez vraiment être bon en matière évaluation des risques pour ce faire. Donc, le contrôle compensatoire en bref, vous devez remplir une feuille à transmettre à l'auditeur. À quoi cela ressemble-t-il ? C'est comme celui-ci. Comme j'ai pris l'exemple. C'est ça, tu dois finir ça. Vous devez montrer quelles sont les contraintes, d'accord, pourquoi vous ne pouvez pas répondre à un commentaire comme pourquoi vous ne pouvez pas corriger ce trimestre ou pourquoi ne pouvez-vous pas aimer implémenter la surveillance de l'intégrité des fichiers, alors vous devez avoir l'ancienne définition. Quels sont les contrôles que vous avez mis en place ? Quel est l'objectif de ces contrôles ? Quel est le risque qu'en raison des correctifs ne soient pas présents ou quelque chose comme ça, et comment l'auditeur validé des contrôles compensatoires denses ? Et comment allez-vous vous assurer que personne n' altère ces commandes ? C'est donc quelque chose que nous allons revoir. Et tu dois vraiment le satisfaire pour t'assurer que ce n'est pas juste quelque chose que tu as mis là-dedans pour t'échapper ? Non, c'est quelque chose auquel vous avez pensé et que vous l'avez mis en œuvre correctement. Alors, s'il vous plaît, les contrôles compensatoires sont un sujet très important. Elles ne seront pas remplacées, mais elles constituent une nouvelle façon de faire les choses à venir, ce que l'on appelle l'approche personnalisée. Je vais en parler dans la version PCI DSS pour le module. Mais sachez simplement que ce sont des contrôles compensatoires que vous devez faire si vous n'êtes pas en mesure de répondre à une exigence particulière. Et il y a d'autres moyens de faire qui se profilent. Ok les gars, donc ça termine le module des exigences. J'espère que cela vous a plu et j'espère que vous avez appris certaines choses et que vous vous retrouverez dans le prochain module. Merci. 19. 5 - SAQ et ses types: Bonjour à tous, bienvenue dans cette leçon. Maintenant, nous allons parler des types de questionnaires d' auto-évaluation que vous avez remplis aux exigences PCI, DSS, n'est-ce pas ? Et juste pour récapituler rapidement, la SAQ, le questionnaire d'auto-évaluation. Il s'agit d'un outil de validation permettant aux commerçants et aux fournisseurs de services communiquer les résultats de l'évaluation PCI DSS. Si vous n'êtes pas tenu de faire un audit complet et de soumettre un ROC, rédigez un rapport de conformité. Cela dépend de la façon dont vous traitez les données stockées dans les données, ils sont différents SET qu'il doit remplir. Par exemple, si vous n'avez pas de boutique en ligne, vous devriez peut-être remplir autre chose. Ou si vous avez une constante, c'est quelque chose comme si vous étiez obligé de le faire. La façon dont vous traitez les données change le type de vésiculaire. J'ai vu parfois les gens s' embrouiller quand il s'agit d'exécuter. Donc les types d'entre eux parce qu'ils sont comme autour de lui. J'ai donc pensé qu'il serait bon donner quelques conseils sur le type de SEQ requis pour quel type de scénario. Jetons donc un coup d'œil à ça. Juste un petit récapitulatif. La base que vous devez juste vous faire savoir, si vous n'êtes pas tenu de faire un audit complet, vous devez remplir un SAQ est généralement destiné aux petits fournisseurs de services aux commerçants. Il s'agit d'une série de questionnaires. Cela peut être assez long. C'est comme si les pages montaient parfois à 87 pages, des questions par oui ou par non. Et comme je l'ai dit, il y en a huit, donc en gros, utilisez et selon le type d' environnement que vous avez, vous allez ensuite sélectionner celui-ci. N'essayez pas de le faire vous-même la première fois que vous pouvez vérifier auprès des États-Unis ou de votre plan de paiement. Ils leur ont demandé quel type de SEQ je devais remplir. Cela ne devrait donc pas être difficile à condition de faire correctement vos devoirs. Il s'agit des types de SKU. Je ne vais pas lire sur une table ennuyeuse. Je sais que personne ne veut que je fasse ça. Mais ce sont les termes autour de huit types d'appels audio acycliques. Alors jetons un coup d'œil. Beaucoup le questionnaire d'auto-évaluation. Alors, que dit le guide de l' APC ? C'est le cas si votre entreprise occupe entièrement de la collecte et traitement des données des titulaires de carte auprès d'un fournisseur de services tiers conforme à la norme PCI. Si vous ne faites rien concernant les données des titulaires de carte, vous avez complètement externalisé tout. Ce qui se passe généralement, c'est que je l'ai vu dans des scénarios où il existe un commerce électronique complet, peu comme dans un environnement de commerce électronique où vous ne faites rien sur votre site Web lorsque l'utilisateur clique dessus, comme s'il était redirigé vers quelqu'un d'autre et c'est là que la transaction a lieu. Et vous revenez simplement et vous dites, OK, cette transaction a été réussie. Tu n'as rien à faire. Pour ce type de scénario. J'ai vu qu'une SAQ est la plus adaptée en tant que sous-traitance complète et complète. Et c'est comme si vous ne stockiez processus lié à la carte de transmission à aucun moment. C'est donc pour l'assurance qualité de base, c'est généralement la meilleure solution pour ce scénario. Il en existe une autre appelée API SQL. Encore une fois, il existe un environnement de commerce électronique et la collecte du traitement des données des titulaires de carte a été externalisée à un tiers conforme à la norme PCI. C'est donc similaire au précédent, mais dans celui-ci, que se passe-t-il ? Vous contrôlez le flux des données des titulaires de carte vers le fournisseur de services. Ok ? Donc, généralement, ce qui arrive aux clients, ils veulent plus de personnalisation de l'environnement. Ils contrôlent donc la façon dont le site Web envoie les données des titulaires de carte et c'est ce que vous appelez. Ils ne prennent pas les données des titulaires de carte, mais ils contrôlent la façon dont les utilisateurs redirigés vers le site Web pour le recouvrement des paiements. Cela se produit généralement lorsqu'ils n'aiment pas que les pages tierces ce que vous appelez les pages par défaut et qu'ils veulent faire une certaine personnalisation. Donc, pour ce type de scénarios où une API sécurisée, c'est généralement le bon choix pour votre documentation de conformité. OK. Questionnaire B. B. Ce sont ces quatre types de transactions par correspondance et par téléphone que vous aimeriez que la banque approuve les terminaux de paiement. Ce sont généralement des lignes analogiques, pas des lignes téléphoniques analogiques. Ils n'ont donc aucun traitement et stockage électroniques de données. En gros, nous parlons de lignes téléphoniques et elles ne sont même pas connectées à la voix sur IP comme l'analogique. Vous verrez ces marchands qui sont généralement un peu coupés du monde comme loin pour tous les marchands qu'ils ressentent juste pour ce qu'il a appelé les terminaux et les terminaux de paiement qui sont connectés aux lignes téléphoniques parce qu'ils n'ont pas connexion Internet et qu'ils n'ont rien de tel. Ils l'utilisent pour ce genre de questions. La séquence B est celle qui est utilisée. Je ne l'ai pas utilisé. Je ne l'ai pas vu tellement utilisé. C'est le scénario dans lequel vous allez utiliser celui-ci. Qu'est-ce que SEQ BIP ? Dans celui-ci, encore une fois, nous avons la vente par correspondance, les transactions de commande téléphonique et les terminaux de paiement, mais vous les recevez également en personne. Et il est connecté à un réseau IP. Comment tu appelles ça ? Non, ce n'est pas comme une connexion analogique, ici vous avez une connexion IP. Soudain, ils peuvent avoir accès à Internet ou au sans fil comme ça. se traduit généralement par des temps de traitement plus rapides, mais vous devez ensuite ajouter plus de couleurs, davantage de contrôles de sécurité sont-ils en place et vous devez segmenter ce réseau, d'accord ? Parce que dans ce cas les données de paiement sont transmises via le réseau. C'est donc là que le PIF entre en jeu. Si vous pouvez le vérifier à partir du nom. IP. Dans les 22 précédents, il n'y a que des lignes téléphoniques analogiques ici. C'est un réseau IP. OK. Qu'est-ce que l'essai Q. C. Okay. Oui, donc dans celui-ci, vous recevez les données du titulaire de la carte en personne, et encore une fois, les transactions de vente par correspondance et vous utilisez un système de point de vente. Qu'est-ce que c'était dans le précédent ? C'était donc comme un terminal de paiement de la justice. Mais ici, vous avez un terminal de point de vente qui n'affiche pas toutes les données de la carte. Rappelez-vous où il a parlé, à droite, du stockage des données de la carte. Donc, généralement, vous avez ces caisses enregistreuses et elles sont connectées à l'arrière d'un serveur. Et ce serveur peut être hébergé à l'extérieur. Mais c'est ce qui se passe dans le scénario. Donc, vous avez comme un terminal de point de vente qui n'est pas configuré pour stocker les données de la carte carburant. Et vous avez comme une précision à propos d'un serveur back-end. D'habitude, j'ai vu ces détaillants utiliser ces grosses caisses enregistreuses, non ? C'est là que le SAT s'applique généralement à C v, t. Et pour celui-ci, même à partir du nom lui-même, on peut dire que c'est comme un terminal virtuel de Verbit. Dans certains cas, vous n' avez donc pas de terminal physique. Ok ? Vous avez donc ici un terminal virtuel à usage. Et en général, il existe un poste dédié à un endroit précis pour le traitement des paiements. Parfois, quand vous permettez à vos clients faire du self-service et tout ça, non ? C'est là que cela entre en jeu. Ok, P2. P2, P0, P2P signifie chiffrement point à point. Il s'agit donc d'une norme que le conseil PCI a introduite. Toutes les données sont cryptées à partir du point de capture kill que le point renvoie pour traitement. Donc, si vous êtes un commerçant, vous n'êtes pas obligé de le faire. Il s'agit d'une norme totalement offshore, mais elle réduit la portée de la conformité Piaget. J'ai vu que beaucoup de codes de service ne sont pas proposés par les banques comme solution aux commerçants s'ils veulent réduire la complexité, nous ne voulons pas avoir à nous soucier du paiement et tout ça. Il faut généralement avoir des terminaux spéciaux dédiés à cela. Ok ? Ensuite, la transaction est renvoyée pour être renvoyée au fournisseur de services pour déchiffrement et traitement. Ici, l'essentiel est que nous utilisons des terminaux de chiffrement point à point validés . Ok ? Si vous l'utilisez, il s'agit d'un questionnaire. Ce questionnaire est beaucoup plus simple que les autres, et c'est là le but. Vous souhaitez réduire la charge liée à la conformité. Vous ne voulez pas répondre à cette grande question, c'est la suivante, et cela devient comme une incitation pour les commerçants à adopter ce type de solutions. Ok ? Et maintenant, nous en sommes au dernier, qui est la sécurité et donc tout ce qui ne s'applique pas aux critères précédents. Et vous ne voulez pas, par exemple, stocker des informations sur les titulaires de carte et ne pas utiliser comme un système stratifié point à point. Et en gros, aucun des critères précédents ne s'applique à vous en tant que sécurité. J'ai souvent vu des marchands commencer par cela parce que dans ce scénario, vous adoptez simplement l'approche la plus sûre et remplissez simplement leur sécurité parce qu'ils ne veulent pas se lancer dans les tracas en découvrant exactement ce que sont les commentaires sécurisés de réglage des données, ils remplissent simplement leur sécurité et le soumis. Cela vaut donc pour les commerçants et les fournisseurs de services, ainsi que pour les fournisseurs de services. J'ai travaillé dans un fournisseur de services pendant de très nombreuses années. En gros, ce n'est pas comme si un paiement se passait comme Visa, MasterCard, et que vous n'étiez pas comme une banque, n'est-ce pas ? Mais vous traitez, stockez et transmettez les données des titulaires de carte pour le compte d'un commerçant offrant une offre bancaire. Donc, en gros, tu décharges tout, d'accord ? Généralement des prestataires de services, ils effectuent l'audit complet parce que leur environnement est beaucoup plus critique. Vous n'avez pas de données. Entité, vous avez la version bêta. Dieu sait combien d'entités sont des centaines de banques, des centaines de milliers de marchands. Ils font donc généralement l'audit complet, mais vous pouvez remplir leur sécurité. Vous devriez vérifier auprès de votre course permanente et savoir ce qu'elle pense être applicable à vous. Si vous êtes un fournisseur de services, je vous recommande de ne pas vous fier à une clé sécurisée, ne pas vous fier à une clé sécurisée car elle n'est pas vérifiée de manière indépendante. J'ai essayé de toujours passer en revue l'audit complet. Surtout si vous êtes un fournisseur de services. Ok, les gars. Cela ferme le corps appelé partie SEQ. Et je vous verrai dans le prochain module, qui est très important, qui concerne les changements clés de leur version 4 de la norme. Merci les gars. Je te vois à la prochaine leçon. 20. 6- PCI DSS v4 et les changements clés: Bonjour à tous. Bon, nous avons atteint le dernier chapitre, qui est le dernier et qui est le plus tourné vers l'avenir, c' est-à-dire les principaux changements dans les zéros de la version 4. Donc, vous savez peut-être que la version 4 mari a été rendue publique. Cela a été le résultat de divers efforts déployés par le conseil de la CPA pour mettre à jour la norme. Vous ne le rendez pas plus pertinent. Si je n'ai pas créé cette section séparée, c'est parce que je veux que vous restiez calme et que vous continuiez à vous concentrer sur vos efforts de conformité avec la version actuelle de la norme. En même temps, prenez le temps de lire et de planifier la version 4 de la norme PCI DSS. N'essayez pas d'implémenter 4 dès maintenant vous allez vieillir car c'est un changement majeur. Ce n'est pas quelque chose que vous pouvez simplement commencer à mettre en œuvre immédiatement. Vous devez bien comprendre quels sont les changements et comment ils s' inscriront dans le tableau d'ensemble. Ok les gars, juste un câble, vous n'êtes pas tout excité et commencez à implémenter tout de suite. De quoi parle-t-on ? Tout d'abord, pourquoi la norme a-t-elle changé ? Donc, si une révision majeure se produisait, eh bien, cela pourrait être une question. Vous pourriez vous demander pourquoi la console PCA procédé à une telle réécriture de la norme PCI DSS ? Et le PCI DSS est une norme assez mature pour des raisons pour lesquelles ils veulent s'assurer qu'il a besoin de normes de sécurité, les besoins du secteur des paiements, non ? Parce que la technologie évolue. Nous n'avions pas de cloud avant et d'autres choses avant, n'est-ce pas ? Et ils l'ont rendu plus mature du point de vue de la sécurité. La sécurité ne ressemblait pas tellement à ce que nous appelons ici un lien avec la gestion des risques et des processus matures. Les entreprises disposent désormais de technologies innovantes qui répondent à l'objectif des exigences. Tu te souviens de ce que je t'ai déjà dit ? Essaie de comprendre l'intention. N'essayez pas simplement de mémoriser le standard, d'accord ? Parce que ça ne t'aidera pas. Et cela vous donne beaucoup de flexibilité, ainsi que la prise en charge d'une méthodologie supplémentaire. Ils l'ont donc rendue beaucoup plus flexible, beaucoup plus ouverte. Vous pouvez avoir beaucoup de discussions avec le QS, c'est juste rappelez-vous, mais c'est très, très important. Mais les gars, vous devez vous concentrer sur la gestion des risques en tant que méthodologie. Ne vous contentez pas d'être technique. Comprenez comment c'est. Comment fonctionne la gestion ? Si tu ne le sais pas déjà. Le calendrier clé, juste pour moi pour donner un sens à ce diagramme, le standard, le nouveau reste option jusqu'au 31 mars 2024. Et puis cette version trois passera à l'ancienne version, 3.2.1, elle sera retirée. Après cela, vos audits commenceront à se produire uniquement pour la version 4.2 de la norme PCI DSS. Certaines des nouvelles exigences sont pas non plus obligatoires avant le 31 mars 2025. ici là, elle sera considérée comme une bonne pratique. Ok. Tellement de commentaires ont été ajoutés à la norme, leur futur daté de mars 2055, comme je l'ai dit, afin de permettre le développement des nouveaux processus avant que je doive faire des commentaires puissent être appliqués. C'est pourquoi je me concentre. J'en ai fait une norme distincte parce que je ne voulais pas vous embrouiller, n'est-ce pas ? Je vais me concentrer sur les principaux changements. Vous avez donc jusqu'au 31 mars 2024 pour comprendre et appliquer les nouvelles exigences aux normes. Et le QS, c'est que nous allons venir. Ils peuvent commencer à auditer par rapport à la norme. Ok. Deux ans, c'est beaucoup, mais ce ne sont pas vraiment des dés. Ne sous-estimez pas la rapidité avec laquelle le temps passe et la rapidité avec laquelle les choses changent. Vous obtiendrez une tasse solide. D'autres choses. Je vais t'apprendre à te concentrer sur les choses sur lesquelles tu dois te concentrer et ce que tu devrais faire, d'accord ? Ok ? Donc, la première chose est que ce n' pas une chaîne si grande, mais une portée. Donc, auparavant, la définition de la portée, si vous examinez ce type de cadrage c' était comme si elle commençait une discussion initiale. C'était dans l'introduction. Cela ne faisait pas partie des exigences de la norme, mais maintenant le conseil l' a intégré aux normes d' exigences. Ok ? Et ils en ont fait une exigence de traçabilité effective immédiatement pour la version 4. Ce n'est donc pas comme des données futures dans d'autres. Ok ? Vous devrez donc documenter votre exercice de cadrage. Si vous êtes un commerçant, vous devez le faire chaque année et si des changements surviennent ou quelque chose du genre, si vous êtes un fournisseur de services, vous devrez le faire tous les six mois. Ou un usager est constitué de données de structure de données. Donc, si vous êtes un commerçant, assurez-vous de faire votre, vous devriez le faire de toute façon, commencez à documenter votre exercice de cadrage sur une base annuelle. Cela peut être un peu compliqué la première fois, mais ensuite cela devient plus facile. Si vous êtes un fournisseur de services, sachez qu'après le 31 mars 2025, vous devez le faire tous les six mois. Mais après tout changement majeur, comme quelque chose qui a changé d'une manière que les systèmes des personnes traitent, vous devez en tenir compte. Ok. Qu'y a-t-il d'autre dans le stockage des données d'authentification sensibles ? Eh bien, vous ne devriez pas stocker de données d'authentification sensibles, mais après autorisation. Nous en avons déjà discuté , n'est-ce pas ? Certaines organisations. Ainsi, avant que la transaction ne soit autorisée, ils conservent temporairement les données. Il a été recommandé d'accord. Vous le stockez pendant une minute, une demi-heure, peu importe ce qui a été recommandé, vous devriez essayer de crypter un droit protégé. Ce n'était pas obligatoire. Eh bien, ce ne sera plus une recommandation après le 31 mars 2025. Ce qui s'est passé, c'est qu'ils ont été témoins de nombreuses attaques. Les attaquants peuvent essayer compromettre disparu dans la mémoire, ce stockage temporaire, ils essaient de le compromettre. Ok. Donc, même si vous le stockez pendant cinq minutes, ils le sauront et essaieront de le récupérer de mémoire. Donc, vous aurez même dans la mémoire, mais ensuite le stockage temporaire, vous devrez le crypter. Ok. Il suffit donc de garder cela à l'esprit. Et ce ne serait pas une recommandation après le 31 mars 2025. Ok. Qu'y a-t-il d'autre accès à distance ? Donc, si vous utilisez l'accès à distance dans l' environnement du titulaire de carte, d'accord ? Ensuite, vous devez empêcher la copie et le déplacement du dossier de données du titulaire de la carte. Quelqu'un peut copier-coller ces données. C'est ce qui a déjà été mentionné dans la recommandation standard qui sera une exigence. De nombreuses entreprises ont vu ce qu'elles faisaient auparavant pour mettre en place une politique à ce sujet. Mais maintenant, elle doit être mise en œuvre par une technologie, d'accord ? Habituellement, cela ne devrait pas être trop difficile. Généralement, si vous avez des paramètres dans votre logiciel d'accès à distance qui empêchent le copier-coller ou si vous avez des fonctions DLP, d'accord ? Donc, selon ce que vous avez et votre processus actuel, même s'il est très facile, cela peut être un peu difficile. Vous pourriez avoir besoin d'investir dans un peu plus de technologie c'est tout ce dont vous avez besoin pour contrôler cela. Il suffit donc de garder cela à l'esprit pour cette exigence. Bon, pare-feu d'application Web. C'est donc assez simple les gars. N'oubliez pas, je vous ai dit que vous pouvez avoir un pare-feu d'application Web ou des peintres d'applications. C'était une recommandation. Eh bien, maintenant tu dois l'avoir. Ce n'est plus optionnel. Ok. Vous devez avoir une valve après le 21 mars 2025. Honnêtement, vous devriez avoir un brouillon comme je vous l'ai déjà dit, n'essayez pas de vous contenter de critiques de codage sécurisées ou de vous énerver, vous devriez avoir un pare-feu d' application Web par défaut. Donc, si vous ne le faites pas, commencez à le faire dès maintenant, commencez à budgétiser pour cela. Saute sur les pages de paiement. C'est donc assez intéressant. Autrefois, c'était comme un supplément du Conseil des PTA. Cela ne doit pas initialement faire partie de la norme PCI. Si vous avez des pages de commerce électronique avec des scripts en cours d'exécution, que devons-nous faire si vos scripts sont en cours de chargement ? Vous devez vous assurer qu'ils sont autorisés et que personne ne peut modifier ces scripts. Et vous avez un inventaire de tous les scripts en cours d'exécution. Pourquoi ? Pourquoi cela se produit-il ? Parce que les phénomènes appelés skimming payments, skimming, les attaquants avaient l'habitude compromettre ces pages de paiement et injecter leurs propres scripts ou de falsifier les scripts existants. OK, c'est comme si vous saisissiez vos données, mais ces données sont en fait entrées sur la page de l' attaquant et le pH est authentique, n'est-ce pas ? Mais ils ont juste comparé avec le script. Il ne s'agit donc pas d' une attaque par hameçonnage car l'URL restera la même. C'est pourquoi maintenant c'est un très bon commentaire personnellement parce que le commerce électronique a commencé. C'est comme si le commerce électronique prenait lentement le dessus sur le monde physique. Et tu devrais avoir ces commandes. Alors jetez un coup d'œil à ça. Si vous avez un moteur de commerce électronique ressort, commencez à jeter un coup d'œil à la façon dont vous allez mettre en œuvre. Et vous pouvez jeter un coup d'œil au supplément sur le commerce électronique du conseil de la CPA. C'est également un très bon document qui va plus en détail. Ok. Quelles sont les autres exigences du MFA ? MFA a donc été un peu élargi. Alors, comment appellez-vous maintenant si nous avons reçu était destiné à l'administration et à l' accès à distance ? En ce moment, il va être étendu pour couvrir l'accès à l'environnement du titulaire de carte. Ok. Encore une chose. Ils ont donc ajouté un détail. Cela peut être un peu délicat. Alors, qu' est-ce qui se passait auparavant ? Habituellement, dans la plupart des solutions MFA vous entrez votre nom d'utilisateur et votre mot de passe, n'est-ce pas ? Cliquez sur Entrée, puis un autre écran s'affiche. Alors vous devez entrer votre code MFA, n'est-ce pas ? Maintenant. Tout cela doit se faire en même temps. Ce n'est donc pas comme si vous utilisiez un mot de passe pour la première fois. Ensuite, ils saisissent l'autre facteur juste en dessous du jeton. Maintenant, ils doivent se produire en même temps et ils ne peuvent pas vous dire quel sens le champ de mot de passe de l'ID utilisateur dans le jeton échoue. Vous ne pouvez pas révéler cette information. La plupart des fournisseurs devraient donc la mettre à jour. Mais quelque chose à garder à l'esprit. autre chose était finalement une bonne vue. Comme je vous l'ai déjà dit, les exigences de mot de passe PCI DSS étaient auparavant de sept. Maintenant, ils l'ont finalement amélioré à 12. Ils ne devraient pas constituer un problème plus grave. Mais si certains de vos systèmes doivent être mis à niveau, vous devez peut-être modifier la stratégie de mot de passe ou quelque chose de ce genre. Gardez cela à l'esprit. Un problème mineur est qu'ils ont changé, ils ont supprimé les références aux pare-feu et aux routeurs. Maintenant, ils l'ont mentionné en vigueur, contrôles de sécurité et l'anti-malware. Ils l'ont rendu plus cohérent avec la terminologie de l'industrie. La plupart des entreprises n'utilisent plus une construction d' antivirus réutilisant quelque chose d'anti-malware. Ok. Qu'y a-t-il d'autre ? Numérisation authentifiée. Donc interne via scan, il doit maintenant être authentifié. Cela signifie maintenant que vous pouvez simplement scanner vos ports et services et l'appeler via scan. Donc, si vous avez un serveur ou quelque chose comme ça, généralement, vous lui donnez un identifiant et un mot de passe de l'appliance ou de l'utilisateur. Il se connectera à cette machine et effectuera une analyse complète. Okay, prépare-toi pour un rapport beaucoup plus vaste si tu ne le fais pas déjà, honnêtement, on devrait déjà le faire. Vous devez toujours effectuer une analyse authentifiée. D'accord, mais si vous ne l'êtes pas et quand vous activez le yoga, parce que maintenant il va regarder, va s'authentifier et faire un scan beaucoup plus approfondi. Beaucoup de choses vont se passer, OK les gars, alors soyez prêts pour commencer à le faire dès maintenant. Une partie importante de cette nouvelle exigence est que les informations d'identification que vous entrez doivent être saisies et stockées en toute sécurité. Ok. Alors jetez un œil à ça. Si vous avez quelque chose comme un coffre-fort de mots de passe ou si vous pouvez intégrer un grand nombre de ces solutions, elles s'intègrent à Password works, vous n'avez donc pas à le saisir manuellement et rangez-le n'importe où. Ok. Il suffit de garder cela à l'esprit. Enfin, d'accord, le plus, personnellement à mon avis, le plus grand changement a été l'introduction des contrôles personnalisés. Qu'est-ce qui se passait auparavant ? Comme je vous l'ai déjà dit, si auparavant les entreprises ne pouvaient pas répondre aux exigences, elles pouvaient proposer ce qu' on appelle un contrôle compensatoire et l'utiliser pour contourner le problème. Par exemple, vous ne pouvez pas crypter données du titulaire de carte système hérité localisé, mettre un autre contrôle. Et cela revient à atténuer ce risque. Beaucoup de temps est curieux de savoir qu'on leur pose la question, non ? L'auditeur Les entreprises m' ont demandé, d'accord, nous avons une sécurité mais je ne peux pas répondre à l'exigence spécifique, mais j'ai des contrôles sécurisés. Ok. la réponse était correcte parce que vous pouvez implémenter un contrôle de compensation, qui est une solution temporaire jusqu'à ce que vous répondiez à l'exigence, jusqu'à ce que vous résolviez finalement ce problème. Ok ? Donc, version 4 de la norme, ils ont essayé de résoudre ce scénario en introduisant ce concept d'approche personnalisée. Les entreprises clientes qui ont une sécurité mature, d'accord ? Et ils ont d'autres contrôles, ils peuvent répondre aux exigences d'autres manières. Ce n'est donc pas un contrôle compensateur, c'est tellement un moyen beaucoup plus complexe et beaucoup plus efficace de répondre à l'exigence. Ok ? Donc les choses précédentes, la façon précédente de faire et cela s'appelait une approche définie. Pci a été mis en œuvre s' appelle une approche définie. Vous allez maintenant avoir une section distincte intitulée «  Approche personnalisée », d'accord ? En gros, vous allez proposer un nouveau contrôle, c'est-à-dire les exigences. Donc vous ne compensez pas vous ne compensez pas un écart. Ok. Vous mettez en place un nouveau qui répond l'objectif PSA et qui, bien entendu, sera évalué par l'auditeur PCI. Il s'agit d'une excellente solution pour les entreprises qui ne peuvent pas répondre directement aux exigences, mais qui disposent de pratiques de gestion des risques éprouvées et de technologies innovantes. Ok ? À quoi cela ressemblerait-il ? C'est un peu comme ça. Donc l'ancienne approche qui définissait l' approche était, eh bien, j'ai une exigence PCI et je ne peux pas la satisfaire, donc je vais mettre en place un contrôle compensatoire. Je compense un manque de contrôle et je suis documentaire à court terme. L'auditeur avait l'habitude de dire : « OK, nous acceptons maintenant, peut-être qu' après un an, cinq ans, nous devrons mettre en œuvre une solution. Bon, maintenant, j'ai une pizza que je ne peux pas satisfaire, j'ai un contrôle personnalisé, je l'ai faite et elle répond à l'objectif de l'exigence. La norme PCI dit que ce XYZ ne devrait pas se produire, cognitif ne devrait pas être volé. Ok, je réponds aux exigences et je l'ai implémenté. Vous pouvez donc toujours effectuer des contrôles compensatoires, mais ces nouvelles approches constituent moyen beaucoup plus stratégique de le respecter. Donc, comme je l'ai dit, n' oubliez pas que vous ne compensez pas comme à court terme. Vous mettez maintenant en œuvre une approche à long terme pour sécuriser correctement vos exigences PCI. Ok ? Voici donc à quoi ressemble la norme afin qu'ils puissent la regarder et la styliser. Vous n'êtes pas obligé de commencer à le mettre en œuvre immédiatement. Et cela peut sembler un peu accablant. Je vais donc vous donner des conseils pour ce prix. Que faire à ce sujet, comment se concentrer là-dessus, d'accord ? Et juste pour être clair les gars, cette gestion et cette documentation sont une grande priorité sur le nouveau volet. Ainsi, lorsque vous effectuez vos activités, vous devez effectuer une analyse ciblée des risques pour comprendre pourquoi vous faites des choses. Vous devez vous assurer qu'ils sont approuvés. Si vous mettez en place des contrôles personnalisés, ils devront être approuvés par votre Chief Risk Officer ou CEO. Quelqu'un de plus âgé, OK. Ce n'est pas quelque chose comme je l'ai déjà mentionné. Pci DSS n'est pas un projet informatique. Mais dans le nouveau, ils mettent beaucoup plus l'accent sur ce point. Que vous devez avoir des rôles et des responsabilités clairement définis . Les contrôles personnalisés doivent être approuvés. Et une évaluation ciblée des risques doit être effectuée. Ne pensez pas que vous pouvez simplement créer une feuille Excel avec une colonne disant « J'ai fait une évaluation des risques ». Non, ça ne sera pas accepté comme ça. Comment faites-vous ? 21. 6 - Comment se préparer: Si vous connaissez Michael Lumia tout à l'heure à propos de l'évaluation des écarts, c'est pareil. Ok. Quels sont les points les plus importants sur lesquels il faut se concentrer en ce moment ? Tout d'abord, lisez la version PCI DSS pour Standard, familiarisez-vous avec les principaux changements qui peuvent avoir un impact sur votre processus de conformité, puis commencez à évaluer les lacunes, d'accord ? Pour moi, implémentez les changements. Probation pour saisie. Vous avez le temps, commencez tôt et vous n'aurez aucun problème pendant votre conversation. D'accord, n'oubliez pas de continuer à mettre en œuvre votre norme actuelle, 3.211, mais commencez à réfléchir à la façon dont vous allez effectuer les évaluations des risques. Une évaluation des risques plus formelle est la documentation requise, d'accord ? Et la plupart des organisations devront ajouter des processus et acquérir des compétences pour le faire correctement. Découvrez quels types de certifications existent. Commencez à vous concerter. Et le cube, même s' ils ne peuvent pas effectuer une évaluation 4 pour le moment tant qu'ils n'ont pas été formellement formés. Mais ça va se faire très, très vite. Ok. Mais en quelque sorte, cela vous donnera des conseils, mais n' attendez pas 2024 pour commencer à passer à PCI DSS pour fido, répartissez vos efforts au cours des prochaines années et tout ira bien, d'accord ? Ok. Souvenez-vous simplement de ces choses. Ils mettent même davantage l' accent sur la documentation. La gestion ciblée des risques a commencé à investir dans cet arbre et il existe de très nombreuses certifications pour la gestion des risques. Vous pouvez consulter ces certifications. Je ne vais pas proposer de nomination en particulier. Tu peux y jeter un œil. Ce serait une bonne idée d'investir dans l'obtention de certifications et de gestion des risques. Ils ne sont pas techniques, mais ils vous enseigneront les méthodologies pour effectuer des évaluations de risques appropriées. Ok les gars. Ok, donc ça termine la version 4. J'espère que vous comprenez maintenant les grands changements qui s'annoncent, comment vous pouvez vous y prendre. Comme je l'ai dit, il semble que deux ans, c'est loin. Cela peut être très court, très long. Répartissez vos efforts et en place un plan d'action approprié et cela devrait vous convenir. Ok, les gars, j'espère que ça vous a été utile. Voilà qui conclut et je vous remercie d'avoir participé à cette formation. Nous allons maintenant passer à la conclusion. Et dans ce cours, merci beaucoup d'être resté avec moi pendant cette période. 22. 7 - Chemin de l'avant: Ok les gars, félicitations pour avoir atteint la fin de ce cours. J'espère que vous l'avez trouvé intéressant. Ce n'était pas ennuyeux. J'ai essayé de le rendre aussi pratique que possible et de vous donner autant de conseils pratiques que possible pour le projet de classe. Je voulais juste te rappeler qu' on a parlé d'Essex. Je veux que vous collectiez un SAQ, rendiez aussi simple que la sécurité ou n'importe qui pour un commerçant physique sur le commerce électronique qui vous apprendra vraiment les différentes normes, les différents départements. Cela vous donnera une bonne idée des autres commentaires également, remplissez-le. Dites-moi comment vous vous y prenez et si vous rencontrez des défis depuis contactez-moi et faites-le moi savoir. Ok. Que pouvez-vous faire d'autre, les gars ? Vous pouvez consulter le programme PCI ISA, évaluateur de sécurité Internet, c'est une certification interniste que vous pouvez faire pour votre entreprise. Cela vous rend presque équivalent à ce que les États-Unis, mais vous ne l'êtes pas, vous n'êtes pas comme chez USAID, vous êtes plutôt votre propre auditeur interne, mais cela vous donne une formation complète sur la façon de conduire ces audits. Si vous êtes certainement intéressé par ce qui se passe. Comme je l'ai dit, n' attendez pas l'audit. Veuillez commencer à mettre en œuvre ces connaissances dès maintenant. Et vous allez certainement que c'est le meilleur moyen de conserver ces connaissances ou disons, un conseil pratique que je peux vous donner créer un document ou un manuel PCI pour votre entreprise pour le commerce électronique, comment mettre en œuvre ces exigences au taux journalier pour votre organisation. Et vous en apprendrez beaucoup, croyez-moi, vous en apprendrez beaucoup sur votre entreprise et sur la façon dont les différents commentaires s'intègrent. Et surtout, commencez à vous écarter de la version PCI DSS 4 est 0 aujourd'hui, ne le remettez pas à l'année prochaine ou à l'année suivante, sinon vous aurez de sérieux problèmes. Commencez à le mettre en œuvre dès aujourd'hui. Prenez les connaissances que je vous ai apprises et présentez-les à votre direction et voici ce que nous devons faire. Ok, les gars, c'est fini. Merci beaucoup d'avoir participé à cette formation. Merci de laisser un commentaire. Si vous avez trouvé cette formation utile, merveilleuse, faites-le moi savoir. Si vous avez compris que cette formation était la pire chose à laquelle vous ayez jamais assisté, faites-le moi savoir afin que je ne sois pas offensé. Et je vais l'utiliser pour améliorer sa formation ou prendre. Si vous êtes intéressé, vous pouvez me contacter sur ma chaîne, comme le responsable de la sécurité dans le cloud et d'autres cours que j'ai ici, accord, connectez-vous avec moi sur LinkedIn. Je serais heureux de vous aider en cas de problème. Ok, et c'est la fin de ce cours, les gars, merci beaucoup. J'espère que vous avez apprécié cette formation autant que j'ai aimé la suivre. Jetez un œil à mes autres cours et contactez-moi. Je vous souhaite bonne chance dans votre parcours PCI DSS et à bientôt dans d'autres cours. Merci beaucoup et bonne chance.