14/10/2014

Nouveautés PCI DSS 3.0 : l'exigence 8.5.1

Une nouvelle exigence, qui sera obligatoire à partir du 30 juin 2015, impose aux PSP et Service Providers de faire attention à la sécurité de leurs clients !

Plus particulièrement, cette exigence s'applique aux Service Providers qui possèdent un accès distant sur les systèmes de leurs clients marchands. Typiquement, nous sommes dans le cas d'un fournisseur de passerelle de paiement qui peut se connecter sur les serveurs d'acceptation POS de ses marchands pour des raisons de maintenance et de support.

Dans ce cas particulier, le PCI DSS 3.0 impose que le fournisseur utilise un mot de passe différent pour chacun de ses clients. 

Chose qui peut paraitre évidente pour les experts sécurité, mais qui ne l'est pas forcément pour tout le monde.

En effet, si un marchand se fait pirater son système, le pirate peut obtenir le mot de passe d'accès distant utilisé. Dès lors, le pirate pourra tenter ce même mot de passe sur d'autres systèmes marchands et avec un peu de chance, pourra les pirater les uns à la suite des autres.

PCI DSS 8.5.1 "different authentication are used for access to each customer."

Aucun commentaire:

Enregistrer un commentaire