À quoi correspond un scan de vulnérabilité PCI DSS?

PCI DSS (Payment Card Industry, Data Security Standard) est un standard de sécurité applicable à l’industrie des cartes de paiement. A l’origine, chaque fournisseur de cartes bancaires souhaitait assurer un minimum de protection pour les commerçants avec leurs propres politiques de sécurité des données (Visa, Mastercard, American Express, Discover Card et JCB). Ces politiques visent à limiter les impacts
causés par une cyberattaque (vol de données, fraude, etc…) En 2014, le conseil des normes de sécurité PCI SSC a été mis en place, est l’ensemble des fournisseurs ont aligné leurs politiques respectives vers la première version PCI DSS (1.0).

Ce scan est-il nécessaire à votre entreprise ?

Oui, ce standard PCI DSS concerne l’ensemble des organisations qui traitent des données liées à des cartes de paiement (boutiques, restaurants, e-commerce, etc…).

Que doit-on tester et quels types de tests doit-on réaliser dans le cadre d’un environnement PCI DSS ?

Pour être conforme PCI DSS, il faut respecter certaines exigences :

➡️ Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes

➡️ Ne pas utiliser les valeurs par défaut de fournisseur pour les mots de passe du système et les autres paramètres de sûreté

➡️ Protéger les données des titulaires de cartes stockées

➡️ Chiffrer la transmission des données de titulaire de carte sur les réseaux publics ouverts

➡️. Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour des logiciels ou des programmes anti-virus

➡️. Développer et maintenir des systèmes et des applications sécurisées

➡️. Restreindre l’accès aux données du titulaire de la carte en fonction des besoins de l’entreprise

➡️. Identifier et authentifier l’accès aux composants du système

➡️. Restreindre l’accès physique aux données des titulaires de cartes

➡️. Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes

➡️. Tester régulièrement les systèmes et les processus de sécurité

➡️. Maintenir une politique de sécurité de l’information pour tout le personnel

Pour tendre vers une conformité PCI DSS, il faut structurer son système d’information sur le plan organisationnel et sur le plan technique. Au niveau organisationnel, il est assez courant de passer par une analyse de risques effectuée par des auditeurs spécialisés. Et au niveau technique, des outils permettent d’auditer les différents systèmes, notamment les scanner de vulnérabilités.

Boite noire, grise ou blanche ? Les interfaces de monitoring ou de gestion des logs rentrent-elles dans le périmètre des tests?

Les scans de vulnérabilités PCI DSS sont le plus souvent effectués sans aucune authentification ou informations données à l’auditeur (black box), cependant, dans certains cas, le client doit informer l’auditeur sur ses mesures de sécurité déjà existantes pour éviter de bloquer le scan (grey box). De plus, ceux-ci peuvent s’effectuer en externe ou en interne, et ils doivent être essentiellement ciblés sur les solutions qui traitent des informations de paiement (ex : applications e-commerce).

Comment peut-on réaliser ces tests ?

De nombreux fournisseurs de solutions de sécurité se sont spécialisés dans ce type de scan, le plus important est que ce fournisseur doit être approuvé par le conseil de sécurité PCI SSC (ASV – Approved Scanning Vendors).

Mais que se passe-t-il si l’auditeur trouve tout de même une faille dans ces applications ?

Et enfin, si l’auditeur effectue un scan de vulnérabilités PCI DSS et que celui-ci découvre des failles de sécurité, alors vous ne serez pas conforme. Pour obtenir une conformité, vous devez corriger les failles découvertes, et ainsi, l’auditeur pourra vous fournir un rapport de conformité ASV.

N’hésitez pas à consulter notre page dédiée au scan de vulnérabilité PCI DSS via ce lien : https://www.allistic.fr/pentest-test-dintrusion/

EDR, NDR, XDR… Mieux comprendre les solutions de cybersécurité modernes.

7 février 2024 Aucun commentaire

EDR, le premier rempart contre les cyberattaques Les solutions EDR, pour Endpoint Detection & Response, sont axées sur la protection des terminaux. Elles permettent de

Grandir et faire grandir – Interview d’Anthony

15 janvier 2024 Aucun commentaire

Ce mois ci, nous avons décidé d’interviewer Anthony.
Anthony a rejoint Allistic en tant qu’alternant dans le cadre de son Mastère Expert Cybersécurité

Protégez-vous des risques cyber pendant les fêtes de fin d'année grâce à Allistic.

Profitez des fêtes en toute sécurité : Maîtrisez les risques cyber pendant la période de Noël

18 décembre 2023 Aucun commentaire

La période de Noël apporte son lot de joie et de célébrations, mais elle s’accompagne également de risques cyber croissants. Si les particuliers sont concernés,

Cookie	Durée	Description
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Durée	Description
__hstc	5 months 27 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	5 months 27 days	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durée	Description
uuid	6 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.