17/03/2014

Une nouvelle exigence intéressante introduite par le PCI DSS 3.0 : 

12.8.5 Maintain information about which PCI DSS requirements are managed by each service provider, and which are managed by the entity.

Il est désormais exigé d'avoir un tableau explicitant les rôles et les responsabilités entre l'audité et ses fournisseurs.

L'exemple typique est la relation hébergé / hébergeur et la gestion des correctifs de sécurité.

Posez la question "Qui est responsable d'installer les correctifs de sécurité ?". 

L'audité répondra à coup sûr "c'est notre hébergeur". Posez la question à l'hébergeur, il vous répondra "On installe ce que le client nous demande d'installer, on ne fait pas d'interruption de service sinon".

En cas d'intrusion liée à l'absence d'un correctif (exemple, une faille connue dans IIS .Net), chacun se retournera la responsabilité.

Cette nouvelle exigence 12.8.5 va contraindre les audités à définir clairement qui fait quoi, qui est responsable de quoi et c'est une très bonne chose pour la sécurité informatique.

En conservant l'exemple hébergé/ hébergeur, dans un scénario plutôt classique :

PCI DSS Responsabilités de l'hébergé Responsabilités de l'hébergeur
6.1 Veille en vulnérabilités concernant les couches au-delà de la couche Service : CMS, plugin CMS, librairies applicatives... Veille en vulnérabilités concernant les technologies Firewall et les systèmes d'exploitation, jusqu'à la couche Services Web. (Ex : Checkpoint FW1, Linux Redhat, Apache Httpd, Apache-Tomcat).
Alerter l'hébergé sous 3 jours d'apparition d'un correctif de sécurité et fournir une analyse du point de vue hébergeur.
6.2 Répondre sous 3 jours aux alertes de correctifs émises par l'hébergeur.
Installer de façon autonome les correctifs de sécurité concernant les couches au-delà de la couche Service (ex: Mise à jour Drupal-core.)
Sur confirmation du client et selon la procédure définie avec le client (retour arrière, heures d'installation), installer les correctifs de sécurité systèmes correspondant aux alertes précédemment émises.
Conclusion

Cette exigence ne s'applique pas uniquement à la relation hébergé / hébergeur que j'ai prise en exemple ici. Elle concernant tous les sous-traitants avec qui des données de carte sous partagés et tous les sous-traitants qui peuvent avoir un impact sur la sécurité du CDE.

Il est très important que cette répartition des responsabilités soit contractualisée par écrit. D'ailleurs, c'est le sujet de l'exigence 12.8.2 :

12.8.2 Maintain a written agreement that includes an acknowledgement that the service providers are responsible for the security of cardholder data the service providers possess or otherwise store, process or transmit on behalf of the customer, or to the extent that they could impact the security of the customer’s cardholder data environment.


Il est certain que beaucoup d'entreprises déjà certifiées PCI DSS vont devoir mettre à jour les clauses contractuelles et demande des avenants avec leur audit de (re-)certification.

Aucun commentaire:

Enregistrer un commentaire