PCI DSS : New Risk Assesment Guideline published by PCI DSS Council

le PCI DSS COUNCIL vient de publier un nouveau guide. Il présente les bonnes pratiques à mettre en place pour réaliser les analyses de risques annuelles imposées par le standards PCI DSS ( Requirement 12,1,2)

Source :https://www.pcisecuritystandards.org/documents/PCI_DSS_Risk_Assmt_Guidelines_v1.pdf

Les aspects de formalisation sont très largement mise en avant dans ce document. Plusieurs méthodologies d’analyse de risque sont proposées (sans rendre leur utilisation obligatoire); Il s’agit de l’ISO 27005, NIST SP 800-30 et OCTOVA.

A priori, les QSA (Qualified Security Assessor) vont , sans doute, à partir de maintenant, demander un niveau de formalisation de vos analyses de risques conforme a ces références méthodologiques pour valider le pré requis 12,1,2.

Exemple (inattendu?) de fuite d’information de données cartes

Thierry ZOLLER a publié un exemple de fuite d’information de données cartes.

La cause : Génération de « truncated Pan » sur différents systèmes de paiement

Les bonnes pratique de sécurité sur les « Truncated Pan »  ne prennent généralement pas en compte l’existence de multiples systèmes de paiement dont les concepteurs ont une certaine latitude pour  « choisir » quels numéros de la carte doivent être tronqués

Résultats: Cf. copie d’écran sur le blog de Thierry ZOLLER: http://blog.zoller.lu/2011/12/pci-compliance-security-in-isolated.html

Il existe donc un risque de compromission des numeros de cartes car il « serait » possible de reconstruire un numero de PAN complet en collectant plusieurs TRUNCATED PAN générés par  différents systemes de paiement (si ces derniers n’appliquent pas les bonnes pratiques de sécurité , Cf doc VISA http://usa.visa.com/download/merchants/PAN_truncation_best_practices.pdf)

 

 

PCI DSS & Virtualisation : de nouvelles obligations ?

Le PCI DSS Council  est l’organisme en charge du standard PCI DSS. Il vient de publier un nouveau document précisant les règles de sécurité à appliquer dans un environnement virtualisé: de nouvelles et nombreuses obligations en perspective !

Source : https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf

Il est à noter que la notion de virtualisation est prise dans un sens très large par le PCI DSS Council : Bien évidement cela concerne la Virtualisation des systèmes d’exploitation (OS) mais aussi des réseaux, des systèmes de stockage (NAS/SAN) et… de la mémoire !  Les recommandations devraient donc s’appliquer à tous ces types de virtualisation; cependant la virtualisation des OS semble plus particulièrement visée.

Voici un résumé du contenu :

Le document explique quels sont les critères qui permettent d’inclure (ou d’exclure) les environnements virtualisés dans (du) périmètre PCI DSS. Ensuite, il est  précisé les  « nouvelles obligations associées » à la sécurisation des technologies de virtualisation. D’après notre compréhension,  Il semble notamment nécessaire :

1. De faire une analyse de risque spécifique de vos environnements virtualisés
2. De conduire une évaluation sécurité de la technologie de virtualisation que vous avez choisie (bilan des forces et faiblesses, capacité de la technologie à couvrir les menaces, choix des options de sécurisation à mettre en place,  formalisation de ces choix…)
3. De mettre en place des séances de formation de vos équipes de production/Sécurité pour les sensibiliser aux risques spécifiques associés à la virtualisation
4. D’auditer les flux de communications interne à votre environnement virtualisé (sorte de matrice des flux virtualisés!)
5. De créer des procédures de sécurisation renforcée de vos environnements virtualisés (Hôte, Hyperviseur, machine virtuelle, Console d’administration…)
6. De mettre en place des autorisations d’accès renforcées sur ces environnements (Notamment pour respecter le principe de séparations des privilèges)

 Nous restons à votre disposition pour vous accompagner dans le cadre de la sécurisation de vos environnements, notamment ceux soumis à PCI DSS.