Page 28 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 28
4�2�4 L'application de DFS stocke-t-elle ou trans- 4�3 Disponibilité
met-elle le numéro PAN ou les données SAD en texte 4�3�1 Des politiques sont-elles mises en place pour
clair par SMS ou par courrier électronique? assurer la gestion du système en cas d'indisponibilité
4�2�5 Le fournisseur de DFS applique-t-il des du réseau?
procédures d'authentification côté serveur pour l'en- 4�3�2 Des tests de bout en bout sont-ils mis en
semble des tentatives d'accès? œuvre lorsque les systèmes de DFS font l'objet d'une
4�2�6 Le MNO procède-t-il à l'authentification modification ou d'une mise à niveau? Les tests de
biométrique de l'utilisateur avant l'échange ou le bout en bout peuvent notamment inclure des tests
remplacement d'une carte SIM? de capacité, des tests de sécurité, des tests de la
4�2�7 Les données de carte SIM telles que le numé- qualité de service, des tests de validation des utilisa-
ro IMSI et les valeurs Kc et Ki sont-elles stockées de teurs, etc.
manière sécurisée par le MNO? 4�3�3 Les systèmes de DFS font-ils régulièrement
4�2�8 Les utilisateurs sont-ils soumis à une procé- l'objet d'analyses de vulnérabilité?
dure d'authentification à facteurs multiples? 4�3�4 Des systèmes sont-ils mis en place pour
4�2�9 La connexion aux comptes du système de garantir la disponibilité des services (la redondance
DFS est-elle soumise à une procédure d'authentifica- des services, par exemple)? Des rapports et des
tion à facteurs multiples? services ont-ils été mis en place pour mesurer le
4�2�10 Le fournisseur de DFS est-il en mesure temps de réponse et le taux d'indisponibilité?
de détecter un échange ou une modification de 4�3�5 Des systèmes sont-ils mis en place pour
carte SIM associée à un compte d'utilisateur de DFS? mesurer la qualité de service et la qualité d'expé-
4�2�11 Le fournisseur de DFS procède-t-il à la vérifi- rience? La qualité de service et la qualité d'expé-
cation de l'IMSI pour les numéros de téléphone asso- rience sont-elles conformes aux normes en vigueur
ciés à des transactions effectuées sur le DFS, afin de en matière de DFS?
se prémunir contre les échanges de carte SIM? 4�3�6 Le fournisseur de DFS a-t-il programmé des
4�2�12 Le fournisseur de DFS est-il impliqué dans sauvegardes régulières? Les sauvegardes sont-elles
le processus de recyclage des cartes SIM des utilisa- chiffrées et stockées sur un site externe?
teurs du service?
4�2�13 Le fournisseur de DFS procède-t-il à une 4�4 Détection des fraudes
vérification de la signature XML des données pour 4�4�1 Les journaux des DFS sont-ils stockés de
les requêtes issues des API et du canal USSD? Par manière sécurisée dans un module inviolable (un
exemple: validation des données d'entrée, vérifi- SIEM, par exemple)?
cation des montants, détection de la présence de 4�4�2 Des mécanismes sont-ils mis en place pour
caractères spéciaux dans les montants, contrôle des détecter la modification et la falsification de la base
devises, etc. de données?
4�2�14 Des procédures d'autorisation et d'authen- 4�4�3 Des mécanismes sont-ils mis en place pour
tification supplémentaires sont-elles mises en place détecter les tentatives d'usurpation d'identité par
pour les transactions importantes et les modifica- SMS et par téléphone (par exemple, l'identification
tions de compte présentant un risque élevé? Par des lignes téléphoniques)?
exemple, quelles vérifications complémentaires sont 4�4�4 L'examen et l'approbation des modifications
prévues pour l'augmentation des plafonds de tran- importantes apportées aux comptes font-ils l'objet
saction? de mesures de contrôle suffisantes? Par exemple, ces
4�2�15 Le système de DFS est-il en mesure de modifications sont-elles soumises à un processus de
détecter des transactions inhabituelles en s'ap- vérification et au principe de la double approbation?
puyant sur le profil de l'utilisateur? Le fournisseur 4�4�5 Les transactions traitées par des API de
de DFS procède-t-il à des vérifications fondées sur paiement font-elles l'objet d'un suivi assuré par des
le profil de transaction de l'utilisateur (par exemple, mécanismes adéquats? Le fournisseur de DFS a-t-il
des agents intelligents procédant à des transactions conclu des accords de non-divulgation des données
tardives ou des utilisateurs procédant à des transac- sensibles de ses utilisateurs avec des parties tierces?
tions depuis deux endroits différents)? Les transferts de données à des parties tierces sont-
ils protégés par des algorithmes de chiffrement
solides?
26 Lignes directrices pour l’audit de sécurité des services financiers numériques