Mise en conformité PCI DSS avec
les solutions de sécurité Aladdin

La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) a été créée par les principales entreprises de production de cartes de crédit du monde pour protéger les données des clients. Le principal objectif de PCI DSS est la protection des données des cartes de crédit par la réduction des fraudes et des vols. PCI DSS exige que tout marchand ou fournisseur de services manipulant, transmettant, stockant ou traitant des informations concernant les principales cartes de crédit soit contraint de respecter les standards PCI, sous peine de pénalités et/ou d’exclusion par les entreprises de production de cartes de crédit.

PCI DSS est une norme de sécurité proactive qui définit les exigences en termes de gestion de la sécurité, de règles de sécurité, de procédures, d’architecture réseau, de conception de logiciels et d’autres mesures de sécurité. Aladdin a toutes les cartes en main pour satisfaire, et même dépasser les exigences PCI DSS en proposant des solutions de sécurité uniques et efficaces pour les marchands et les fournisseurs de services devant respecter les standards PCI.

Comme illustré dans le tableau suivant, six domaines principaux sont couverts par PCI DSS, divisés en 12 exigences, chacune de ces exigences étant satisfaite par les solutions Aladdin eSafe et eToken d’Aladdin:

1. Concevoir et assurer la maintenance d'un réseau sécurisé
   • Installer et maintenir les configurations de pare-feu
     eSafe agit comme dans une machine à rayons X derrière le pare-feu, en inspectant les contenus envoyés, et pas seulement l'expéditeur. Les pare-feu autorisent l'accès à des connexions sécurisées, mais même les connexions sécurisées peuvent transmettre des contenus nuisibles, qu’eSafe est en mesure de filtrer.
   • N’utilisez pas les mots de passe de fournisseurs ou indiqués par défaut
     eToken remplace les mots de passe faibles par une authentification forte à deux facteurs et élimine également le besoin de processus de maintenance des mots de passe risqués et coûteux grâce à l’ouverture de session unique eToken Single Sign-On (SSO).
2. Protection des données des détenteurs de cartes
   • Protection des données stockées
     eSafe protège les ordinateurs et les réseaux au niveau de la passerelle Web contre les attaques aléatoires et ciblées visant à altérer, à détruire ou à voler les données stockées en bloquant à la fois les menaces connues et inconnues, ainsi que le trafic entrant et sortant non autorisé. eToken garantit que seuls les utilisateurs autorisés sont en mesure d'accéder au réseau, et ainsi aux données stockées. La solution s’intègre également en toute transparence avec tous les fournisseurs de cryptage de disques tiers, ce qui améliore la sécurité en garantissant que les clés de cryptage ne sont pas exposées à des environnements de PC non fiables et vulnérables.
   • Cryptage des transmissions des données des détenteurs de cartes sur les réseaux publiques
     eToken permet le cryptage des e-mails et la signature numérique, ainsi que la génération embarquée et le stockage sécurisé des clés et certificats PKI (Infrastructure à clé publique).
3. Maintenir un programme de gestion de la vulnérabilité
   • Utilisez un logiciel antivirus et mettez-le régulièrement à jour
     eSafe est une solution antivirus certifiée CheckMark disposant de son propre moteur antivirus, qui assure une protection proactive contre les menaces et les exploits inconnues et une protection à 100 % contre les virus dans la nature. Des mises à jour automatiques régulières sont fournies grâce aux mécanismes de mise à jour automatiques intégrés.
   • Développer et maintenir des systèmes et des applications sécurisés
     eToken aide les entreprises à appliquer des contrôles de sécurité en s’assurant que les utilisateurs sont bien ceux qu’ils prétendent être, que ce soit au sein du réseau ou à distance. eSafe permet aux entreprises d'appliquer à la lettre les règles de sécurité et de maintenir des réseaux sécurisés en assurant la protection contre les logiciels espions, les enregistreurs de frappe et les tentatives de contournement de la sécurité à l'aide de proxys anonymes.
4. Mise en œuvre de mesures de contrôle d’accès avancées
   • Restreindre l’accès aux utilisateurs ayant réellement besoin des informations
     eToken fournit un support d’authentification forte pour les solutions de contrôle d’accès basées sur les rôles, garantissant ainsi le meilleur niveau de contrôle possible des personnes accédant aux données. Le système de gestion des périphériques eToken Token Management System (TMS) associe utilisateurs, périphériques, règles organisationnelles et applications de sécurité dans un système unique automatisé et entièrement configurable, ce qui rend la mise en œuvre des solutions de sécurité basées sur les tokens simple à gérer.
   • Assigner des identifiants uniques à chaque personne disposant d’un accès aux ordinateurs
     eToken fournit un identifiant unique pour les utilisateurs, sur la base de la haute sécurité de l’authentification forte à deux facteurs : les utilisateurs doivent non seulement connaître leur nom d’utilisateur et leur mot de passe, mais ils doivent également détenir leur périphérique eToken physique pour se voir accorder l’accès.
   • Restreindre l’accès physique aux données des détenteurs de cartes
     eToken peut être livrée avec tous les dispositifs d’identification par radiofréquence (RFID) pour proposer à la fois le contrôle d’accès physique et logique dans le même périphérique.
5. Surveiller et tester régulièrement les réseaux
   • Surveiller et traquer l’ensemble des accès aux ressources du réseau et aux données des détenteurs de cartes Equipé de fonctionnalités d’audit et de reporting, le système de gestion des périphériques eToken Token Management System permet la surveillance et le contrôle de l’accès aux données. eSafe intègre un module de reporting complet proposant des rapports prédéfinis, personnalisables et graphiques sur les tentatives d’attaque du réseau, ainsi que sur toutes les communications sortantes non autorisées susceptibles de contenir des données concernant les détenteurs de cartes ou des identifiants d’accès au réseau.
   • Tester régulièrement les systèmes et les processus de sécurité
     L’audit de sécurité eSafe Web Threat Analyzer (WTA) aide à identifier en toute simplicité les menaces transmises par le Web, ce qui représente aujourd'hui l’immense majorité des programmes malveillants, qui contournent souvent les solutions de sécurité traditionnelles comme les pare-feu, les antivirus de passerelles et les systèmes de prévention des intrusions. eSafe WTA identifie également n'importe quel poste du système infecté par un programme malveillant et « appelant la maison » en envoyant des informations organisationnelles à un destinataire non autorisé en dehors de l’entreprise.
6. Maintenir une politique de sécurité des informations
   • Maintenir une politique garantissant la sécurité des informations
     Les solutions Aladdin proposent des contrôles poussés de l’accès au réseau et la sécurité des contenus et éliminent les méthodes couramment utilisées pour contourner la sécurité des entreprises, ce qui permet à celles-ci d’appliquer plus simplement leur politique de sécurité.

• Téléchargez la fiche technique PCI d’eToken
• Téléchargez la fiche technique PCI d’eSafe

Pour en savoir plus sur la façon dont Aladdin peut aider votre entreprise à répondre aux exigences de sécurité des données de l’industrie des cartes de crédit, contactez un représentant Aladdin.