Page 24 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 24

(continue)

                                                                                                  Politique ou
             Entité DFS   Catégorie  Risques et    Mesures de contrôle  Question de vérification de la sécurité  procédure
             concernée         vulnérabilités
                                                                                                   applicable
             Fournisseur  Sécurité des  – Surveillance   C94: Protéger les transmissions sans fil   Les clés de chiffrement installées par défaut   Politique de sécurité
             de DFS  réseaux  insuffisante du   en appliquant les exigences de la norme   sont-elles modifiées avant leur application?   des communica-
                             réseau hertzien (DS:   de sécurité de l'industrie des cartes de   Les chaînes de communauté SNMP installées   tions – Gestion de la
                             confidentialité des   paiement. Les mesures de contrôle doivent  par défaut sont-elles modifiées avant leur   sécurité des réseaux
                             données)      inclure, sans s'y limiter, les éléments   application?
                                           suivants:
                                           – S'assurer que les clés de chiffrement,
                                           les mots de passe et les chaînes de
                                           communauté SNMP installés par défaut
                                           par l'éditeur sont modifiés avant leur
                                           application.
                                           – Favoriser la mise en œuvre des bonnes
                                           pratiques du secteur afin de garantir un
                                           chiffrement solide des données d'authenti-
                                           fication et de transmission.
                                           – S'assurer que les données de compte
                                           en texte clair ne sont pas stockées sur un
                                           serveur connecté à Internet.
             Fournis-  Confiden-  – Les données ne   C95: Les fournisseurs de DFS doivent sys-  La procédure de suppression des données   Politique de
             seurs tiers  tialité  sont pas détruites   tématiquement se débarrasser des anciens  liées aux DFS s'appuie-t-elle sur des instruc-  sécurité opération-
                             ou effacées lors-  appareils. Le cas échéant, ils doivent suivre   tions de sécurité?  nelle – Protection
                             qu'un appareil est   les instructions données par le fournisseur   contre les logiciels
                             mis au rebut (DS:   de l'appareil. On peut notamment s'ap-         malveillants
                             confidentialité)  puyer sur les étapes suivantes:
                                           – Retirer l'ensemble des étiquettes et
                                           des éléments permettant d'identifier
                                           l'entreprise.
                                           – Dans la mesure du possible, passer un
                                           contrat avec un fournisseur agréé qui
                                           pourra contribuer à l'élimination en toute
                                           sécurité des matériaux et des composants
                                           électroniques.
                                           – Ne pas jeter les appareils dans des
                                           poubelles ou des bennes associées à
                                           l'entreprise.
             Fournisseur  Sécurité des  – Collaboration   C99: Les commerçants et les fournisseurs   Existe-t-il des procédures pour assurer le suivi   Politique de
             tiers, four-  réseaux  insuffisante avec   de DFS doivent poser les questions sui-  des mises à jour logicielles et ces mises à jour   sécurité opéra-
             nisseur de      le fournisseur   vantes à leur fournisseur:  sont-elles installées de manière sécurisée?  tionnelle – Gestion
             DFS             concernant la sécu-  – Le fournisseur doit assurer la mise à jour   des vulnérabilités
                             rité des appareils   régulière de son application de paiement      techniques
                             mobiles achetés   et informer le commerçant lorsque des
                             (DS: disponibilité et   mises à jour sont disponibles et peuvent
                             confidentialité)
                                           être installées en toute sécurité.
                                           – Le fournisseur doit imposer des res-
                                           trictions à son application de paiement
                                           afin qu'elle ne puisse fonctionner que
                                           sur un appareil équipé d'un micrologiciel
                                           approuvé.
                                           – Le fournisseur doit proposer au com-
                                           merçant une documentation comprenant
                                           les procédures à respecter pour les mises
                                           à jour.
                                           – Le fournisseur doit communiquer avec
                                           le fournisseur de DFS et l'informer des
                                           dernières vulnérabilités découvertes dans
                                           sa solution de paiement. Lorsque de nou-
                                           velles vulnérabilités sont découvertes, le
                                           fournisseur doit également accompagner
                                           le commerçant et lui fournir des correctifs
                                           testés pour chacune de ces vulnérabilités.







           22    Lignes directrices pour l’audit de sécurité des services financiers numériques
   19   20   21   22   23   24   25   26   27   28   29