1. Conformité au standard PCI DSS

Conformité au standard PCI DSS

 

Payment Card Industry Data Security Standard (PCI DSS) - est une norme de sécurité de l'information conçue pour protéger les transactions financières avec les cartes de crédit de certaines marques. Les principaux fabricants de cartes de crédit, tels que Visa, MasterCard et American Express, exigent obligatoirement la conformité à la norme PCI DSS auprès de toute entreprise effectuant des transactions financières avec leurs cartes. Le logiciel de conformité aux normes PCI DSS doit garantir la protection du système, surveiller l'accès à toutes les données relatives aux cartes de crédit et à leurs propriétaires.

 

Ekran System® est une solution évolutive et économiquement intéressante qui assure une surveillance continue des actions des utilisateurs sur les serveurs et postes de travail Windows, Linux, macOS et Citrix et peut demander une authentification supplémentaire, ce qui vous permet de répondre aux exigences de la norme PCI DSS. Ekran System enregistre toutes les actions de l'utilisateur dans le format vidéo indexé étendu avec les métadonnées correspondantes, quel que soit le logiciel utilisé. Cela permet aussi de se conformer à la norme PCI DSS pour les solutions cloud.

 

Exigence 8: attribuer un identifiant unique à chaque personne ayant accès à l’ordinateur

Assigning a unique identification (ID) to each person with access ensures that each individual is uniquely accountable for his or her actions. When such accountability is in place, actions taken on critical data and systems are performed by, and can be traced to, known and authorized users. 

 

Note: These requirements are applicable for all accounts, including point-of-sale accounts, with administrative capabilities and all accounts used to view or access cardholder data or to access systems with cardholder data. However, Requirements 8.1, 8.2 and 8.5.8 through 8.5.15 are not intended to apply to user accounts within a point-of-sale payment application that only have access to one card number at a time in order to facilitate a single transaction (such as cashier accounts).

 

8.1 Assign all users a unique ID before allowing them to access system components or cardholder data.

 

8.2 In addition to assigning a unique ID, employ at least one of the following methods to authenticate all users:

 

Something you know, such as a password or passphrase

Something you have, such as a token device or smart card

Something you are, such as a biometric

 

8.3 Incorporate two-factor authentication for remote access (network-level access originating from outside the network) to the network by employees, administrators, and third parties. (For example, remote authentication and dial-in service (RADIUS) with tokens; terminal access controller access control system (TACACS) with tokens; or other technologies that facilitate two-factor authentication.)

 

Note:

Two-factor authentication requires that two of the three authentication methods (see Requirement 8.2 for descriptions of authentication methods) be used for authentication. Using one factor twice (for example, using two separate passwords) is not considered two-factor authentication.

 

8.4 Render all passwords unreadable during transmission and storage on all system components using strong cryptography.

 

8.5 Ensure proper user identification and authentication management for non-consumer users and administrators on all system components as follows:

 

8.5.1 Control addition, deletion, and modification of user IDs, credentials, and other identifier objects.

 

8.5.2 Verify user identity before performing password resets.

 

8.5.3 Set passwords for first-time use and resets to a unique value for each user and change immediately after the first use.

8.5.4 Immediately revoke access for any terminated users.

 

8.5.5 Remove/disable inactive user accounts at least every 90 days.

 

8.5.6 Enable accounts used by vendors for remote access only during the time period needed. Monitor vendor remote access accounts when in use.

 

8.5.7 Communicate authentication procedures and policies to all users who have access to cardholder data.

 

8.5.8 Do not use group, shared, or generic accounts and passwords, or other authentication methods.

 

8.5.9 Change user passwords at least every 90 days.

 

8.5.10 Require a minimum password length of at least seven characters.

 

8.5.11 Use passwords containing both numeric and alphabetic characters.

 

8.5.12 Do not allow an individual to submit a new password that is the same as any of the last four passwords he or she has used.

 

8.5.13 Limit repeated access attempts by locking out the user ID after not more than six attempts.

 

8.5.14 Set the lockout duration to a minimum of 30 minutes or until administrator enables the user ID.

 

8.5.15 If a session has been idle for more than 15 minutes, require the user to re-authenticate to re-activate the terminal or session.

 

8.5.16 Authenticate all access to any database containing cardholder data. This includes access by applications, administrators, and all other users.  Restrict user direct access or queries to databases to database administrators.

 

Ekran System provides a broad set of identity and access management tools that includes:

 

  • a secondary authentication tool allowing you to identify unique users using shared accounts, such as “administrator”. At the start of the session a user is required to provide additional credentials which allows you to tie session video recording and all log data to that specific user.
  • two-factor authentication.
  • one-time passwords to deliver unique temporary credentials for remote vendors and emergency access
  • privileged account and session management (PASM) toolset for jump servers helping to deliver unique credentials to remote vendors. These credentials are managed via a secure password vault as required by the Standard and have an expiration date set. Any account credentials can be terminated ad-hoc at any moment.
  • manual login attempt approval for remote sessions at the critical end-points with the possibility for a security specialist to monitor initiated session in real-time.

 

Exigence 10: suivre et contrôler tous les accès aux ressources du réseau et aux données des propriétaires de carte

Logging mechanisms and the ability to track user activities are critical in preventing, detecting, or minimizing the impact of a data compromise. The presence of logs in all environments allows thorough tracking, alerting, and analysis when something does go wrong. Determining the cause of a compromise is very difficult, if not impossible, without system activity logs.

 

10.1 Establish a process for linking all access to system components (especially access done with administrative privileges such as root) to each individual user.

 

10.2 Implement automated audit trails for all system components to reconstruct the following events:

 

10.2.1 All individual accesses to cardholder data

 

10.2.2 All actions taken by any individual with root or administrative privileges

 

10.2.3 Access to all audit trails

 

10.2.4 Invalid logical access attempts

 

10.2 5 Use of identification and authentication mechanisms

 

10.2.6 Initialization of the audit logs

 

10.2.7 Creation and deletion of system-level objects

 

10.3 Record at least the following audit trail entries for all system components for each event:

 

10.3.1 User identification

 

10.3.2 Type of event

 

10.3.3 Date and time

 

10.3.4 Success or failure indication

 

10.3.5 Origination of event

 

10.3.6 Identity or name of affected data, system component, or resource.

 

10.4 Using time-synchronization technology, synchronize all critical system clocks and times and ensure that the following is implemented for acquiring, distributing, and storing time. 

 

Note: One example of time synchronization technology is Network Time Protocol (NTP).

 

10.4.1 Critical systems have the correct and consistent time.

 

10.4.2 Time data is protected. 

 

10.4.3 Time settings are received from industry-accepted time sources.

 

10.5 Secure audit trails so they cannot be altered.

 

10.5.1 Limit viewing of audit trails to those with a job-related need.

 

10.5.2 Protect audit trail files from unauthorized modifications.

 

10.5.3 Promptly back up audit trail files to a centralized log server or media that is difficult to alter.

 

10.5.4 Write logs for external-facing technologies onto a log server on the internal LAN.

 

10.5.5 Use file-integrity monitoring or change-detection software on logs to ensure that existing log data cannot be changed without generating alerts (although new data being added should not cause an alert).

 

10.6 Review logs for all system components at least daily. Log reviews must include those servers that perform security functions like intrusion-detection system (IDS) and authentication, authorization, and accounting protocol (AAA) servers (for example, RADIUS).

 

Note: Log harvesting, parsing, and alerting tools may be used to meet compliance with Requirement 10.6.

 

10.7 Retain audit trail history for at least one year, with a minimum of three months immediately available for analysis (for example, online, archived, or restorable from back-up). 

 

Chaque utilisateur d'Ekran System est clairement identifié avec les identifiants personnels qu'il utilise pour se connecter. Les actions des utilisateurs travaillant avec le Panneau de configuration Web sont enregistrées dans un journal interne distinct, qui peut être consulté si nécessaire. Ekran System fournit un ensemble d'autorisations intégrées d’utilisateur, tout en permettant de contrôler le niveau d'accès aux composants du système de chaque utilisateur particulier.

 

Toutes les données sur l'activité de l'utilisateur peuvent être exportées via la fonction d'exportation sécurisée, qui crypte les données à l'aide d'une signature numérique unique dans un format hors ligne, fournissant ainsi un log d'audit portatif bien protégé. Grâce à la base de données MS SQL, les utilisateurs d’Ekran System ont accès à toutes les fonctions de sauvegarde et de protection des données qu’il fournit.

 

Ekran System vous aide à répondre aux exigences suivantes PCI DSS:

 

Exigence 10.1. Ekran System enregistre soigneusement tout accès aux composants du système, en le corrélant clairement avec le nom d'un utilisateur particulier. Les utilisateurs de comptes partagés peuvent être identifiés à l'aide de la fonction d'authentification supplémentaire.

 

Exgence 10.2. Ekran System enregistre toutes les actions pendant la session, quelles que soient les applications utilisées:

  • La fonction d'enregistrement vidéo Ekran System peut être utilisée pour surveiller et contrôler l'accès aux données confidentielles, y compris les données de propriétaires de carte.
  • Ekran System enregistre les actions des utilisateurs privilégiés, y compris les administrateurs de système. L'utilisateur privilégié ne peut pas arrêter ou désactiver l'enregistrement.
  • Toutes les données enregistrées sont stockées au serveur dans un format compressé. Les administrateurs peuvent accéder à ces données uniquement s'il existe des autorisations appropriées. L'accès aux données est toujours enregistré dans le journal d'audit intégré.
  • Le suivi des actions des utilisateurs privilégiés, effectuée par Ekran System, peut être utilisé pour détecter toute modification du système, telle que la création ou la suppression de comptes, et pour augmenter le niveau des privilèges d’utilisateur.
  • Seuls les utilisateurs ayant un accès complet au panneau de configuration Web d’Ekran System peuvent gérer le processus d'enregistrement. Un utilisateur qui est sous surveillance du système ne peut pas arrêter ou désactiver l'enregistrement vidéo, quel que soit le niveau de privilèges dont il dispose.
  • Le monitoring des actions des utilisateurs privilégiés, effectuée par Ekran System, peut être utilisé pour suivre et contrôler la création et la suppression de tout objet au niveau du système.

 

Exigence 10.3. Ekran System enregistre toutes les données et autres métadonnées nécessaires. Étant complètement représentatif d’elle-même, chaque capture d'écran est également complétée par diverses métadonnées: noms de fenêtres actives (noms complets des applications actives, documents, adresses de pages Web, etc.), noms d'application, nom d'utilisateur, nom de host, type de session, date et heure.

 

En outre, Ekran System permet également de répondre aux exigences de 10.4, 10.5 (10.5.1-10.5.3), 10.6 (10.6.1) et 10.7. Veuillez voir notre documentation technique pour plus de détails sur la conformité avec des exigences spécifiques en utilisant Ekran System.

 

Ekran System propose un système de licence innovant et rentable qui rend le système accessible aux entreprises de toutes tailles. Une version démo on-line ainsi qu’une version d'évaluation gratuites sont également disponibles.