Méthode de sécurisation durable de l'activité … · Méthode de sécurisation durable de...
32
1/32 ConCardis GmbH | Helfmann-Park 7 | 65760 Eschborn | Téléphone: +49 69 7922-0 I Fax: +49 69 7922-4500 I [email protected] I www.concardis.com I Siège de la société: Eschborn | Registre du commerce: Francfort-sur-le-Main, HRB 57036 I Gérant: Manfred Krüger (Président), Rainer Sureth | Président du conseil d'administration: Dr. Hans-Joachim Massenberg Sécurité des cartes de crédit pour les hôtels Méthode de sécurisation durable de l'activité commerciale de PCI DSS Concardis GmbH Helfmann-Park 7 65760 Eschborn www.concardis.com
Transcript of Méthode de sécurisation durable de l'activité … · Méthode de sécurisation durable de...
1/32
ConCardis GmbH | Helfmann-Park 7 | 65760 Eschborn | Téléphone: +49 69 7922-0 I Fax: +49 69 7922-4500 I [email protected] I www.concardis.com I Siège de la société: Eschborn | Registre du commerce: Francfort-sur-le-Main, HRB 57036 I Gérant: Manfred Krüger (Président), Rainer Sureth | Président du conseil d'administration: Dr. Hans-Joachim Massenberg
Sécurité des cartes de crédit pour les hôtels Méthode de sécurisation durable de l'activité commerciale de PCI DSS
Concardis GmbH Helfmann-Park 7 65760 Eschborn www.concardis.com
2/4
06_1
582_
3.0_
DE
_fr
Sommaire
1. La première cible des fraudeurs: les données de carte de crédit .............................................................. 4
1.1. Pourquoi PCI DSS? ........................................................................................................................... 4
1.2. Que recherchent les criminels? ......................................................................................................... 5
2. Accès à la conformité PCI DSS .................................................................................................................. 6
2.1. Comment commencer? ..................................................................................................................... 6
2.2. Pourquoi la preuve de la propre conformité au standard PCI DSS est-elle importante? .................. 7
2.3. Preuve de la conformité au standard PCI DSS à l'aide de questionnaires d'auto-évaluation ........... 7
2.4. La sélection du questionnaire adéquat .............................................................................................. 7
2.5. Remarques complémentaires importantes pour la sélection du questionnaire adéquat .................. 9
3. Mesures pour conformité PCI DSS pour hôtels (questionnaire B) ........................................................... 11
3.1. Domaine d'application...................................................................................................................... 11
3.2. Accès aux informations de cartes de crédit ..................................................................................... 11
3.3. Traitement des courriels .................................................................................................................. 12
3.4. Traitement des documents imprimés et des justificatifs en papier .................................................. 12
3.5. Le terminal de paiement .................................................................................................................. 13
3.6. Documents de sécurité .................................................................................................................... 14
3.7. Sécurisation durable des données de cartes de crédit ................................................................... 16
3.8. Annexe A: Liste récapitulative à cocher .......................................................................................... 17
3.9. Annexe B: Liste récapitulative à cocher – Domaines de traitement des cartes de crédit ............... 19
4. Mesures pour conformité PCI DSS pour hôtels (questionnaire C) .......................................................... 20
4.1. Domaine d'application...................................................................................................................... 20
4.2. Sécurisation du réseau .................................................................................................................... 20
4.3. Sécurisation des systèmes .............................................................................................................. 22
4.4. Standards préconfigurés du fabricant .............................................................................................. 23
4.5. Transmission sécurisée des données de cartes de crédit .............................................................. 24
4.6. Télétravail à domicile ....................................................................................................................... 24
4.7. Accès administratif et télémaintenance des systèmes .................................................................... 25
4.8. Compléments des documents de sécurité ...................................................................................... 26
3/4
06_1
582_
3.0_
DE
_fr
4.9. Sécurisation durable des données de cartes de crédit ................................................................... 28
4.10. Annexe C: Liste récapitulative à cocher du questionnaire – catégorie C ........................................ 29
4/4
06_1
582_
3.0_
DE
_fr
1. La première cible des fraudeurs: les données de carte de crédit
1.1. Pourquoi PCI DSS? Les données de carte de crédit sont une cible privilégiée des criminels. Il est très simple d'y accéder, surtout dans les petites entreprises, et elles permettent d'obtenir de l'argent liquide sans trop de complications. Le secteur de l'hôtellerie est particulièrement touché par le vol de cartes de crédit. Qu'il s'agisse de pirates in-formatiques professionnels ou de personnel malveillant, les criminels sont généralement très bien organisés et les activités frauduleuses à base de données de cartes de crédit sont florissantes.
Un vol couvert par des données de carte de crédit donnera lieu à des enquêtes coûteuses. En effet, il s'en-suit des demandes de dommages et intérêts et des pénalités. Et, pour conclure, la couverture de l'événe-ment par la presse porte une atteinte quasiment irréversible à la réputation de l'établissement. Les clients perdent alors confiance et l'activité commerciale en pâtit durablement.
Afin d'agir contre ce phénomène, les grandes sociétés de carte de crédit se sont regroupées pour créer le Payment Card Industry Security Standards Council (PCI SSC). L'uniformisation des directives de sécurité des différentes sociétés a abouti sur le standard PCI Data Security Standard (PCI DSS). Celui-ci pose la base d'un processus uniformisé de protection des données de carte de crédit et englobe ainsi tant les mesu-res techniques qu'organisationnelles. L'application de ces mesures en interaction assure un minimum de sécurité pour les données de carte de crédit.
La preuve de conformité au standard PCI DSS peut en effet influer considérablement sur la question de la responsabilité. Mais pour cela, il convient de prouver que toutes les mesures nécessaires au respect du standard PCI avaient été mises en application et suivies au moment de l'incident.
Pour conclure sur une note non moins importante, l'hôtelier ne doit pas perdre de vue que la sécurité des données de carte de crédit de ses clients constitue la sécurité de sa source de revenus.
5/4
06_1
582_
3.0_
DE
_fr
1.2. Que recherchent les criminels? Les données des cartes de crédit se trouvent sur la carte sous la forme de gravure et d'informations conte-nues dans la puce et sur la bande magnétique. L'illustration suivante représente la structure d'une carte de crédit typique.
1. Puce 2. Numéro de carte (Primary Account Number, PAN) 3. Date de validité 4. Nom du titulaire de la carte 5. Bande magnétique 6. Code de validation de la carte, code de vérification de la carte
Les éléments des cartes de crédit convoités par les criminels sont avant tout le numéro de carte de crédit (PAN) et le code de vérification (CVC2/CVV2/…) ainsi que la bande magnétique dans son intégralité, élé-ments qui leur permettront de fabriquer une copie illégale de la carte. Sur le marché florissant des cartes de crédit volées, ces informations peuvent rapporter de l'argent relativement facilement. Comparativement, le risque encouru par les criminels est faible. Ceux-ci sont généralement parfaitement organisés et agissent à l'échelle internationale. La traçabilité est pratiquement impossible à assurer.
Mais qu'apportent les informations volées? Les numéro de carte de crédit exploités permettent de procéder sans problème à des transactions de paiement ne nécessitant pas la présentation phyisique de la carte, notamment lors des achats sur Internet. Des intermédiaires fournissent ou vendent cette marchandise au moyen de procédés astucieux.
L'utilisation de terminaux implique le danger que ces derniers soient manipulés et que la bande magnétique soit «copiée». Les données de la bande magnétique sont lues pendant le processus de paiement et com-muniquées au fraudeur. Celui-ci peut copier les données exploitées sur une carte de crédit «vierge» et utili-ser celle-ci physiquement pour des paiements.
Les mesures du PCI DDS portent sur les moyens d'attaque potentiels et offrent ainsi un minimum de protec-tion des informations de carte de crédit.
6/4
06_1
582_
3.0_
DE
_fr
2. Accès à la conformité PCI DSS
2.1. Comment commencer? Au début, il est recommandé de rédiger une liste établissant les personnes traitant les informations des car-tes de crédit et les méthodes de traitement de celles-ci. Il convient de tenir compte du lieu de réception et des moyens de communication des informations de carte de crédit à l'hôtel, leur voie de traitement au sein de l'hôtel et, le cas échéant, la manière dont elles sont éliminées de l'hôtel.
Processus commercial Domaine Support contenant les données de carte de crédit
Traitement consécutif des données de carte de crédit
Le client paie son séjour avec sa carte de crédit et remet ladite carte au collaborateur de la réception
Réception Papier La réception passe la carte dans le termi-nal, la remet ensuite au client et conserve un justificatif de paiement en papier rangé dans un placard/un tiroir verrouillable.
Les justificatifs recueillis au cours d'une journée sont remis au service de comptabilité
Réception Comptabilité
Papier La comptabilité reçoit les justificatifs en papier et vérifie l'arrivée du paiement; ensuite, les tickets sont conservés pour la durée de la période de conservation légale (dans l'archive verrouillable)
À l'expiration du délai de conserva-tion légal, un prestataire vient cher-cher les justificatifs papier pour élimination
Comptabilité/ Archives
Papier Le prestataire élimine les justificatifs en papier de manière conforme
Un client envoie (bien que cela ne soit pas voulu) une demande de réservation par courriel avec ses informations de carte de crédit
Réception/ Réservation
Numérique Le courriel est imprimé et supprimé direc-tement de la boîte de réception
…
L'avantage d'une liste de la sorte réside dans le fait qu'elle fournit un récapitulatif des domaines potentielle-ment dangereux et constitue du même coup une base pour les mesures correctives à appliquer. La liste indiquée ne saurait prétendre être complète et sert d'exemple à titre indicatif.
Une attention particulière doit être accordée aux endroits de la liste où les données de carte de crédit sont disponibles sous forme électronique (numérique). Les informations sauvegardées sur ordinateur sont facile-ment exploitables pour les pirates informatiques. Une fois qu'ils sont parvenus à accéder au réseau interne de l'hôtel, ils peuvent dérober un grand nombre de données de cartes de crédit. Et puisque leur présence physique sur place n'est pas nécessaire, le risque d'être découvert demeure relativement faible pour eux.
En raison du risque élevé auquel les cartes de crédit sont exposées sous forme numérique, le standard de sécurité PCI prescrit des mesures très complètes pour offrir une protection adéquate auxdites cartes. Le nombre de mesures à appliquer pour assurer la protection des informations de cartes de crédit et ainsi le travail à fournir pour atteindre la conformité PCI-DSS peut être considérablement réduit en renonçant à tout enregistrement électronique.
7/4
06_1
582_
3.0_
DE
_fr
C'est pourquoi il convient d'établir la nécessité ou non d'enregistrer les informations de carte de crédit sous forme électronique et de décider s'il est possible d'y renoncer.
Par exemple, les hôtels reçoivent régulièrement des courriels de clients contenant des données de cartes de crédit. Si celles-ci ne sont pas supprimées immédiatement, on considère qu'il y a enregistrement électroni-que de données de carte de crédit. Il est possible de contourner le problème en imprimant les courriels en question et de poursuivre le traitement des données de carte de crédit sur papier uniquement. Le courriel respectif peut alors être supprimé de l'ordinateur dans son intégralité aussitôt qu'il a été imprimé. Cette me-sure doit intégrer l'étape de suppression du contenu de la corbeille ou du dossier «Éléments supprimés».
En général, les règles suivantes sont applicables: Si un enregistrement électronique de données de car-te de crédit n'est pas nécessaire, y renoncer impérativement.
2.2. Pourquoi la preuve de la propre conformité au standard PCI DSS est-elle importante?
Dans de nombreux cas de vol de carte de crédit, les enquêtes consécutives révèlent souvent qu'une ou plu-sieurs mesures PCI DSS obligatoires n'ont pas été mises en œuvre. Les conséquences de tels incidents comptent notamment des demandes de dommages et intérêts, des amendes, une atteinte à la réputation et ainsi une perte de clientèle.
Un tel incident peut également provoquer des dégâts considérables et nuire durablement à l'activité com-merciale.
2.3. Preuve de la conformité au standard PCI DSS à l'aide de questionnaires d'auto-évaluation
Les questionnaires d'auto-évaluation (en anglais Self-Assessment Questionnaire, SAQ) constituent pour les petites entreprises un moyen pratique et efficace de confirmer leur conformité au standard PCI DSS. Ces questionnaires sont adaptés aux besoins des différents modèles économiques. Le questionnaire doit être rempli et renvoyé une fois par an. Cela permet de vérifier les mesures introduites et/ou de réagir aux chan-gements potentiellement survenus dans les processus commerciaux, et, le cas échéant, d'adapter la catégo-rie concernée du questionnaire.
2.4. La sélection du questionnaire adéquat Ce sont vos processus commerciaux qui déterminent le questionnaire adapté à vos besoins. Il a été consti-tué cinq catégories permettant d'entreprendre une auto-évaluation adéquate en matière de conformité au standard PCI DSS du propre environnement commercial. Les critères permettant de distinguer les différen-tes catégories sont indiqués dans la colonne droite du tableau suivant. Le facteur déterminant réside dans la question de l'enregistrement ou non des cartes de crédit sous forme électronique. Si c'est le cas, toujours employer le questionnaire de la catégorie D.
Pour recevoir le questionnaire à remplir par vos soins, allez sur la plateforme ConCardis PCI DSS qui vous assistera tout au long des étapes menant à la conformité PCI DSS. Après l'enregistrement sur la platefor-me, l'assistant de sélection de questionnaire vous assiste lors de la sélection du questionnaire à utiliser.
8/4
06_1
582_
3.0_
DE
_fr
Vous pouvez procéder à votre enregistrement sur la plateforme Concardis PCI DSS via le lien suivant: https://www.pciplatform.concardis.com/
Veuillez noter que les données d'accès doivent vous avoir été envoyées au préalable par ConCardis.
Vous pouvez également recevoir le questionnaire adéquat de votre banque ou sous la forme de télécharge-ment des sites Internet de PCI SSC en entrant le lien suivant: https://www.pcisecuritystandards.org/security_standards/documents.php.
Exemple: Mon hôtel dispose de deux terminaux ISDN pour le paiement avec carte de crédit. L'un se trouve à la réception, l'autre dans la zone de la salle à manger. Les appareils n'enregistrent aucune donnée de carte de crédit, ils génèrent uniquement un justificatif de paiement en papier une fois le paiement effectué. Ensuite, seul le justificatif en papier est utilisé pour le traitement consécutif (dans la comptabilité, etc.). Les courriels contenant des informations de carte de crédit sont supprimés immédiatement de la boîte de récep-tion et de la corbeille ou du dossier «Éléments supprimés». Il vous faut donc remplir le questionnaire de la catégorie B.
Catégorie de questionnaire Portée Public cible/Caractéristiques
A 13 questions Toute les fonctions de cartes de crédit externalisées
Pas de présence physique de cartes de crédit (commerce électronique ou vente par correspondance)
B 29 questions Seuls des terminaux avec connexion numérotée (ISDN ou analogique) sont employés pour les paiements par carte de crédit.
Pas d'enregistrement des données de carte de crédit (depuis le terminal non plus)
C-VT 51 questions Le paiement se déroule exclusivement sur des terminaux virtuels basés sur Internet
L'ordinateur utilisé sur le terminal virtuel ne doit pas être connecté avec un autre système du commerçant.
Pas d'enregistrement électronique de données de cartes de crédit
C 80 questions Utilisation du terminal pour carte de crédit et/ou de systè-mes d'application de paiement connectés à Internet
Les terminaux pour cartes de crédit et/ou les systèmes d'application de paiement doivent uniquement être connectés à Internet et n'être connecté à aucun autre système du commerçant
Pas d'enregistrement électronique de données de cartes de crédit
D 288 questions Tous ceux ne correspondant pas aux descriptions des questionnaires A à C
Tous les fournisseurs de service
9/4
06_1
582_
3.0_
DE
_fr
2.5. Remarques complémentaires importantes pour la sélection du questionnaire adéquat
C'est souvent que la méconnaissance de détails des exigences du standard de sécurité PCI DSS fait porter le choix sur un questionnaire de catégorie inadaptée. Ainsi, le questionnaire sélectionné est souvent celui de la catégorie D alors que des modifications même minimes auraient largement permis une classification dans une catégorie différente. C'est essentiellement le comportement inadapté du personnel ou l'état actuel de l'infrastructure, qui sont pourtant des éléments relativement simples à adapter, qu'un questionnaire des ca-tégories A à C doit être utilisé. L'avantage réside dans les proportions sensiblement moindres des mesures de sécurité à entreprendre pour répondre aux exigences du standard PCI DSS.
Vous trouverez ci-dessous une description des scénarios les plus fréquemment observés justifiant la perti-nence de l'application du questionnaire de catégorie D. Une simple recommandation d'adaptation suffit pour permettre à chacun de ces scénarios de sortir du champ d'application du questionnaire D et ainsi largement faciliter l'obtention de la propre conformité PCI DSS.
Les informations de cartes de crédit sont conservées sous forme électronique Il arrive souvent que les données de cartes de crédit soient enregistrées sous format électronique à divers endroits, par exemple dans les fichiers de programmes de traitement de texte ou de tableur sans que les risques qui y sont liés ne soient vraiment pris en compte. En outre, les courriels contenant des informations de carte de crédit ne sont souvent pas supprimés des boîtes de réception électroniques. Les courriels peu-vent être imprimés et réutilisés sous format papier. Si un courriel est immédiatement supprimé après l'im-pression, y compris de la corbeille et du dossier «Éléments supprimés», l'enregistrement au format électro-nique au sens du standard PCI DSS n'a plus lieu d'être. Si vous n'êtes pas sûr de la présence de données de cartes de crédit sous forme électronique dans votre système, il existe des logiciels spéciaux vous assis-tant dans leur recherche. Il est recommandé de procéder à une vérification préalable des systèmes disponi-bles. Votre fournisseur informatique devrait pouvoir vous assister dans cette tâche.
Si des informations de carte de crédit sont enregistrées sous forme électronique dans votre hôtel, munissez-vous du questionnaire D dès maintenant! C'est pourquoi nous réitérons ici notre recommandation de renon-cer à tout enregistrement de données de carte de crédit au format électronique dans la mesure où cela n'est pas absolument nécessaire!
Absence de segmentation du réseau Le standard de sécurité PCI DSS requiert une séparation des systèmes traitant les données des cartes de crédit et ceux ne nécessitant aucun accès à ces informations. L'isolation des systèmes traitant les données des cartes de crédit est une condition préalable obligatoire à l'application du questionnaire C. Les terminaux pour cartes de crédit et/ou les systèmes d'application de paiement doivent uniquement être connectés à Internet et n'être connecté à aucun autre système du commerçant Cela doit permettre de réduire le risque de vol d'informations de cartes de crédit.
L'utilisation et la configuration adaptée de pare-feux et de routeurs peut permettre de couper la communica-tion entre les systèmes traitant les données de cartes de crédit et le reste des systèmes de l'hôtel, et qu'ain-si, la segmentation souhaitée soit obtenue. Le but est d'interdire aux systèmes ne traitant pas les données de cartes de crédit l'accès direct aux systèmes fonctionnant avec les données de cartes de crédit. Votre fournisseur informatique devrait pouvoir vous assister dans la mise en œuvre de cette tâche.
En cas d'absence d'isolation des systèmes traitant les données de cartes de crédit, d'importantes mesures doivent être entreprises pour assurer la protection de l'intégralité du réseau. L'application du questionnaire D s'impose!
10/4
06_1
582_
3.0_
DE
_fr
Sécurité de l'accès en cas de maintenance à distance Les fournisseurs de logiciels proposent fréquemment à leurs clients la possibilité de maintenance à distance afin de résoudre efficacement les problèmes. Un accès à distance pas suffisamment sécurisé recèle un ris-que potentiel considérable et peut permettre à un pirate informatique d'accéder à des informations cruciales pour la sécurité.
Si votre fournisseur informatique ou un fabricant garantissent un accès à distance à vos systèmes dans le cadre des services de maintenance et d'assistance, il convient de sécuriser celui-ci en conséquence. La communication doit se faire en utilisant des technologies de chiffrement. En outre, l'accès ne doit être possi-ble que via un compte configuré spécifiquement à cet effet et ne devant être actif que lorsqu'il est requis. Il ne doit pas constituer une possibilité d'accès permanente. Les accès doivent être surveillés pendant toute leur durée. Votre fournisseur informatique ou le fournisseur de logiciel devrait être en mesure de vous assis-ter pendant la mise en œuvre de cette tâche.
Si la maintenance à distance a lieu sans technologie permettant de sécuriser ce processus, il convient d'uti-liser le questionnaire D!
Dans la plupart des cas, l'observation de ces recommandations suffit à éviter de devoir appliquer les consi-gnes du questionnaire D et ainsi d'obtenir plus efficacement la propre conformité PCI DSS.
11/4
06_1
582_
3.0_
DE
_fr
3. Mesures pour conformité PCI DSS pour hôtels (questionnaire B)
Les données de cartes de crédit ne sont traitées que par des terminaux ISDN et sur des justificatifs en papier. Pas d'enregistrement électronique de données de cartes de crédit
3.1. Domaine d'application Les questions abordées au cours des lignes suivantes correspondent au contenu du questionnaire de caté-gorie B. Elles se rapportent donc à un environnement commercial dans lequel les données de cartes de crédit sont conservées sur papier et traitées via des terminaux de paiement ISDN sans que lesdites données soient enregistrées au format électronique. Si ces caractéristiques ne s'appliquent pas aux processus com-merciaux de votre hôtel, vérifier le paragraphe de sélection du questionnaire adéquat plus haut pour choisir le questionnaire adapté à vos besoins ou contactez votre banque. Il est important que vous ayez défini la catégorie adéquate dès la première étape puisque les mesures décrites ci-dessous ne concernent les envi-ronnements commerciaux de la catégorie B.
Vous pouvez demander le questionnaire adapté à vos processus commerciaux auprès de votre banque (Acquirer) ou le télécharger à partir du site PCI SSC: http://de.pcisecuritystandards.org/minisite/en/saq-v2.0-documentation.php.
3.2. Accès aux informations de cartes de crédit Risque potentiel L'accès aux données de cartes de crédit ne doit être possible que pour les collaborateurs nécessitant cet accès dans le cadre de leurs fonctions. Plus le nombre de personnes ayant accès à des données sensibles augmente, plus le risque de perdre ces mêmes données augmente aussi, bien évidemment. Et cela ne signi-fie pas nécessairement que l'auteur des faits soit un employé malveillant, il suffit que la personne en ques-tion agisse en méconnaissance de cause, sans savoir comment manipuler des informations sensibles.
Mesures Les droits d'accès doivent avoir été donnés de manière à ce que chaque collaborateur ait uniquement les droits strictement nécessaires à l'exercice de ses fonctions. Cela inclut l'accès aux ordinateurs ainsi que les possibilités physiques d'accès aux placards, tiroirs ou locaux. Tout mot de passe ne doit être connu que par le collaborateur nécessitant l'accès à l'ordinateur. Il en est de même pour les collaborateurs recevant une clef donnant l'accès aux lieux de conservation des informations de carte de crédit nécessaires à l'exécution de leurs fonctions. Il faut pour cela prendre en compte l'intégralité des lieux de conservation, soit par exem-ple le placard du bureau à l'arrière de la réception ou le lieu où est effectuée la comptabilité tout comme le tiroir de la réception. Si un collaborateur quitte l'hôtel, il faut vérifier les droits d'accès qui lui étaient donnés pendant l'exercice de ses fonctions. S'il avait accès à un ordinateur, il convient de modifier le mot de passe. Les clefs qui lui avaient été remises doivent être restituées.
Tâches de la présente section Vérification des droits d'accès (qui a accès?) Entreprendre des modifications le cas échéant
12/4
06_1
582_
3.0_
DE
_fr
3.3. Traitement des courriels Risque potentiel Les clients envoient souvent un courriel contenant les données de leurs cartes de crédit à l'hôtel, par exem-ple pour une réservation. Dans un premier temps, le courriel est visible pour tous ceux ayant un accès à l'ordinateur en question.
Avertissement: Nous décrivons ici uniquement un cas dans lequel des clients vous envoient souvent les données de leurs cartes de crédit dans un courriel de réservation sans que vous leur ayez demandé de le faire. S'il s'agit d'un processus commercial régulier et voulu par vous, vous pouvez arrêter de traiter la pré-sente liste de mesures. Le questionnaire D s'applique à vous et vous devez alors procéder à la mise en œu-vre de mesures de sécurité bien plus importantes. Dans ce cas, vous devez demander l'aide professionnelle de votre banque (Acquirer).
Mesures Aussitôt le courriel reçu, il doit être effacé. Il convient de veiller à supprimer la corbeille et le dossier «Élé-ments supprimés» et qu'aucune copie du courriel ne soit enregistrée sur le serveur central à des fins d'archi-vage. Si ces informations sont nécessaires, nous vous recommandons d'imprimer ce courriel et de continuer de le traiter sur papier uniquement. Le traitement de l'impression contenant les informations de la carte de crédit vous est décrit à la section suivante.
Tâche de la présente section Former le personnel ayant accès aux ordinateurs à la procédure à suivre pour les courriels
3.4. Traitement des documents imprimés et des justificatifs en papier Risque potentiel L'hôtel recèle bien entendu de nombreuses informations de cartes de crédit sur une multitude de documents. Parmi ceux-ci, on compte les impressions, les télécopies et les justificatifs de paiement du terminal. Si ces données sont traitées de manière inadaptée, les informations de carte de crédit constituent alors une proie facile pour un collaborateur malveillant.
Mesures Partout où les informations de cartes de crédit sont traitées, ces dernières doivent être conservées dans des placards ou des tiroirs verrouillables. Les impressions et justificatifs ne doivent par exemple jamais être em-pilés de manière visible à la réception. Ce type de documents est généralement classé comme confidentiel et les collaborateurs entrant en contact avec ceux-ci doivent, en raison de la sensibilité des informations qu'ils contiennent, avoir été formés au préalable à leur traitement en bonne et due forme.
Le standard PCI DSS interdit tout enregistrement de données d'authentification dites sensibles, ce qui est, notamment pour les cartes de crédit, le code de vérification de la carte et le code confidentiel. L'hôtelier n'a toutefois généralement jamais accès au code confidentiel. Mais si le courriel du client contient également son code de vérification, celui-ci doit être rendu illisible (noirci) sur l'impression du courriel. En outre, l'accès aux justificatifs doit être réservé aux collaborateurs devant y avoir accès dans le cadre de l'exercice de leurs fonctions. C'est pourquoi il convient de contrôler strictement et de conserver une preuve écrite des person-nes ayant une clef donnant accès aux lieux de conservation.
Lors de l'élimination des impressions, justificatifs de paiement et autres documents sur papier contenant des données de cartes de crédit, il convient de veiller à ce que ces documents soient véritablement détruits et ne puissent plus être reconstitués. Ils doivent être passés dans un destructeur de documents ; la corbeille ne suffit pas. La méthode de découpe (cross-cut) des documents les réduit en particules si fines qu'il est impos-
13/4
06_1
582_
3.0_
DE
_fr
sible de réutiliser les détails des informations contenues. C'est pourquoi, si vous devez procédez vous-même à la destruction des documents, vous devez vous procurer un destructeur de documents prenant en charge cette forme de découpe. La norme DIN 32757-1 définit cinq niveaux de sécurité. Afin de garantir une destruction sûre des informations sensibles, nous recommandons l'utilisation d'un destructeur de documents du niveau de sécurité 3.
Si la destruction est confiée à un prestataire, il doit être assuré que celui-ci assume la responsabilité de la destruction en bonne et due forme des documents. Cet aspect doit faire l'objet d'une section du contrat écrit avec le prestataire en question. Souvent, dans une telle situation, les documents ne sont pas détruits tout de suite, mais rassemblés avant. Le conteneur dans lequel ils sont conservés doit être protégé contre l'accès par des personnes non autorisées. Si celui-ci est conservé dans un placard, par exemple, il doit être verrouil-lé au moins par cadenas.
Tâches de la présente section Conserver les impressions, télécopies et justificatifs contenant des informations de cartes de crédit
Les informations à haute sensibilité imprimées doivent être noircies.
Informer les collaborateurs du comportement à adopter avec les impressions et les justificatifs en papier.
Les données de carte de crédit sont détruites de manière définitive lors de leu élimination.
Le prestataire en charge entreprend une élimination dans les règles de l'art et en assume la responsabilité.
3.5. Le terminal de paiement Risque potentiel Si un enregistrement électronique d'informations de carte de crédit n'est pas absolument nécessaire, il convient de l'éviter dans la mesure du possible. Les mesures décrites ici (questionnaire de catégorie B) par-tent du principe qu'aucune donnée de carte de crédit n'est enregistrée au format électronique. Les appareils anciens permettaient d'enregistrer les données de cartes de crédit. Cela ne doit plus être le cas pour les terminaux à cartes modernes. En outre, les appareils doivent de nos jours être sécurisés contre les manipu-lations. Un logo de sécurité figure souvent sur le terminal de paiement. En effet, il est arrivé par le passé que des vols d'informations de cartes de crédit se fassent par manipulation de terminaux de cartes.
Mesures Si vous n'êtes pas sûr de la sécurité de votre terminal de paiement ou qu'il enregistre des données de car-tes, demandez au prestataire vous ayant fourni le terminal si celui-ci répond aux standards de sécurité pour cartes de crédit. En outre, le site du PCI Council vous permet de vérifier que votre terminal pour cartes pré-sente bien une certification conforme à PCI PTS (PIN Transaction Security). Si c'est le cas, vous pouvez partir du principe que l'appareil répond aux exigences du standard PCI DSS. La liste des terminaux pour cartes certifiés se trouve dans le lien suivant: https://www.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php
14/4
06_1
582_
3.0_
DE
_fr
Tâche de la présente section Contacter le fournisseur ou le fabricant du terminal pour cartes utilisé
(ou vérifier la certification de l'appareil sur les sites du PCI Council )
Vérifier si votre terminal pour cartes respecte les standards de sécurité pour cartes de crédit ou non
Vérifier si votre terminal pour cartes dispose d'une protection spéciale contre les manipulations ou non
Vérifier si votre terminal pour cartes enregistre les données de cartes de crédit ou non
Si oui: Vérifier si celles-ci peuvent être supprimées de manière sûre ou non
3.6. Documents de sécurité Le standard PCI requiert la rédaction et la mise à jour de certains documents visant à permettre de garder une vue d'ensemble sur le maintien des différentes mesures. En outre, la documentation écrite est le meil-leur moyen de prouver après coup à des tiers la conformité PCI. C'est pourquoi ilest recommandé de garder à jour une documentation brève et pragmatique pour les domaines suivants.
Directive relative à la sécurité des informations Une directive relative à la sécurité des informations vise à décrire la manière de traiter tous les aspects ayant trait à la sécurité au sein de l'hôtel. Pour cela, le standard PCI DSS ne requiert pas la rédaction d'un ouvrage de référence complexe, mais les thèmes relevant de la sécurité doivent tous être couverts brièvement. Cela concerne en premier lieu le traitement sûr des informations des cartes de crédit, mais aussi l'utilisation conforme des ordinateurs et des logiciels installés sur ceux-ci. Les collaborateurs, surtout, doivent savoir que les informations des cartes de crédit ne doivent jamais être envoyées par courriel sans avoir été proté-gées.
Les technologies de messagerie pour utilisation finale dans le cadre de la communication n'offrent pas la possibilité de protéger les données transmises de manière adéquate. C'est pourquoi il ne faut en aucun cas employer ces technologies pour transmettre des données de carte de crédit. Le terme technologie pour utili-sation finale englobe généralement des courriels non chiffrés, la messagerie instantanée et les programmes de dialogues en ligne comme ICQ ou Skype. Les logiciels mis à disposition gratuitement sur Internet laissent libre cours à la capture et à la lecture des messages par des tiers, ces programmes n'offrant aucune possibi-lité de crypter les messages. En raison du risque élevé de la communication via les logiciels n'offrant aucun chiffrement des messages, il convient de renoncer complètement à leur utilisation. Cette mesure doit figurer dans des instructions de travail interdisant l'utilisation de technologies risquées. Afin que les collaborateurs comprennent les motifs de ces interdictions, il vaut mieux les prévenir des dangers liés à l'utilisation de ces technologies.
Les collaborateurs doivent être sensibilisés au fait que la sécurité des données de carte de crédit de leurs clients contribue largement à la réussite commerciale de leur établissement et que c'est donc dans leur pro-pre intérêt. Dans la mesure du possible, il faut proposer aux collaborateurs une formation à la sécurité des données. Des posters ou des fonds d'écran sur le poste de travail peuvent d'ores et déjà contribuer au travail de sensibilisation dans ce sens.
C'est pourquoi la directive relative à la sécurité des informations doit être remise à chaque collaborateur, suite à quoi il sera demandé à chacun de signer un formulaire attestant la lecture et la compréhension de ladite directive.
15/4
06_1
582_
3.0_
DE
_fr
La directive doit faire l'objet d'une vérification de sa validité une fois par an et être modifiée le cas échéant, si des changements devaient avoir eu lieu.
Instructions de travail pour les collaborateurs ayant accès aux données des cartes de crédit Les instructions de travail pour les collaborateur traitant les données des cartes de crédit doivent signaler que les informations qu'ils traitent sont de nature sensible et qu'il s'agit de les traiter en bonne et due forme. Ces instructions englobent les contenus des sections Traitement des courriels ainsi que Traitement des do-cuments imprimés et des justificatifs en papier.
Liste des autorisations d'accès La liste des autorisations d'accès doit comprendre les collaborateurs utilisant l'ordinateur et la boîte aux let-tres électronique et/ou une clef pour les lieux de conservation de documents imprimés et de justificatifs sur papier. Ainsi, il est possible d'obtenir un suivi, en conjonction avec le tableau de service, des personnes ayant accès aux informations des cartes de crédit et des horaires auxquels ces personnes avaient accès à ces données.
Liste des prestataires de services externes Si des contrats ont été signés avec des prestataires de services externes en contact avec les données de cartes de crédit, ceux-ci doivent avoir été informés du caractère sensible de ces données. Il convient de mentionner dans le contrat que leur responsabilité est engagée en matière de sécurité de ces données dès qu'ils entrent en contact avec celles-ci. Par exemple, un prestataire de services chargé de la destruction des données des cartes de crédit doit avoir été avisé de sa responsabilité vis-à-vis de l'élimination en bonne et due forme des données. Une liste contenant tous les prestataires de service externes vous aidera à garder une vue d'ensemble.
Les grandes sociétés de cartes de crédit ont leurs propres listes faisant état de la conformité au standard PCI DSS des prestataires de service et fabricants de tous les domaines d'activité autour des cartes de cré-dit. Ces listes sont à la disposition du grand public sur les sites Internet et peuvent être consultées librement.
Voici le lien où figure la liste pour MasterCard: http://www.mastercard.com/us/company/en/whatwedo/compliant_providers.html
Voici le lien vous menant à la liste des prestataires de service certifiés de Visa Europe: http://www.visaeurope.com/en/businesses__retailers/payment_security/service_providers.aspx
Si vous traitez des données de cartes de crédit avec des applications de paiement et qu'ainsi le domaine d'application SAQ C vous concerne, vous pouvez consulter les sites du PCI Council et vérifier si le logiciel utilisé répond aux exigences du PCI Payment Application Data Security Standard (PCI PA-DSS). L'utilisation de logiciels certifiés facilite la mise en œuvre des mesures visant à la conformité propre PCI DSS. Le lien du PCI Council suivant vous permet de vérifier si telle ou telle version d'une application de paiement est certi-fiée PCI PA DSS: https://www.pcisecuritystandards.org/approved_companies_providers/validated_payment_applications.php
Le lien suivant vous permet également de vérifier si le terminal à carte que vous utilisez est certifié sur les sites du PCI Council: https://www.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php
Le statut de l'a conformité PCI DSS des prestataires de services doit être vérifié une fois par an.
16/4
06_1
582_
3.0_
DE
_fr
Tâches de la présente section Rédaction d'une directive relative à la sécurité des informations
Rédaction d'instructions de travail pour les collaborateurs ayant accès aux données des cartes de crédit
Établissement d'une liste des autorisations d'accès
Établissement d'une liste des prestataires de services externes
Vérification du statut de conformité PCI DSS des prestataires de service
3.7. Sécurisation durable des données de cartes de crédit Les mesures décrites ici offrent un minimum de sécurité pour les données de cartes de crédit des modèles commerciaux traitant exclusivement lesdites données via des terminaux avec connexion numérotée et justi-ficatifs de paiement sur papier. Le renoncement à l'enregistrement électronique des informations de cartes de crédit permet, en appliquant toutes les mesures de manière efficace et praticable, d'obtenir une protection de base.
Afin de maintenir la conformité PCI, le questionnaire doit être rempli une fois par an et être remis à votre banque le cas échéant. Cela donne la possibilité de vérifier les mesures introduites et/ou de réagir aux changements potentiellement survenus dans les processus commerciaux, et, le cas échéant, d'adapter la catégorie concernée du questionnaire.
Mais l'obtention ou la preuve de la conformité PCI seule ne suffit pas à protéger les données de carte de crédit de manière durable. Une protection véritable et durable ne peut être atteinte que si les mesures sont mises en œuvre au quotidien. Pour cela, toutes les parties concernées doivent œuvrer en chœur.
En effet, la protection des données des clients ne doit pas être basée sur la crainte de problèmes potentiels de droit de responsabilité, mais avant tout sur la motivation d'assurer la propre activité commerciale et la compétitivité futures sur le long terme.
17/4
06_1
582_
3.0_
DE
_fr
3.8. Annexe A: Liste récapitulative à cocher
Le flux de cartes de crédit au sein de l'hôtel est-il connu?
Les cartes de crédit ne sont traitées que par un terminal à connexion numérotée (ISDN ou analogi-que) et sinon seulement traitées sur papier?
Les collaborateurs ont-ils seulement accès à des données de cartes de crédit nécessaires à l'exer-cice de leurs fonctions?
Les collaborateurs ayant accès à un ordinateur sont-ils bien les seuls à en avoir besoin?
Les collaborateurs ayant une clef leur permettant d'accéder aux endroits de conservation des don-nées de cartes de crédit sont-ils bien les seuls à en avoir besoin?
Les collaborateurs ont-ils été formés au traitement sûr et conforme des courriels contenant des données de cartes de crédit?
Les collaborateurs ont-ils été formés au traitement sûr et conforme des documents imprimés et des justificatifs de paiement contenant des données de cartes de crédit?
Les collaborateurs sont-ils conscients du caractère sensible des informations de cartes de crédit?
Les documents imprimés, télécopies et justificatifs contenant des informations de cartes de crédit sont-ils conservés dans un endroit verrouillé?
Les informations hautement sensibles sur les documents imprimés ont-elles été noircies ou ren-dues illisibles?
Est-il possible d'assurer que les données de cartes de crédit sont détruites de manière irréversible lors de leur élimination?
La garantie d'une élimination en bonne et due forme par le prestataire de service en charge et l'en-gagement de sa responsabilité font-elles l'objet d'une clause contractuelle?
En concertation avec le prestataire de services, vérifier que: Le terminal à cartes utilisé est bel et bien conforme aux standards de sécurité pour cartes de crédit (ou vérifier la certification de l'appa-reil sur les sites du PCI Council).
Le terminal à cartes enregistre-t-il les données de cartes de crédit?
Si oui: Celles-ci peuvent-elles êtres supprimées en toute sécurité?
Le terminal à cartes est-il protégé contre les manipulations?
Une directive relative à la sécurité des informations a-t-elle été rédigée?
18/4
06_1
582_
3.0_
DE
_fr
Les collaborateurs ont-ils compris les contenus?
Des instructions de travail pour les collaborateurs ayant accès aux données des cartes de crédit ont-elles été rédigées?
Une liste des autorisations d'accès a-t-elle été établie?
La relation avec les prestataires de service entrant en contact avec les données de carte de crédit est-elle contractuelle?
Une liste de ces prestataires de services a-t-elle été établie?
Vérification du statut de conformité PCI DSS des prestataires de services
Les prestataires de services ont-ils été sensibilisés au traitement en bonne et due forme des don-nées de cartes de crédit?
Les mesures et documents font-ils l'objet d'une vérification annuelle visant à établir leur validité?
19/4
06_1
582_
3.0_
DE
_fr
3.9. Annexe B: Liste récapitulative à cocher – Domaines de traitement des cartes de crédit
Processus commercial Domaine Support contenant les données de carte de crédit
Traitement consécutif des données de carte de crédit
20/4
06_1
582_
3.0_
DE
_fr
4. Mesures pour conformité PCI DSS pour hôtels (questionnaire C)
Les données de cartes de crédit sont traitées par des terminaux ou des applications de paiement avec connexion Internet.
Pas d'enregistrement électronique de données de cartes de crédit.
4.1. Domaine d'application Les mesures abordées jusqu'à ce point correspondent à celles d'un modèle commercial dans lequel le trai-tement des données de cartes de crédit est assuré exclusivement sur des terminaux à connexion numérotée ainsi que des justificatifs de paiement en papier, sans enregistrement électronique de ces informations. Si, dans votre établissement, les cartes de crédits sont traitées via des terminaux ou des applications de paie-ment connectés à Internet, vous devez utiliser le questionnaire de catégorie C. La condition pour cela est qu'aucune information de carte de crédit ne doit être sauvegardée sur support électronique et les terminaux et/ou systèmes d'applications de paiement doivent être uniquement connectés à Internet et à aucun autre système de l'hôtel. L'utilisation d'Internet pour la transmission de données de cartes de crédit offre aux cri-minels une interface d'agression supplémentaire qu'il convient de ne pas sous-estimer. Cela signifie que de nombreuses mesures doivent venir s'ajouter à celles de la section précédente pour contrer les dangers po-tentiels de manière adéquate.
Les mesures décrites ci-dessous sont pour la plupart de nature très technique. Elles englobent de larges éléments de votre infrastructure, notamment des ordinateurs, l'accès à Internet, la mise en réseau des diffé-rents ordinateurs de poste de travail. Si vous ne les exploitez pas vous-même, vous devez demander à votre prestataire de services informatiques si les mesures décrites sont d'ores et déjà appliquées ou le charger de la mise en œuvre de celles-ci.
4.2. Sécurisation du réseau Risque potentiel Les réseaux insuffisamment sécurisés constituent souvent une proie aisée pour le pirate informatique, qui a alors facilement accès aux différents ordinateurs exploités au sein de ceux-ci. L'absence d'instances de contrôle régulant la circulation des données au sein d'un réseau peut donner lieu à une communication indé-sirable et, de la même manière, à des accès indésirables aux ordinateurs. Les criminels ciblent justement les points vulnérables au sein des réseaux. Mais même le positionnement avisé d'un point d'accès Wi-Fi peut constituer un point d'accès discret aux données de cartes de crédit pour un pirate informatique.
Mesures Un pare-feu régule les autorisations de circulation des données entrantes et sortantes sur la base de règles définissables. Cela peut permettre de limiter les accès extérieurs aux ordinateurs de votre hôtel. Cela s'ap-plique également à la communication des systèmes au sein de l'hôtel. Les terminaux des cartes de crédit et/ou des systèmes d'applications de paiement doivent uniquement être connectés à Internet. Toute com-munication avec d'autres systèmes de l'hôtel, comme un système de gestion des marchandises, par exem-ple, doit rester impossible. L'utilisation et la bonne configuration de pare-feu peut permettre d'obtenir l'isola-tion requise par le questionnaire C pour les systèmes correspondants. Afin d'apporter une protection efficace aux données de cartes de crédit à traiter dans votre hôtel, le pare-feu doit fournir les fonctions décrites dans la partie «Tâches de la présente section»..
21/4
06_1
582_
3.0_
DE
_fr
Afin de prévenir les accès non autorisés, le réseau doit être surveillé. Les points d'accès Wi-Fi discrètement placés peuvent par exemple être découverts lors d'un contrôle physique, une expertise de l'ensemble des possibilités d'accès du système ou lors de balayages de sécurité à l'aide d'outils logiciels. Puisqu'ils consti-tuent un risque particulier, les réseaux Wi-Fi doivent être coupés des systèmes agissant avec les cartes de crédit via un pare-feu.
Les mesures visant à la protection de réseaux Wi-Fi décrites ici et dans les sections suivantes ne portent que sur ceux assurant la transmission de données de cartes de crédit. Il est toutefois recommandé d'appli-quer ces mesures aux autres réseaux Wi-Fi. Les autres points vulnérables du réseau peuvent être décou-verts au cours d'un balayage et doivent être réparés ensuite. On distingue deux types de balayages: les balayages internes et les balayages externes. Les premiers partent d'un scénario au cours duquel un crimi-nel se trouvant déjà dans le réseau interne. Les derniers partent d'un pirate informatique essayant via Inter-net de s'introduire dans le réseau. Le standard de sécurité PCI requiert, pour l'exécution de balayages de vulnérabilité externes, que ceux-ci soient effectués par un fournisseur de balayage accrédité par PCI Coun-cil, un «Approved Scanning Vendor» (ASV). Les balayages internes peuvent également être réalisés par votre fournisseur de services informatiques.
Vous devez aborder les points suivants avec votre fournisseur de services informatiques, qui doit vous confirmer que ceux-ci doivent être mis en application dans la pratique.
Tâches de la présente section La configuration du pare-feu et du routeur limite la communication entre les systèmes traitant des données de cartes de crédit et Internet
Les terminaux de cartes de crédit et/ou les applications de paiement sont exclusivement connectés à Internet
Le réseau Wi-Fi est coupé des systèmes traitant les cartes de crédit par un pare-feu
Celui-ci contrôle le trafic des données entre Wi-Fi et systèmes traitant les cartes de crédit
Le trafic de données entrant et sortant des systèmes où figurent des données de cartes de crédit est limité au minimum nécessaire
Chaque trafic de données entrant et sortant est bloqué («Deny All»)
La communication directe entre les systèmes traitant les cartes de crédit et Internet est impossible (toutes les connexions doivent passer par le pare-feu)
Chacun des trafic de données sortant des systèmes traitant des cartes de crédit a été explicitement validé
Le pare-feu prend en charge «Stateful Inspection»
Une recherche de points d'accès Wi-Fi non autorisés a lieu tous les trimestres
Des balayages de vulnérabilité sont réalisés tous les trimestres par un personnel qualifié
Les points vulnérables détectés sont réparés et un nouveau balayage a lieu pour suivi
Les balayages de vulnérabilité externes sont assurés par un ASV tous les trimestres.
22/4
06_1
582_
3.0_
DE
_fr
Les balayages de vulnérabilité internes et externes sont effectués après chaque changement significatif apporté au réseau (lors de la mise en service de systèmes supplémentaires, de modification des paramètres du pare-feu ou de modifications de la structure du réseau, par exemple)
Les balayages externes sont répétés jusqu'à l'absence totale de points vulnérables supérieurs à la classification CVSS (CVSS Base Score) 4.0.
4.3. Sécurisation des systèmes Risque potentiel La menace générale de virus, vers informatiques et chevaux de Troie est un danger toujours omniprésent pour les ordinateurs utilisés dans le cadre d'activités professionnelles. Ce logiciel malveillant peut sérieuse-ment compromettre l'utilité du propre ordinateur, voire l'anéantir complètement. Le plus notable de ses effets est qu'il permet de contrôler l'accès aux ordinateurs et donc le vol d'informations sensibles, comme les don-nées de cartes de crédit.
Mesures Les programmes antivirus et les logiciels de protection contre les virus doivent offrir une protection contre les logiciels malveillants dont le but explicite est d'exploiter les points vulnérables. Étant donné que les logiciels de protection contre les virus ne sont efficaces que contre les virus qu'ils «connaissent», il est absolument nécessaire de maintenir à jour les programmes antivirus utilisés.
Les logiciels malveillants essaient, dans la plupart des cas, d'exploiter les failles de sécurité des logiciels installés sur l'ordinateur. Si de telles failles de sécurité sont connues, le fabricant commence en général par remédier à la faille de sécurité. La procédure habituelle implique qu'il fournisse un correctif. Il s'agit d'une «section de code» installée par la suite pour combler la faille de sécurité. C'est pourquoi il est tout aussi im-portant, outre la mise à jour des programmes antivirus, d'installer les correctifs de sécurité du fabricant du système d'exploitation (Windows Updates) et des applications utilisées (Acrobat Reader, p. ex.) dans le mois qui suit leur sortie.
Dans ce contexte, il convient de souligner que la connexion Internet n'est pas le seul moyen dont disposent les logiciels malveillants pour accéder aux ordinateurs. Les supports de données mobiles, comme les clefs USB ou les disques durs portables notamment, posent, en raison de leur mobilité et de la polyvalence de leur utilisation, un risque qu'il convient de ne pas sous-estimer. Si l'utilisation d'interfaces USB n'est pas né-cessaire sur les ordinateurs de postes de travail de collaborateurs dans le cadre de leurs activités commer-ciales quotidiennes, il est recommandé de les désactiver.
Veuillez vérifier, avec votre prestataire de services le cas échéant, si les points suivants ont été mis en œu-vre dans vos systèmes.
Tâches de la présente section Programmes antivirus/Logiciels de protection contre les virus installés sur tous les ordinateurs
Ceux-ci sont actifs, mis à jour et établissent des rapports sur les incidents suspects
Offrent une protection contre le type de logiciel malveillant en question (notamment virus, chevaux de Troie, vers informatiques, logiciels espions, logiciels publicitaires, outils de dissimulation d'activité)
Les mises à jours automatiques des signatures de virus et les balayages complets de virus sont préconfigu-rés (le cas échéant, sur l'installation principale également)
Les correctifs de sécurité actuels sont installés au moins une fois par mois
23/4
06_1
582_
3.0_
DE
_fr
4.4. Standards préconfigurés du fabricant Risque potentiel Les logiciels et appareils récemment acquis ont généralement été préconfigurés par leurs fabricants de ma-nière standard. Il s'agit d'un processus tout à fait normal devant permettre une mise en service aisée. Par contre, ces réglages préalables sont souvent maintenus à un minimum, de telle sorte qu'ils fournissent une sécurité insuffisante. Cette sécurité s'avère insuffisante surtout lorsqu'il s'agit de données d'accès préconfi-gurées comme un nom d'utilisateur et un mot de passe. En outre, d'autres réglages préalables spécifiques aux fabricants sont connus et accessibles librement sur Internet. Ainsi, un pirate informatique tentera de découvrir à quel type de logiciel ou d'appareil il a affaire. Si les mots de passe préconfigurés n'ont pas été modifiés, cela peut considérablement favoriser une attaque par un pirate, puisqu'il essaiera ensuite de saisir les mots de passe standard connus.
Mesures Les données d'accès comme le nom d'utilisateur et le mot de passe préconfigurés et fournis par le fabricant sont faciles à trouver ou à deviner pour les pirates informatiques. C'est pourquoi il faut absolument les modi-fier.
Lorsque l'application de paiement ou le terminal de paiement est connecté à votre accès Internet par Wi-Fi, le standard de sécurité PCI demande à ce que les modifications suivantes soient apportées aux réglages préalables du fabricant. Veuillez vérifier, avec votre prestataire de services informatiques le cas échéant, que les mesures suivantes ont été prises pour votre environnement Wi-Fi.
Tâches de la présente section Les réglages préalables sont modifiés lors de l'installation (modification des mots de passe standard, blocage ou désactivation des comptes superflus, mise en œuvre des mesures de sécurité telles que citées dans la notice d'utilisation du fabricant)
Avertissement: Dans la mesure du possible, renoncer à l'utilisation de la transmission des données de carte de crédit avec Wi-Fi.
La connexion Wi-Fi transmettant des données de cartes de crédit répond aux exigences suivantes: Modification des valeurs standard du chiffrement
Code modifié lorsqu'un collaborateur le connaissant quitte son service au sein de l'hôtel
Les chaînes de caractères Community SNMP standard ont été modifiées
Le mot de passe standard pour le point d'accès Wi-Fi a été modifié
Le micrologiciel est à jour
Le cas échéant, tous les réglages préalables et ayant trait à la sécurité sont modifiés
Les services, protocoles et démons actifs sur les systèmes sont uniquement ceux qui sont nécessaires (tous les autres ont été désactivés)
24/4
06_1
582_
3.0_
DE
_fr
4.5. Transmission sécurisée des données de cartes de crédit Risque potentiel Si des réseaux publics sont utilisés dans le cadre de la transmission de données de cartes de crédit, il est relativement simple pour l'agresseur d'intercepter ces données au cours de la transmission. Les criminels se servent d'une multitude de programmes libres d'accès sur Internet pour pouvoir intercepter les données au cours de leur transit. Si ces données ne sont pas chiffrées, n'importe qui peut les lire, y compris celui qui les a détournées. Les connexions Wi-Fi faiblement chiffrées offrent aux criminels une possibilité relativement simple d'intercepter les données.
Mesures Afin de protéger les données d'un tel abus, il est important de chiffrer celles-ci pour la transmission. Certes, ces données demeurent accessibles aux pirates informatiques, mais elles sont illisibles pour ceux-ci et donc inutilisables.
Les mécanismes de chiffrement jouent un rôle crucial dans ce contexte. Ils doivent résister aux tentatives de déchiffrage par les pirates informatiques. Si cet aspect est garanti, on parle alors de chiffrement «renforcé». Seul un chiffrement renforcé remplit son rôle et fournit la protection nécessaire aux données sensibles. C'est pourquoi vous devez vérifier avec votre prestataire de services informatiques que les mécanismes de protec-tion cités ci-dessous ont bien été appliqués.
Tâches de la présente section Utilisation d'un chiffrement et de protocoles de sécurité renforcés
(SSL/TLS, SSH ou IPSEC, par exemple)
Utilisation exclusive de certificats de confiance (p. ex. de VeriSIng, Thawte, etc.)
Aucune utilisation de protocoles de sécurité non sûrs (comme SSL v2.0 ou SSH v1.0, par exemple)
En cas d'utilisation de SSL, HTTPS doit figurer dans l'adresse URL du navigateur
Traitement des données de carte de crédit uniquement lorsqu'HTTPS apparaît dans l'adresse URL, et idem sur les pages de connexion, n'autoriser que des connexions HTTPS
Standards industriels pour le Wi-Fi (chiffrement renforcé pour transmission et authentification)
4.6. Télétravail à domicile Risque potentiel D'un point de vue technologique, le travail sur un poste à domicile n'est, grâce aux ordinateurs portables et à Internet, plus un problème depuis longtemps. Si cependant il faut accéder à des données sensibles, comme des données de cartes de crédit, par exemple, il convient d'assurer que les personnes ayant une possibilité d'accès extérieur y ont été autorisées. Tout criminel pourrait sinon affirmer être cette personne autorisée et essayer d'avoir accès aux données de carte de crédit et de voler celles-ci.
Mesures Outre la sécurisation générale des voies de communication, il convient de s'assurer que l'accès extérieur au réseau de l'hôtel n'est possible que pour des personnes autorisées. La «preuve» que la personne est bien celle qui dispose de l'autorisation peut être obtenue en procédant à une authentification à deux facteurs.
25/4
06_1
582_
3.0_
DE
_fr
On distingue généralement trois facteurs permettant de prouver l'identité:
1. Un élément connu: il s'agit, la plupart du temps, d'un mot de passe
2. Un élément de propriété: il peut s'agir d'une carte à puce, par exemple
3. Un élément d'identité: il s'agit de caractéristiques biométriques, un balayage d'empreintes digitales, par exemple
L'utilisation d'un facteur à deux reprises ne constitue pas une authentification à deux facteurs. La saisie consécutive de deux mots de passe distincts n'apporte pas de gain de sécurité. Seule la combinaison d'au moins deux facteurs différents peut remplir cette fonction de sécurité accrue. Plus les combinaisons de fac-teurs d'identification sont importantes, plus il devient difficile pour les criminels d'imiter cette identité. C'est pourquoi les accès extérieurs au réseau de l'hôtel doivent demander une preuve d'identité composée de deux des trois facteurs précités. Votre fournisseur informatique devrait être en mesure de vous assister pen-dant la mise en œuvre de cette tâche.
Tâches de la présente section La preuve de l'identité par au moins deux facteurs est impérative pour pouvoir avoir accès au réseau de l'hôtel depuis l'extérieur
4.7. Accès administratif et télémaintenance des systèmes Risque potentiel Si les systèmes ne sont pas administrés depuis une console directement connectée à eux, l'accès à distan-ce n'est pas suffisamment sécurisé, ce qui peut amener un pirate informatique à obtenir des informations cruciales pour la sécurité. En cas de chiffrement faible, voire en l'absence de celui-ci, le criminel pourrait par exemple s'approprier des mots de passe lui permettant plus tard d'avoir accès aux systèmes et ainsi à des données de cartes de crédit.
Mesures Si l'accès au système à des fins administratives ne se fait pas par un écran directement relié à l'ordinateur, le chiffrement doit être élevé pour assurer la sécurité. Le processus d'ouverture de session constitue un ris-que particulier, si bien qu'il faut veiller à ce que les mécanismes de chiffrement interviennent avant la de-mande de mot de passe.
Si votre fournisseur informatique ou un fabricant garantissent un accès à distance à vos systèmes dans le cadre des services de maintenance et d'assistance, il convient de sécuriser celui-ci en conséquence. En outre, l'accès ne doit être possible que via un compte configuré spécifiquement à cet effet et ne devant être actif que lorsqu'il est requis. Il ne doit pas constituer une possibilité d'accès permanente. Les accès doivent être surveillés pendant toute leur durée.
26/4
06_1
582_
3.0_
DE
_fr
Tâches de la présente section Les accès administratifs hors consoles doivent être protégés par un chiffrement renforcé (avec SSH, VPN ou SSL/TLS, par exemple)
Recours à une méthode de chiffrement renforcé avant saisie du mot de passe de l'administrateur
Chiffrement renforcé, même lors de l'accès administrateur aux interfaces de gestion en ligne
L'utilisation d'un processus d'ouverture de session à distance non sécurisé (Telnet ou login, par exemple) n'est pas possible
Les accès à distance de mon prestataire de services informatiques ou d'un fabricant se font exclusivement via des comptes configurés à cet effet
Ces comptes ne sont activés que lorsqu'ils sont nécessaires
Pendant l'accès à distance, il convient de surveiller les activités du prestataire de service ou du fabricant
4.8. Compléments des documents de sécurité Les explications du chapitre précédent portant sur une directive relative à la sécurité des informations sont également valables pour le domaine d'application du questionnaire de catégorie C. Cela dit, des complé-ments d'informations doivent être apportés pour communiquer les risques provenant du fonctionnement des technologies utilisées en raison de leurs caractéristiques et de leur fonctionnement.
Directive relative à la sécurité des informations Les contenus suivants de la directive relative à la sécurité des informations doivent être complétés:
L'authentification est obligatoire pour prouver que la personne en question dispose bel et bien d'une autorisation. Sans les mécanismes de preuve d'identité, les criminels ont très facilement accès aux sys-tèmes.
Des «points de réseau acceptables» doivent être définis. Ils décrivent les emplacement idéaux des ordi-nateurs à partir desquels l'accès aux données de cartes de crédit est possible. On pourrait par exemple définir que les écrans soient positionnés de manière à ce que les regards extérieurs ne puissent pas les visionner. Cela permet de maintenir une vue d'ensemble et d'identifier d'éventuelles failles de sécurité.
L'utilisation de technologies permettant l'accès au réseau de l'hôtel depuis des postes de travail à domi-cile constitue un risque potentiel. C'est pourquoi le standard de sécurité PCI prévoit que ces technolo-gies soient configurées de manière à couper automatiquement ces connexions au bout d'une période d'inactivité donnée (15 minutes) et de demander une nouvelle fois le mot de passe.
Si la maintenance et l'assistance des prestataires de services externes ou un fabricant sont effectuées par accès à distance aux systèmes du réseau de l'ordinateur, des mesures spécifiques à ce cas de figu-re doivent être prises. Une telle possibilité d'accès constitue une sorte de «porte de sortie» permettant d'ouvrir l'accès à des données sensibles. C'est pourquoi il est très important que cet accès ne soit activé que lorsqu'il est vraiment nécessaire et qu'il soit inactif sinon.
La nécessité de chercher des points d'accès Wi-Fi non autorisés une fois par trimestre. Il faut rédiger une brève description de la mise en œuvre de ce point. Il est également possible de procéder à une visi-te des emplacements offrant des possibilités d'accès au réseau de l'hôtel ou à un balayage automatique. Si les collaborateurs découvrent un point d'accès Wi-Fi non autorisé au cours de l'exercice quotidien de
27/4
06_1
582_
3.0_
DE
_fr
leurs fonctions, ceux-ci doivent avoir reçu la consigne de les supprimer et de signaler l'incident à la di-rection de l'hôtel.
Instructions de travail pour les collaborateurs ayant accès aux données des cartes de crédit Les instructions de travail pour les collaborateurs ayant accès aux données de cartes de crédit doivent être complétées aux points expliquant la marche à suivre avec les technologies utilisées conforme au standard PCI. Les explications fournies aux collaborateurs leur indiquant la manière de faire et les raisons pour les-quelles ils doivent accomplir quelque chose facilitent l'acceptation des mesures entreprises. Cela permet de favoriser leur observation et de limiter les risques dus à des comportements inadaptés.
Indépendamment de l'utilisation des technologies en question, les points suivants des instructions de travail peuvent être pris en compte:
Les collaborateurs autorisés à assurer l'accès à distance aux ordinateurs de l'hôtel aux prestataires de service externes ou aux fabricants dans le cadre de la maintenance ou de l'assistance doivent maîtriser ces technologies d'accès. Le fait que cet accès soit désactivé immédiatement après la fin de l'activité d'assistance et la méthode à employer pour le faire doivent être parfaitement clairs.
Si des collaborateurs découvrent des points d'accès Wi-Fi, ceux-ci doivent les supprimer et signaler l'incident à la direction de l'hôtel.
Liste des autorisations d'accès La liste des autorisations d'accès doit également inclure les personnes ayant accès aux ordinateurs traitant les données de cartes de crédit et les processus d'accès à ces ordinateurs. Les personnes connaissant les mots de passe correspondants et les lieux d'accès aux ordinateurs de travail de l'hôtel (sur place ou en télé-travail à domicile) doivent avoir été définis. Il convient tout autant de définir la personne autorisée à donner l'accès au réseau de l'hôtel au prestataire de services ou au fabricant.
Liste des prestataires de services externes La liste des prestataires de services externes doit comporter des annotations particulières pour ceux à qui l'accès à distance au réseau de l'hôtel est donné dans le cadre de la maintenance et de l'assistance.
Tâches de la présente section Compléments de la directive relative à la sécurité des informations
Compléter les instructions de travail pour les collaborateurs ayant accès aux données des cartes de crédit
Compléter la liste des autorisations d'accès
Compléter la liste des prestataires de services externes
28/4
06_1
582_
3.0_
DE
_fr
4.9. Sécurisation durable des données de cartes de crédit Les mesures décrites ici offrent un minimum de sécurité pour les données de cartes de crédit des modèles commerciaux traitant lesdites données via des terminaux ou des applications de paiement à connexion In-ternet. Le renoncement à l'enregistrement électronique des informations de cartes de crédit permet, en ap-pliquant toutes les mesures de manière efficace et praticable, d'obtenir une protection de base.
Afin de prouver la conformité PCI, vous pouvez répondre par l'affirmative aux questions du questionnaire de catégorie C si vous mettez en œuvre les mesures décrites dans le présent manuel. Les technologies non utilisées ne doivent, bien entendu, pas faire l'objet de mesures. Il suffit d'indiquer la mention «Sans objet» dans la colonne «Mentions spéciales» et de signaler brièvement en annexe le motif pour lequel cette ques-tion n'est pas pertinente pour cet hôtel. Si, par exemple, l'accès à distance aux systèmes de l'hôtel depuis l'extérieur n'est généralement pas autorisé ou pas possible, vous n'êtes pas obligé(e) de vous conformer aux mesures visant à la sécurisation de celui-ci.
Afin de maintenir la conformité PCI, le questionnaire doit être rempli une fois par an et être remis à votre banque le cas échéant. Cela donne la possibilité de vérifier les mesures introduites et/ou de réagir aux changements potentiellement survenus dans les processus commerciaux, et, le cas échéant, d'adapter la catégorie concernée du questionnaire.
Les seules obtention ou preuve de la conformité au standard PCI DSS ne suffisent cependant pas pour pro-téger durablement les données de cartes de crédit. Une protection véritable et durable ne peut être atteinte que si les mesures sont mises en œuvre au quotidien. Pour cela, toutes les parties concernées doivent œu-vrer en chœur.
En effet, la protection des données des clients ne doit pas être basée sur la crainte de problèmes potentiels de droit de responsabilité, mais avant tout sur la motivation d'assurer la propre activité commerciale et la compétitivité futures sur le long terme.
29/4
06_1
582_
3.0_
DE
_fr
4.10. Annexe C: Liste récapitulative à cocher du questionnaire – catégorie C
Le flux de cartes de crédit au sein de l'hôtel est-il connu?
Les cartes de crédit ne sont traitées que par un terminal à connexion numérotée (ISDN ou analogi-que) et sinon seulement traitées sur papier?
Les collaborateurs ont-ils seulement accès à des données de cartes de crédit nécessaires à l'exerci-ce de leurs fonctions?
Les collaborateurs ayant accès à un ordinateur sont-ils bien les seuls à en avoir besoin?
Les collaborateurs ayant une clef leur permettant d'accéder aux endroits de conservation des don-nées de cartes de crédit sont-ils bien les seuls à en avoir besoin?
Les collaborateurs ont-ils été formés au traitement sûr et conforme des courriels contenant des don-nées de cartes de crédit?
Les collaborateurs ont-ils été formés au traitement sûr et conforme des documents imprimés et des justificatifs de paiement contenant des données de cartes de crédit?
Les collaborateurs sont-ils conscients du caractère sensible des informations de cartes de crédit?
Les documents imprimés, télécopies et justificatifs contenant des informations de cartes de crédit sont-ils conservés dans un endroit verrouillé?
Les informations hautement sensibles sur les documents imprimés ont-elles été noircies ou rendues illisibles?
Est-il possible d'assurer que les données de cartes de crédit sont détruites de manière irréversible lors de leur élimination?
La garantie d'une élimination en bonne et due forme par le prestataire de service en charge et l'en-gagement de sa responsabilité font-elles l'objet d'une clause contractuelle?
Vérifier avec le prestataire de services que le terminal à cartes utilisé est bel et bien conforme aux standards de sécurité pour cartes de crédit (ou vérifier la certification de l'appareil sur les sites du PCI Council).
Le terminal à cartes enregistre-t-il les données de cartes de crédit?
Si oui: Celles-ci peuvent-elles êtres supprimées en toute sécurité?
Le terminal à cartes est-il protégé contre les manipulations?
La configuration du pare-feu et du routeur limite-t-elle la communication entre les systèmes traitant des données de cartes de crédit et Internet?
30/4
06_1
582_
3.0_
DE
_fr
Le réseau Wi-Fi est-il coupé des systèmes traitant les cartes de crédit par un pare-feu?
Le pare-feu contrôle-t-il le trafic des données entre Wi-Fi et systèmes traitant les cartes de crédit?
Le trafic de données entrant et sortant des systèmes où figurent des données de cartes de crédit est-il limité au minimum nécessaire?
Chaque trafic de données entrant et sortant est-il bloqué («Deny All»)?
La communication directe entre les systèmes traitant les cartes de crédit et Internet est-elle impossi-ble (toutes les connexions doivent passer par le pare-feu)?
Les terminaux pour cartes de crédit et/ou les applications de paiement sont-ils uniquement connec-tés à Internet et à aucun autre système au sein de l'hôtel?
Chacun des trafic de données sortant des systèmes traitant des cartes de crédit a-t-il été explicite-ment validé?
Le pare-feu prend-il en charge «Stateful Inspection»?
La recherche de points d'accès Wi-Fi a-t-elle lieu tous les trimestres?
Des balayages de vulnérabilité sont-ils réalisés tous les trimestres par un personnel qualifié?
Les points vulnérables détectés sont-ils réparés et un nouveau balayage a-t-il lieu pour suivi?
Les balayages de vulnérabilité externes sont-ils assurés par un ASV tous les trimestres?
Des balayages de vulnérabilité internes et externes sont-ils effectués après chaque changement significatif apporté au réseau (lors de la mise en service de systèmes supplémentaires, de modifica-tion des paramètres du pare-feu ou de modifications de la structure du réseau, par exemple)?
Les balayages externes sont-ils répétés jusqu'à l'absence totale de points vulnérables supérieurs à la classification CVSS (CVSS Base Score) 4.0?
Des programmes antivirus/des logiciels de protection contre les virus sont-ils installés sur tous les ordinateurs?
Ceux-ci sont-ils actifs, mis à jour et établissent-ils des rapports sur les incidents suspects?
Offrent-ils une protection contre le type de logiciel malveillant en question (notamment virus, chevaux de Troie, vers informatiques, logiciels espions, logiciels publicitaires, outils de dissimulation d'activi-té)?
Les mises à jours automatiques des signatures de virus et les balayages complets de virus sont-ils préconfigurés (le cas échéant, sur l'installation principale également)?
Les correctifs de sécurité actuels sont-ils installés au moins une fois par mois?
31/4
06_1
582_
3.0_
DE
_fr
Les correctifs cruciaux pour la sécurité sont-ils installés dans le mois suivant leur sortie?
Les réglages préalables sont-ils modifiés lors de l'installation (modification des mots de passe stan-dard, blocage ou désactivation des comptes superflus, etc.)?
La connexion Wi-Fi transmettant des données de cartes de crédit répond-elle aux exigences suivan-tes?
Les valeurs standard du chiffrement ont-elles été modifiées?
Les codes sont-ils modifiés lorsqu'un collaborateur le connaissant quitte son service au sein de l'hôtel?
Les chaînes de caractères Community SNMP standard ont-elles été modifiées?
Le mot de passe standard pour le point d'accès Wi-Fi a-t-il été modifié?
Le micrologiciel est-il à jour?
Le cas échéant, tous les réglages préalables et ayant trait à la sécurité ont-ils été modifiés?
Les services, protocoles et démons actifs sur les systèmes sont-ils uniquement ceux qui sont néces-saires (tous les autres ont été désactivés)?
Un chiffrement et des protocoles de sécurité renforcés (SSL/TLS, SSH ou IPSEC, par exemple) sont-ils utilisés?
Utilisation exclusive de certificats de confiance (p. ex. de VeriSIng, Thawte, etc.)?
Aucune utilisation de protocoles de sécurité non sûrs (comme SSL v2.0 ou SSH v1.0, par exemple)?
HTTPS figure-t-il dans l'adresse URL du navigateur en cas d'utilisation de SSL?
Traitement des données de carte de crédit uniquement lorsqu'HTTPS apparaît dans l'adresse URL?
Des standards industriels sont-ils utilisés pour le Wi-Fi (chiffrement renforcé pour transmission et authentification)?
La preuve de l'identité par au moins deux facteurs est-elle impérative pour pouvoir avoir accès au réseau de l'hôtel depuis l'extérieur?
Les accès administratifs hors consoles doivent-ils être protégés par un chiffrement renforcé (avec SSH, VPN ou SSL/TLS, par exemple)?
Recours à une méthode de chiffrement renforcé avant saisie du mot de passe de l'administrateur?
Chiffrement renforcé, même lors de l'accès administrateur aux interfaces de gestion en ligne?
L'utilisation d'un processus d'ouverture de session à distance non sécurisé (Telnet ou rlogin, par exemple) est-elle impossible?
32/4
06_1
582_
3.0_
DE
_fr
Les accès à distance de mon prestataire de services informatiques ou d'un fabricant se font-ils ex-clusivement via des comptes configurés à cet effet?
Ces comptes ne sont-ils activés que lorsqu'ils sont nécessaires?
Pendant l'accès à distance, les activités du prestataire de service ou du fabricant font-elles l'objet d'une surveillance?
Existe-t-il une directive relative à la sécurité des informations comprenant les contenus exigés par les questionnaires B et C?
Celle-ci a-t-elle été remise à tous les collaborateurs entrant en contact avec les données de cartes de crédits?
Mes collaborateurs ont-ils compris les contenus?
Des instructions de travail pour les collaborateurs ayant accès aux données des cartes de crédit ont-elles été rédigées?
Une liste des autorisations d'accès a-t-elle été établie?
Les collaborateurs maîtrisent-ils les technologies utilisées?
Les collaborateurs connaissent-ils la marche à suivre en cas de découverte de points d'accès Wi-Fi non autorisés?
Les collaborateurs traitant les données de cartes de crédit sont-ils conscients du caractère sensible de ces données?
La relation avec les prestataires de service entrant en contact avec les données de carte de crédit est-elle contractuelle?
Quels prestataires de services ou fabricants se voient-ils octroyer un accès à distance au réseau de l'hôtel?
Une liste de ces prestataires de services a-t-elle été établie?
Vérification du statut de conformité PCI DSS des prestataires de services
Les prestataires de services ont-ils été sensibilisés au traitement en bonne et due forme des don-nées de cartes de crédit?
Les mesures et documents font-ils l'objet d'une vérification annuelle visant à établir leur validité?
