Page 28 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 28

4�2�4   L'application de DFS stocke-t-elle ou trans-  4�3  Disponibilité
            met-elle le numéro PAN ou les données SAD en texte   4�3�1   Des politiques sont-elles mises en place pour
            clair par SMS ou par courrier électronique?        assurer la gestion du système en cas d'indisponibilité
            4�2�5   Le fournisseur de DFS applique-t-il des    du réseau?
            procédures d'authentification côté serveur pour l'en-  4�3�2   Des tests de bout en bout sont-ils mis en
            semble des tentatives d'accès?                     œuvre lorsque les systèmes de DFS font l'objet d'une
            4�2�6   Le  MNO procède-t-il  à  l'authentification   modification ou d'une mise à niveau? Les tests de
            biométrique de l'utilisateur avant l'échange ou le   bout en bout peuvent notamment inclure des tests
            remplacement d'une carte SIM?                      de capacité, des tests de sécurité, des tests de la
            4�2�7   Les données de carte SIM telles que le numé-  qualité de service, des tests de validation des utilisa-
            ro IMSI et les valeurs Kc et Ki sont-elles stockées de   teurs, etc.
            manière sécurisée par le MNO?                      4�3�3   Les systèmes de DFS font-ils régulièrement
            4�2�8   Les utilisateurs sont-ils soumis à une procé-  l'objet d'analyses de vulnérabilité?
            dure d'authentification à facteurs multiples?      4�3�4   Des systèmes sont-ils mis en place pour
            4�2�9   La connexion aux comptes du système de     garantir la disponibilité des services (la redondance
            DFS est-elle soumise à une procédure d'authentifica-  des services, par exemple)? Des rapports et des
            tion à facteurs multiples?                         services ont-ils été mis en place pour mesurer le
            4�2�10  Le  fournisseur  de  DFS  est-il  en  mesure   temps de réponse et le taux d'indisponibilité?
            de détecter un échange ou une modification de      4�3�5   Des systèmes sont-ils mis en place pour
            carte SIM associée à un compte d'utilisateur de DFS?  mesurer la qualité de service et la qualité d'expé-
            4�2�11   Le fournisseur de DFS procède-t-il à la vérifi-  rience? La qualité de service et la qualité d'expé-
            cation de l'IMSI pour les numéros de téléphone asso-  rience sont-elles conformes aux normes en vigueur
            ciés à des transactions effectuées sur le DFS, afin de   en matière de DFS?
            se prémunir contre les échanges de carte SIM?      4�3�6   Le fournisseur de DFS a-t-il programmé des
            4�2�12  Le fournisseur de DFS est-il impliqué dans   sauvegardes régulières? Les sauvegardes sont-elles
            le processus de recyclage des cartes SIM des utilisa-  chiffrées et stockées sur un site externe?
            teurs du service?
            4�2�13  Le fournisseur de DFS procède-t-il à une   4�4  Détection des fraudes
            vérification de la  signature  XML des données pour   4�4�1   Les journaux des DFS sont-ils stockés de
            les requêtes issues des API et du canal USSD? Par   manière sécurisée dans un module inviolable (un
            exemple: validation des données d'entrée, vérifi-  SIEM, par exemple)?
            cation des montants, détection de la présence de   4�4�2   Des mécanismes sont-ils mis en place pour
            caractères spéciaux dans les montants, contrôle des   détecter la modification et la falsification de la base
            devises, etc.                                      de données?
            4�2�14  Des procédures d'autorisation et d'authen-  4�4�3   Des mécanismes sont-ils mis en place pour
            tification supplémentaires sont-elles mises en place   détecter les tentatives d'usurpation d'identité par
            pour les transactions importantes et les modifica-  SMS et par téléphone (par exemple, l'identification
            tions de compte présentant un risque élevé? Par    des lignes téléphoniques)?
            exemple, quelles vérifications complémentaires sont   4�4�4   L'examen et l'approbation des modifications
            prévues pour l'augmentation des plafonds de tran-  importantes apportées aux comptes font-ils l'objet
            saction?                                           de mesures de contrôle suffisantes? Par exemple, ces
            4�2�15  Le  système  de  DFS est-il en mesure de   modifications sont-elles soumises à un processus de
            détecter des transactions inhabituelles en s'ap-   vérification et au principe de la double approbation?
            puyant sur le profil de l'utilisateur? Le fournisseur   4�4�5   Les transactions traitées par des API de
            de DFS procède-t-il à des vérifications fondées sur   paiement font-elles l'objet d'un suivi assuré par des
            le profil de transaction de l'utilisateur (par exemple,   mécanismes adéquats? Le fournisseur de DFS a-t-il
            des agents intelligents procédant à des transactions   conclu des accords de non-divulgation des données
            tardives ou des utilisateurs procédant à des transac-  sensibles de ses utilisateurs avec des parties tierces?
            tions depuis deux endroits différents)?            Les transferts de données à des parties tierces sont-
                                                               ils protégés par des algorithmes de chiffrement
                                                               solides?






           26    Lignes directrices pour l’audit de sécurité des services financiers numériques
   23   24   25   26   27   28   29   30   31   32   33