25/09/2013

PCI DSS 3.0 : nouveautés réseau

La nouvelle version du standard PCI DSS apporte un grand nombre de clarifications et de nouvelles exigences.


J'aborde ici les principales nouveautés sur les aspects réseau. D'autres articles suivront.

Tout d'abord, en plus du schéma réseau détaillée, il est désormais obligatoire de maintenir un schéma des flux de cartes (data-flow diagram). Ce schéma devra illustrer les flux de cartes (avec des PANs) entre le CDE et l'extérieur, mais également les flux intra-CDE. Le format attendu et le niveau de détail dépendra de l'auditeur QSA.

Ensuite, on savait que les protocoles FTP, Telnet, POP3, IMAP étaient interdits, le PCI DSS 3.0 interdit désormais SNMP v1 et v2. Seul le SNMPv3 est autorisé car il possède un chiffrement natif du protocole.

Un sujet toujours mal compris : où doit-on placer la base de données ? Le PCI DSS 3.0 clarifie le sujet : Tous les systèmes qui stockent de façon non-volatile des cartes doivent être positionnés dans un VLAN distinct du VLAN où sont placés les serveurs qui sont en charge l'interface avec le monde extérieur (le VLAN DMZ où sont les serveurs web). Cette exigence ne s'applique pas à toutes les bases, uniquement celles qui stockent des PANs. Les serveurs qui stockent - temporairement ou non - des fichiers de transactions contenant des PANs sont également soumis à cette exigence.

Enfin, dans la lignée de la nouvelle notion de "Business-as-Usual" introduite par le PCI DSS 3.0, l'auditeur vérifiera désormais que la politique de sécurité réseau et ses procédures opérationnelles sont connues et appliquées au quotidien pour tous les protagonistes (admin réseau....). Le simple fait de produire un document ne sera pas suffisant.

Le document PCI DSS 3.0 sera publiée dans plusieurs semaines, je vous recommande de vous rapprocher de votre QSA pour analyser les impacts du 3.0 sur votre activité.

Aucun commentaire:

Enregistrer un commentaire