Page 24 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 24
(continue)
Politique ou
Entité DFS Catégorie Risques et Mesures de contrôle Question de vérification de la sécurité procédure
concernée vulnérabilités
applicable
Fournisseur Sécurité des – Surveillance C94: Protéger les transmissions sans fil Les clés de chiffrement installées par défaut Politique de sécurité
de DFS réseaux insuffisante du en appliquant les exigences de la norme sont-elles modifiées avant leur application? des communica-
réseau hertzien (DS: de sécurité de l'industrie des cartes de Les chaînes de communauté SNMP installées tions – Gestion de la
confidentialité des paiement. Les mesures de contrôle doivent par défaut sont-elles modifiées avant leur sécurité des réseaux
données) inclure, sans s'y limiter, les éléments application?
suivants:
– S'assurer que les clés de chiffrement,
les mots de passe et les chaînes de
communauté SNMP installés par défaut
par l'éditeur sont modifiés avant leur
application.
– Favoriser la mise en œuvre des bonnes
pratiques du secteur afin de garantir un
chiffrement solide des données d'authenti-
fication et de transmission.
– S'assurer que les données de compte
en texte clair ne sont pas stockées sur un
serveur connecté à Internet.
Fournis- Confiden- – Les données ne C95: Les fournisseurs de DFS doivent sys- La procédure de suppression des données Politique de
seurs tiers tialité sont pas détruites tématiquement se débarrasser des anciens liées aux DFS s'appuie-t-elle sur des instruc- sécurité opération-
ou effacées lors- appareils. Le cas échéant, ils doivent suivre tions de sécurité? nelle – Protection
qu'un appareil est les instructions données par le fournisseur contre les logiciels
mis au rebut (DS: de l'appareil. On peut notamment s'ap- malveillants
confidentialité) puyer sur les étapes suivantes:
– Retirer l'ensemble des étiquettes et
des éléments permettant d'identifier
l'entreprise.
– Dans la mesure du possible, passer un
contrat avec un fournisseur agréé qui
pourra contribuer à l'élimination en toute
sécurité des matériaux et des composants
électroniques.
– Ne pas jeter les appareils dans des
poubelles ou des bennes associées à
l'entreprise.
Fournisseur Sécurité des – Collaboration C99: Les commerçants et les fournisseurs Existe-t-il des procédures pour assurer le suivi Politique de
tiers, four- réseaux insuffisante avec de DFS doivent poser les questions sui- des mises à jour logicielles et ces mises à jour sécurité opéra-
nisseur de le fournisseur vantes à leur fournisseur: sont-elles installées de manière sécurisée? tionnelle – Gestion
DFS concernant la sécu- – Le fournisseur doit assurer la mise à jour des vulnérabilités
rité des appareils régulière de son application de paiement techniques
mobiles achetés et informer le commerçant lorsque des
(DS: disponibilité et mises à jour sont disponibles et peuvent
confidentialité)
être installées en toute sécurité.
– Le fournisseur doit imposer des res-
trictions à son application de paiement
afin qu'elle ne puisse fonctionner que
sur un appareil équipé d'un micrologiciel
approuvé.
– Le fournisseur doit proposer au com-
merçant une documentation comprenant
les procédures à respecter pour les mises
à jour.
– Le fournisseur doit communiquer avec
le fournisseur de DFS et l'informer des
dernières vulnérabilités découvertes dans
sa solution de paiement. Lorsque de nou-
velles vulnérabilités sont découvertes, le
fournisseur doit également accompagner
le commerçant et lui fournir des correctifs
testés pour chacune de ces vulnérabilités.
22 Lignes directrices pour l’audit de sécurité des services financiers numériques