Kabboul Kenza
Propriétaire, PDG.

Date d'entrée en vigueur

17 avril 2020

Dernière mise à jour du contenu

17 avril 2020

But

Cette politique explique les exigences de sécurité des cartes de crédit de Kabboul Kenza et du magasin nexgendecor, conformément à la norme PCI DSS (Payment Card Industry Data Security Standard). La direction de Kabboul Kenza et du magasin nexgendecor s'engage à appliquer ces politiques de sécurité afin de protéger les informations utilisées par Kabboul Kenza et le magasin nexgendecor pour atteindre ses objectifs commerciaux. Tous les employés sont tenus de respecter les politiques décrites dans ce document.

Portée de la conformité

Les exigences PCI s'appliquent à tous les systèmes qui stockent, traitent ou transmettent les données des titulaires de cartes. Actuellement, l'environnement de gestion des titulaires de cartes de Kabboul Kenza et du magasin nexgendecor se compose uniquement d'applications de paiement limitées (généralement des systèmes de point de vente) connectées à Internet, mais ne permet pas le stockage des données des titulaires de cartes sur un système informatique.

En raison de la nature limitée de l'environnement concerné, cette politique vise à répondre aux exigences PCI telles que définies dans le questionnaire d'auto-évaluation (SAQ) C, ver. 2.0, octobre 2010. Si Kabboul Kenza et le magasin nexgendecor mettent en œuvre des canaux d'acceptation supplémentaires, commencent à stocker, traiter ou transmettre les données des titulaires de carte au format électronique, ou deviennent autrement inéligibles pour valider la conformité sous SAQ C, il sera de la responsabilité de Kabboul Kenza et du magasin nexgendecor de déterminer les critères de conformité appropriés et de mettre en œuvre des politiques et des contrôles supplémentaires si nécessaire.

Politique

Exigence 1 : Construire et entretenir un réseau sécurisé

Configuration du pare-feu

Les pare-feu doivent restreindre les connexions entre les réseaux non fiables et tout système de l'environnement de données du titulaire de carte. Un « réseau non fiable » est un réseau externe aux réseaux de l'entité examinée et/ou que l'entité ne peut ni contrôler ni gérer. (Exigence PCI 1.2)

Le trafic entrant et sortant doit être limité au strict nécessaire à l'environnement des données du titulaire de carte. Tout autre trafic entrant et sortant doit être expressément refusé. (Exigence PCI 1.2.1)

Tous les ports et services ouverts doivent être documentés. Cette documentation doit inclure le port ou le service, la source et la destination, ainsi qu'une justification commerciale de l'ouverture dudit port ou service. (Exigence PCI 1.2.1)

Des pare-feu périmétriques doivent être installés entre les réseaux sans fil et l'environnement de données du titulaire de carte. Ces pare-feu doivent être configurés pour refuser ou contrôler (si ce trafic est nécessaire à des fins professionnelles) tout trafic provenant de l'environnement sans fil vers l'environnement de données du titulaire de carte. (Exigence PCI 1.2.3)

La configuration du pare-feu doit interdire l'accès public direct entre Internet et tout composant système dans l'environnement de données du titulaire de la carte comme suit :

  • Les connexions directes sont interdites pour le trafic entrant et sortant entre Internet et l'environnement de données du titulaire de la carte (exigence PCI 1.3.3)
  • Le trafic sortant de l'environnement de données du titulaire de la carte vers Internet doit être explicitement autorisé (exigence PCI 1.3.5)
  • Les pare-feu doivent implémenter une inspection avec état, également appelée filtrage dynamique des paquets (exigence PCI 1.3.6)

Exigence 2 : Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité

Défauts du fournisseur

Les paramètres par défaut du fournisseur doivent toujours être modifiés avant l'installation d'un système sur le réseau. Parmi ces paramètres, on peut citer les mots de passe, les chaînes de communauté SNMP et la suppression des comptes inutiles. (Exigence PCI 2.1)

Les paramètres par défaut des systèmes sans fil doivent être modifiés avant leur mise en œuvre. Les paramètres par défaut de l'environnement sans fil incluent, sans s'y limiter :

  • Clés de chiffrement par défaut
  • Mots de passe
  • Chaînes de communauté SNMP
  • Mots de passe/phrases de passe par défaut sur les points d'accès
  • Autres valeurs par défaut des fournisseurs de services sans fil liées à la sécurité, le cas échéant

Le micrologiciel des appareils sans fil doit être mis à jour pour prendre en charge un cryptage renforcé pour l'authentification et la transmission de données sur les réseaux sans fil. (Exigence PCI 2.1.1)

Services et protocoles inutiles

Seuls les services, protocoles, démons, etc. nécessaires au fonctionnement du système peuvent être activés. Tous les services et protocoles non directement nécessaires à l'exécution de la fonction spécifiée du périphérique doivent être désactivés. (Exigence PCI 2.2.2)

Accès administratif hors console

Les identifiants d'accès administratif hors console doivent être chiffrés à l'aide de technologies telles que SSH, VPN ou SSL/TLS. Ces technologies de chiffrement doivent inclure les éléments suivants : (Exigence PCI 2.3)

  • Doit utiliser une cryptographie forte et la méthode de cryptage doit être invoquée avant que le mot de passe de l'administrateur ne soit demandé
  • Les services système et les fichiers de paramètres doivent être configurés pour empêcher l'utilisation de Telnet et d'autres commandes de connexion à distance non sécurisées
  • Doit inclure l'accès administrateur aux interfaces de gestion Web

Exigence 3 : Protéger les données enregistrées du titulaire de la carte

Données interdites

Des processus doivent être mis en place pour supprimer en toute sécurité les données d'authentification sensibles après autorisation, afin qu'elles soient irrécupérables. (Exigence PCI 3.2)

Les systèmes de paiement doivent respecter les exigences suivantes concernant le non-stockage des données d'authentification sensibles après autorisation (même si elles sont cryptées) :

  • Le contenu complet des données de piste de la bande magnétique (située au dos d'une carte, données équivalentes contenues sur une puce ou ailleurs) n'est en aucun cas stocké (exigence PCI 3.2.1)
  • Le code ou la valeur de vérification de la carte (numéro à trois ou quatre chiffres imprimé au recto ou au verso d'une carte de paiement) n'est en aucun cas stocké (exigence PCI 3.2.2)
  • Le numéro d'identification personnel (PIN) ou le bloc PIN crypté ne sont en aucun cas stockés (exigence PCI 3.2.3)

Affichage du PAN

Kabboul Kenza et le magasin nexgendecor masqueront l'affichage des numéros de compte principaux (PAN) et en limiteront la consultation aux seuls employés et autres personnes ayant un besoin légitime. Un numéro correctement masqué n'affichera que les six premiers et les quatre derniers chiffres du PAN. (Exigence PCI 3.3)

Exigence 4 : Chiffrer la transmission des données du titulaire de la carte sur des réseaux publics ouverts

Transmission des données du titulaire de la carte

Les données des titulaires de carte transmises sur des réseaux publics ouverts doivent être protégées par des protocoles de cryptographie ou de sécurité robustes (par exemple, IPSEC, SSLTLS). Seules les clés et/ou certificats de confiance sont acceptés. Pour les implémentations SSL/TLS, HTTPS doit figurer dans l'URL, et les données des titulaires de carte ne peuvent être saisies que lorsque HTTPS apparaît dans l'URL. (Exigence PCI 4.1)

Les meilleures pratiques de l'industrie (par exemple, IEEE 802.11i) doivent être utilisées pour mettre en œuvre un cryptage fort pour l'authentification et la transmission pour les réseaux sans fil transmettant les données du titulaire de la carte ou connectés à l'environnement de données du titulaire de la carte. (Exigence PCI 4.1.1)

L'envoi de PAN non chiffrés par des technologies de messagerie destinées aux utilisateurs finaux est interdit. Parmi ces technologies, on peut citer le courrier électronique, la messagerie instantanée et le chat. (Exigence PCI 4.2)

Exigence 5 : utiliser et mettre à jour régulièrement des logiciels ou programmes antivirus

Antivirus

Tous les systèmes, en particulier les ordinateurs personnels et les serveurs fréquemment infectés par des virus, doivent être équipés d'un antivirus capable de détecter, de supprimer et de protéger contre tous les types connus de logiciels malveillants. (Exigence PCI 5.1, 5.1.1)

Tous les programmes antivirus doivent être maintenus à jour grâce à des mises à jour automatiques, être actifs, configurés pour exécuter des analyses périodiques et capables de générer des journaux d'audit. Les journaux antivirus doivent être conservés conformément à l'exigence PCI 10.7 (exigence PCI 5.2).

Exigence 6 : Développer et maintenir des systèmes et des applications sécurisés

Correctifs de sécurité

Tous les correctifs de sécurité critiques à haut risque doivent être appliqués dans les 14 jours suivant leur publication. Cela inclut les correctifs pertinents pour les systèmes d'exploitation et toutes les applications installées. (Exigence PCI 6.1)

Exigence 7 : Restreindre l'accès aux données des titulaires de carte par les besoins professionnels

Limiter l'accès aux données du titulaire de la carte

L'accès aux composants et aux données du système de gestion des cartes des magasins Kabboul Kenza et Nexgendecor est limité aux personnes dont le travail nécessite un tel accès. (Exigence PCI 7.1)

Les limitations d’accès doivent inclure les éléments suivants :

  • Les droits d'accès pour les identifiants d'utilisateur privilégiés doivent être limités aux privilèges minimums nécessaires pour s'acquitter des responsabilités professionnelles (exigence PCI 7.1.1)
  • Les privilèges doivent être attribués aux individus en fonction de la classification et de la fonction du poste (également appelé « contrôle d'accès basé sur les rôles ») (exigence PCI 7.1.2)

Exigence 8 : Attribuer un identifiant unique à chaque personne ayant accès à l'ordinateur

Accès à distance

L'authentification à deux facteurs doit être intégrée pour l'accès à distance (accès au niveau du réseau provenant de l'extérieur du réseau) au réseau par les employés, les administrateurs et les tiers. (Exigence PCI 8.3)

Comptes fournisseurs

Tous les comptes utilisés par les fournisseurs pour la maintenance à distance doivent être activés uniquement pendant la période nécessaire. Les comptes d'accès à distance des fournisseurs doivent être surveillés lorsqu'ils sont utilisés. (Exigence PCI 8.5.6)

Exigence 9 : Restreindre l’accès physique aux données du titulaire de carte

Sécuriser physiquement tous les supports contenant les données du titulaire de la carte

Les documents papier contenant des informations confidentielles ou sensibles (par exemple, reçus papier, rapports papier, télécopies, etc.) sont soumis aux directives de stockage suivantes :

  • Tous les supports doivent être physiquement sécurisés. (Exigence PCI 9.6)

Un contrôle strict doit être exercé sur la diffusion, en interne comme en externe, de tout support contenant des données de titulaires de carte. Ces contrôles doivent inclure :

  • Les supports doivent être classés afin que la sensibilité des données puisse être déterminée (exigence PCI 9.7.1)
  • Les supports doivent être envoyés par un transporteur sécurisé ou par une autre méthode de livraison pouvant être suivie avec précision (exigence PCI 9.7.2)

Des journaux doivent être conservés pour suivre tous les supports déplacés depuis une zone sécurisée, et l'approbation de la direction doit être obtenue avant de déplacer les supports. (Exigence PCI 9.8)

Un contrôle strict doit être maintenu sur le stockage et l'accessibilité des supports contenant les données des titulaires de cartes. (Exigence PCI 9.9)

Destruction des données

Tous les supports contenant les données du titulaire de la carte doivent être détruits lorsqu'ils ne sont plus nécessaires pour des raisons commerciales ou juridiques. (Exigence PCI 9.10)
Les supports papier doivent être détruits par déchiquetage, incinération ou réduction en pâte afin d'empêcher toute reconstitution des données du titulaire. Les conteneurs contenant les informations en attente de destruction doivent être sécurisés afin d'empêcher l'accès à leur contenu. (Exigence PCI 9.10.1)

Exigence 11 : Tester régulièrement les systèmes et processus de sécurité

Test des points d'accès sans fil non autorisés

Au moins une fois par trimestre, Kabboul Kenza et le magasin nexgendecor effectueront des tests pour s'assurer qu'aucun point d'accès sans fil non autorisé n'est présent dans l'environnement du titulaire de la carte. (Exigence PCI 11.1)

  • Ces tests doivent détecter et identifier tous les points d’accès sans fil non autorisés, y compris au moins les suivants :
  • Cartes WLAN insérées dans les composants du système
  • Appareils portables sans fil connectés aux composants du système (par exemple, par USB, etc.)
  • Périphériques sans fil connectés à un port réseau ou à un périphérique réseau

Si une surveillance automatisée est utilisée (par exemple, IDS/IPS sans fil, NAC, etc.), elle doit être configurée pour générer des alertes.

La détection des appareils sans fil non autorisés doit être incluse dans le plan de réponse aux incidents (voir l'exigence PCI 12.9).

Analyse des vulnérabilités

Au moins une fois par trimestre, et après toute modification significative du réseau (telle que l'installation de nouveaux composants système, des modifications de la topologie du réseau, des modifications des règles de pare-feu, des mises à niveau de produits), le Minnesota State Community and Technical College effectuera une analyse de vulnérabilité sur tous les systèmes concernés. (Exigence PCI 11.2)

Les analyses de vulnérabilité internes doivent être répétées jusqu'à l'obtention de résultats satisfaisants ou jusqu'à ce que toutes les vulnérabilités « élevées » définies dans l'exigence PCI 6.2 soient résolues. (Exigences PCI 11.2.1, 11.2.3)

Les résultats des analyses trimestrielles de vulnérabilité doivent satisfaire aux exigences du guide du programme ASV (par exemple, aucune vulnérabilité notée supérieure à 4,0 par le CVSS et aucun échec automatique). Les analyses externes de vulnérabilité doivent être effectuées par un fournisseur de services d'analyse agréé (ASV), approuvé par le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC). (Exigences PCI 11.2.2, 11.2.3)

Exigence 12 : Maintenir une politique qui traite de la sécurité de l'information pour les employés et les entrepreneurs

Politique de sécurité

Kabboul Kenza et le magasin Nexgendecor doivent établir, publier, maintenir et diffuser une politique de sécurité décrivant la manière dont l'entreprise protégera les données des titulaires de carte. (Exigence PCI 12.1)

Cette politique doit être révisée au moins une fois par an et mise à jour si nécessaire pour refléter les changements apportés aux objectifs commerciaux ou à l'environnement de risque. (Exigence PCI 12.1.3)

Technologies critiques

Kabboul Kenza et le magasin nexgendecor doivent établir des politiques d'utilisation des technologies critiques (par exemple, les technologies d'accès à distance, les technologies sans fil, les supports électroniques amovibles, les ordinateurs portables, les tablettes, les données personnelles/assistants numériques (PDA), le courrier électronique et l'utilisation d'Internet. (Exigence PCI 12.3)

Ces politiques doivent inclure les éléments suivants :

  • Approbation explicite des parties autorisées pour utiliser les technologies (exigence PCI 12.3.1)
  • Authentification pour l'utilisation de la technologie (exigence PCI 12.3.2)
  • Une liste de tous ces appareils et du personnel ayant accès (exigence PCI 12.3.3)
  • Utilisations acceptables des technologies (exigence PCI 12.3.5)
  • Emplacements réseau acceptables pour les technologies (exigence PCI 12.3.6)
  • Déconnexion automatique des sessions pour les technologies d'accès à distance après une période d'inactivité spécifique (exigence PCI 12.3.8)
  • Activation des technologies d'accès à distance pour les fournisseurs et les partenaires commerciaux uniquement lorsque ces derniers en ont besoin, avec désactivation immédiate après utilisation (exigence PCI 12.3.9)

Responsabilités en matière de sécurité

Les politiques et procédures de Kabboul Kenza et du magasin nexgendecor doivent définir clairement les responsabilités de tout le personnel en matière de sécurité de l'information. (Exigence PCI 12.4)

Politique de réponse aux incidents

L'administrateur de la sécurité des systèmes doit établir, documenter et diffuser les procédures de réponse et d'escalade en cas d'incident de sécurité afin de garantir un traitement rapide et efficace de toutes les situations. (Exigence PCI 12.5.3)

Identification des incidents

Les employés doivent être conscients de leurs responsabilités en matière de détection des incidents de sécurité afin de faciliter le plan et les procédures d'intervention. Tous les employés ont la responsabilité de contribuer aux procédures d'intervention dans leur domaine de responsabilité. Voici quelques exemples d'incidents de sécurité qu'un employé peut identifier dans ses activités quotidiennes :

  • Vol, dommage ou accès non autorisé (par exemple, papiers manquants sur leur bureau, serrures cassées, fichiers journaux manquants, alerte d'un agent de sécurité, preuve vidéo d'une effraction ou d'une entrée physique imprévue/non autorisée)
  • Fraude – Informations inexactes dans les bases de données, les journaux, les fichiers ou les documents papier

Signaler un incident

L'administrateur de la sécurité des systèmes doit être immédiatement informé de tout incident de sécurité suspecté ou réel impliquant les données du titulaire de la carte :

Contactez l'administrateur de la sécurité des systèmes pour signaler tout incident suspect ou avéré. Le numéro de téléphone de l'audit interne doit être connu de tous les employés et doit être accessible en dehors des heures de bureau.

Personne ne doit communiquer avec quiconque, en dehors de son/ses superviseur(s) ou de l'administrateur de la sécurité des systèmes, des détails ou des généralités concernant un incident présumé ou réel. Toutes les communications avec les forces de l'ordre ou le public seront coordonnées par le directeur exécutif des solutions technologiques.

Documentez toute information dont vous disposez en attendant l'intervention de l'administrateur de la sécurité des systèmes. Si vous la connaissez, veuillez indiquer la date, l'heure et la nature de l'incident. Toute information que vous pourrez fournir contribuera à une intervention appropriée.

Réponse aux incidents

Les réponses peuvent inclure ou passer par les étapes suivantes : identification, classification de la gravité, confinement, éradication, rétablissement et analyse des causes profondes aboutissant à une amélioration des contrôles de sécurité.

Contenir, éradiquer, récupérer et effectuer une analyse des causes profondes

  1. Informez les associations de cartes concernées.

Visa

Veuillez communiquer les comptes Visa compromis au Groupe de contrôle des fraudes Visa dans un délai de dix (10) jours ouvrables. Pour obtenir de l'aide, veuillez contacter le 1-(650)-432-2978. Les numéros de compte doivent être transmis à Visa en toute sécurité, conformément aux instructions du Groupe de contrôle des fraudes Visa. Il est essentiel que tous les comptes potentiellement compromis soient communiqués. Visa communiquera les numéros de compte Visa compromis aux émetteurs et garantira la confidentialité des informations relatives aux entités et aux personnes non publiques. Consultez la documentation « Que faire en cas de compromission » de Visa pour connaître les autres mesures à prendre. Cette documentation est disponible à l'adresse suivante : http://usa.visa.com/download/business/accepting_visa/ops_risk_management…

MasterCard

Contactez votre banque d'affaires pour obtenir des informations précises sur la procédure à suivre en cas de compromission. Vous trouverez des informations sur la banque d'affaires (l'acquéreur) dans le Manuel du commerçant à l'adresse suivante : http://www.mastercard.com/us/wce/PDF/12999_MERC-Entire_Manual.pdfVotre banque commerciale vous aidera lorsque vous appellerez MasterCard au 1-(636)-722-4100.

Carte Découvrir

Contactez votre responsable relationnel ou appelez la ligne d'assistance par EMAIL pour obtenir des conseils supplémentaires.

  1. Alertez toutes les parties concernées. Assurez-vous de notifier :
  2. Banque d'affaires
  3. Bureau local du FBI
  4. Services secrets américains (si les données de paiement Visa sont compromises)
  5. Autorités locales (le cas échéant)
  6. Analyser les exigences légales en matière de signalement des compromissions dans chaque État où les clients ont été touchés. La source d'information suivante doit être utilisée.
  7. Collecter et protéger les informations liées à l'intrusion. Si une enquête médico-légale est nécessaire, le DSI collaborera avec les services juridiques et la direction pour identifier les spécialistes médico-légaux appropriés.
  8. Éliminez les moyens d’accès de l’intrus et toutes les vulnérabilités associées.
  9. Recherchez les risques potentiels liés à la méthode d’intrusion utilisée ou les dommages causés par celle-ci.

Analyse des causes profondes et leçons apprises

Au plus tard une semaine après l'incident, les membres du service informatique et toutes les parties concernées se réuniront pour examiner les résultats de l'enquête afin de déterminer la cause profonde de la compromission et d'évaluer l'efficacité du plan de réponse aux incidents. Les autres contrôles de sécurité seront examinés afin de déterminer leur pertinence face aux risques actuels. Tout domaine dans lequel le plan, la politique ou le contrôle de sécurité pourrait être amélioré doit être mis à jour en conséquence.

Sensibilisation à la sécurité

Kabboul Kenza et le magasin nexgendecor doivent établir et maintenir un programme formel de sensibilisation à la sécurité afin de sensibiliser l'ensemble du personnel à l'importance de la sécurité des données des titulaires de carte. (Exigence PCI 12.6)

Fournisseurs de services

Kabboul Kenza et le magasin Nexgendecor doivent mettre en œuvre et maintenir des politiques et procédures de gestion des prestataires de services. (Exigence PCI 12.8)
Ce processus doit inclure les éléments suivants :

  • Tenir à jour une liste de fournisseurs de services (exigence PCI 12.8.1)
  • Maintenir un accord écrit qui comprend une reconnaissance selon laquelle les fournisseurs de services sont responsables de la sécurité des données des titulaires de carte qu'ils possèdent (exigence PCI 12.8.2)
  • Mettre en œuvre un processus pour effectuer une diligence raisonnable appropriée avant d'engager un prestataire de services (exigence PCI 12.8.3)
  • Surveiller l'état de conformité PCI DSS des fournisseurs de services (exigence PCI 12.8.4)

Politique d'utilisation acceptable des données de carte de paiement par les employés

But

Cette politique est conçue comme un complément aux politiques, procédures et directives du système afin de répondre aux exigences de la norme PCI DSS SAQ C pour les commerçants. Elle s'applique à tous les systèmes des magasins Kabboul Kenza et nexgendecor qui stockent, traitent ou transmettent les données des titulaires de carte, ainsi qu'aux utilisateurs ayant accès à ces données.

Politique

Tout le personnel, employés du système ou sous-traitants, qui sont autorisés à utiliser des appareils qui traitent ou stockent les données des titulaires de cartes doivent adhérer aux politiques, procédures et directives d'utilisation du système, y compris Politique 5.22 du système de l'État du Minnesota : Utilisation acceptable des ordinateurs et des ressources informatiques et Procédure 5.22.1 du système de l'État du Minnesota : Utilisation acceptable des ordinateurs et des ressources informatiques.

Kabboul Kenza et le magasin nexgendecor tiennent à jour une liste de tous les appareils qui traitent ou stockent les données des titulaires de cartes, ainsi que la liste du personnel autorisé à les utiliser. Chaque appareil est étiqueté avec son usage, son propriétaire et ses coordonnées. Kabboul Kenza et le magasin nexgendecor tiennent à jour une liste de tous les produits et fournisseurs de services.

Des politiques et procédures sont mises en place pour gérer les prestataires de services qui traitent les données des titulaires de carte de Kabboul Kenza et de Nexgendecor. Lorsque les données des titulaires de carte sont partagées avec des prestataires de services, Kabboul Kenza et Nexgendecor exigent une reconnaissance écrite de la responsabilité de la sécurité des données par le prestataire. Un programme est mis en place pour contrôler la conformité des prestataires de services à la norme PCI DSS.

Contrôle d'accès

But

Cette politique est conçue comme un complément aux politiques, procédures et directives du système afin de répondre aux exigences de la norme PCI DSS SAQ C pour les commerçants. Elle s'applique à tous les systèmes des magasins Kabboul Kenza et nexgendecor qui stockent, traitent ou transmettent les données des titulaires de carte, ainsi qu'aux utilisateurs ayant accès à ces données.

Politique

Tous les systèmes de l'environnement de traitement des paiements doivent être protégés par un nom d'utilisateur et un mot de passe uniques. Les comptes utilisateurs uniques indiquent que chaque compte utilisé est associé à un utilisateur ou à un processus individuel, sans recours à des comptes de groupe génériques utilisés par plusieurs utilisateurs ou processus.

Tous les comptes par défaut fournis avec les systèmes d'exploitation, les bases de données et/ou les appareils doivent être supprimés, désactivés ou renommés, si possible. Tous les comptes doivent respecter les exigences de mot de passe de la norme PCI-DSS.

La norme PCI exige que les mots de passe répondent aux exigences suivantes :

Exigences relatives au mot de passe

  • Les mots de passe doivent comporter au moins 7 caractères et au maximum 15
  • Les mots de passe doivent inclure des caractères numériques et alphabétiques. o Les mots de passe doivent être modifiés au moins tous les 90 jours.
  • Les nouveaux mots de passe ne peuvent pas être identiques aux 4 derniers mots de passe. Les comptes d'utilisateurs dans l'environnement de données de carte seront également soumis aux exigences suivantes
  • Si un mot de passe incorrect est fourni 6 fois, le compte doit être verrouillé. La durée de verrouillage du compte doit être d'au moins 30 minutes (ou jusqu'à ce qu'un administrateur le réinitialise).
  • Les sessions inactives pendant plus de 15 minutes doivent nécessiter une nouvelle saisie du nom d'utilisateur et du mot de passe pour réactiver la session.

Les comptes dans l'environnement de données de carte sont également soumis aux exigences suivantes

  • Verrouillage par mot de passe incorrect
    • Les comptes seront verrouillés après 5 tentatives infructueuses de connexion au système
  • Durée du verrouillage
    • Après des tentatives de connexion non valides, les comptes seront verrouillés hors du système pendant 30 minutes ou jusqu'à ce qu'un administrateur système déverrouille le compte.
  • Durée de verrouillage du temps d'inactivité
    • Les sessions de bureau à distance se termineront après une heure d'inactivité
    • La session de bureau à distance déconnectée expirera une heure après la déconnexion.

Accès à distance

But

Cette politique est conçue comme un complément aux politiques, procédures et directives du système afin de répondre aux exigences de la norme PCI DSS SAQ C pour les commerçants. Elle s'applique à tous les systèmes des magasins Kabboul Kenza et nexgendecor qui stockent, traitent ou transmettent les données des titulaires de carte, ainsi qu'aux utilisateurs ayant accès à ces données.

Politique

Tous les employés, administrateurs ou fournisseurs bénéficiant d'un accès à distance aux données de carte doivent utiliser l'authentification à deux facteurs. Les comptes tiers ne seront actifs que lorsque l'accès est requis pour le service rendu et seront audités par le système pendant la connexion. L'accès à distance des tiers doit être désactivé immédiatement après l'accès.