Page 46 - Cadre de garantie de la sécurité des services financiers numériques
P. 46
(continue)
Entité affectée Risques et vulnérabilités Mesures de contrôle
- Contrôle et suivi insuffisants de l’ac- M82: Élargir les processus de détection des menaces afin
cès des utilisateurs au système de d’inclure de manière explicite les menaces liées aux API.
DFS (DS: contrôle des accès) M83: Limiter l’accès à la connexion à distance et limiter
les privilèges des sessions à distance pour l’accès aux sys-
tèmes internes de DFS.
M84: Limiter la durée de vie des certificats TLS à 825 jours.
M85: Authentifier l’adresse IP, l’appareil et l’horaire de
connexion de tous les utilisateurs, agents et commerçants
dotés de privilèges d’accès qui se connectent au système
de DFS. Par exemple, paramétrer un accès spécifique pour
les commerçants et les agents afin d’interdire l’accès au
système de DFS en dehors de leurs horaires de travail.
M86: Les modifications du code doivent être testées dans
l’environnement de test avec d’entrer dans l’environnement
de production; l’environnement de test doit être séparé de
l’environnement de production physiquement et logique-
ment.
M87: Afin d’améliorer la sécurité, utiliser un appareil fiable
et inviolable tel qu’une boîte noire transactionnelle pour
la gestion sécurisée du processus et le stockage des clés
cryptographiques destinées à protéger les codes PIN, les
transactions, les jetons et les bons de retrait en espèces
Fournisseur de des utilisateurs.
DFS
M88: Définir des rôles d’utilisateur afin de fixer des droits
d’accès en s’appuyant sur le principe du moindre privilège.
M89: Après le départ ou la résiliation d’un utilisateur, d’un
agent ou d’un commerçant, les fournisseurs de services de
paiement et les parties tierces doivent désactiver le compte
correspondant.
M90: Fixer un délai d’inactivité au-delà duquel les comptes
seront désactivés.
M91: Imposer des limitations et des horaires de connexion
en fonction des rôles au sein des DFS (on peut par exemple
envisager un nombre maximum d’annulations par session
et par jour selon le rôle de titulaire de compte).
M92: Limiter, contrôler, surveiller et examiner de manière
régulière les privilèges d’accès aux systèmes de DFS,
notamment l’ajout, la modification et la suppression d’uti-
lisateurs.
M93: Surveiller l’utilisation des API et chiffrer l’ensemble
des données partagées avec des tiers; prévoir des procé-
dures et des mesures de contrôle en matière de gestion des
données, par exemple en signant des accords de non-divul-
gation avec les fournisseurs de services de paiement, afin
d’éviter les fuites d’informations ou de données.
44 Cadre de garantie de la sécurité des services financiers numériques
