Page 49 - Cadre de garantie de la sécurité des services financiers numériques
P. 49
(continue)
Entité affectée Risques et vulnérabilités Mesures de contrôle
Fournisseur - Collaboration insuffisante avec le four- M99: Les commerçants et les fournisseurs de DFS doivent
tiers, fournisseur nisseur concernant la sécurité des poser les questions suivantes à leur fournisseur:
de DFS appareils mobiles achetés (DS: dispo- - Le fournisseur doit assurer la mise à jour régulière de
nibilité et confidentialité) son application de paiement et informer le commerçant
lorsque des mises à jour sont disponibles et peuvent être
installées en toute sécurité.
- Le fournisseur doit imposer des restrictions à son appli-
cation de paiement afin qu’elle ne puisse fonctionner que
sur un appareil équipé d'un micrologiciel approuvé.
- Le fournisseur doit proposer au commerçant une docu-
mentation comprenant les procédures à respecter pour
les mises à jour.
- Le fournisseur doit communiquer avec le fournis-
seur de DFS et l’informer des dernières vulnérabilités
découvertes dans sa solution de paiement. Lorsque de
nouvelles vulnérabilités sont découvertes, le fournis-
seur doit également accompagner le commerçant et lui
fournir des correctifs testés pour chacune de ces vulné-
rabilités.
- Vulnérabilités non détectées dans les M100: Le commerçant doit travailler avec son fournisseur
applications du système (DS: confi- pour s’assurer que toutes les capacités d’audit et de suivi
dentialité des données) sont activées. Le fournisseur doit s’assurer que les capaci-
tés de suivi offrent une granularité suffisante pour détecter
les activités suspectes.
Le fournisseur doit expliquer au commerçant quelles sont
ses responsabilités en matière d’examen des journaux. Il
convient également d’inspecter de manière régulière les
journaux et les rapports du système pour détecter d’éven-
tuelles activités suspectes. En cas d'activité anormale sus-
pectée ou découverte, l'accès à l'appareil mobile et à son
application de paiement doit être bloqué jusqu'à la réso-
lution du problème. Les activités suspectes comprennent
notamment les tentatives non autorisées d’accès, de mise
à niveau des privilèges et de mise à jour du logiciel ou du
micrologiciel.
- Exposition du réseau aux attaques M101: Les applications de DFS doivent être soumises à des
extérieures (DS: disponibilité) analyses et à des tests d’intrusion réguliers. Elles doivent
notamment être conçues pour résister aux logiciels d'ha-
meçonnage.
Cadre de garantie de la sécurité des services financiers numériques 47
