This site uses cookies.
Some of these cookies are essential to the operation of the site,
while others help to improve your experience by providing insights into how the site is being used.
For more information, please see the ProZ.com privacy policy.
This person has a SecurePRO™ card. Because this person is not a ProZ.com Plus subscriber, to view his or her SecurePRO™ card you must be a ProZ.com Business member or Plus subscriber.
Affiliations
This person is not affiliated with any business or Blue Board record at ProZ.com.
Arabic to French - Standard rate: 0.10 USD per word / 30 USD per hour French to Arabic - Standard rate: 0.10 USD per word / 30 USD per hour English to French - Standard rate: 0.10 USD per word / 30 USD per hour English to Arabic - Standard rate: 0.10 USD per word / 30 USD per hour French to English - Standard rate: 0.10 USD per word / 30 USD per hour
Arabic to English - Standard rate: 0.10 USD per word / 30 USD per hour French - Standard rate: 0.10 USD per word / 30 USD per hour Arabic - Standard rate: 0.10 USD per word / 30 USD per hour English - Standard rate: 0.10 USD per word / 30 USD per hour
More
Less
Portfolio
Sample translations submitted: 1
English to French: PCI DSS SAQ General field: Tech/Engineering Detailed field: Computers: Systems, Networks
Source text - English pciquestion.7.1.2.info=When assigning privileged IDs, it is important to assign users only the privileges they need to perform their job ("least privileges"). For example, the database administrator or backup administrator should not be assigned the same privileges as the overall systems administrator.Assigning least privileges helps prevent users without sufficient knowledge about the application from incorrectly or accidentally changing application configuration or altering its security settings. Enforcing least privilege also helps minimizing the scope of damage if an unauthorized person gains access to a user ID.
pciquestion.7.1.3.info=Once needs are defined for user roles, it is easy to grant individuals access according to their job classification and function by using the already created roles.
pciquestion.7.1.4.info=Documented approval (electronical or in writing) assures that those with access and privileges are known and authorized by management, and that their access is necessary for their job function.
pciquestion.7.1.info=The more people have access to cardholder data, the greater is the risk that a user's account will be used maliciously. Limiting access to those with a legitimate business reason for the access helps an organization prevent mishandling of cardholder data through inexperience or malice.
pciquestion.8.1.1.info=By ensuring each user is uniquely identified (instead of using a single ID for multiple employees), an organization can maintain individual responsibility for actions and an effective audit trail per employee. This will help speed up issue resolution and containment when misuse or malicious intent occurs.
pciquestion.8.1.2.info=In order to ensure that user accounts granted access to systems are all valid and recognized users, strong processes must be set up to manage all changes to user IDs and other authentication credentials, including addition, editing and deletion operations.
pciquestion.8.1.3.info=If an employee has left the company and still has access to the network via his/her user account, unnecessary or malicious access to cardholder data could occur - either by the former employee or by a malicious user who exploits the old and/or unused account. To prevent unauthorized access, user credentials and other authentication methods therefore need to be revoked promptly (as soon as possible) upon employee departure.
pciquestion.8.1.4.info=Accounts that are not used regularly are often targets of attack since it is less likely that any changes (such as a changed password) will be noticed. As such, these accounts may be more easily exploited and used to access cardholder data.
pciquestion.8.1.5.a.info=Allowing vendors to have 24/7 access into your network in case they need to support your systems increases the chances of unauthorized access, either from a user in the vendor's environment or from a malicious individual who finds and uses this always-available external entry point into your network. Enabling access only for the timeframe needed, and disabling it as soon as it is no longer needed, helps prevent misuse of these connections.Monitoring of vendor access ensures that vendors are only accessing the systems necessary and only during approved timeframes.
pciquestion.8.1.5.b.info=Allowing vendors to have 24/7 access into your network in case they need to support your systems increases the chances of unauthorized access, either from a user in the vendor's environment or from a malicious individual who finds and uses this always-available external entry point into your network. Enabling access only for the timeframe needed, and disabling it as soon as it is no longer needed, helps prevent misuse of these connections.Monitoring of vendor access ensures that vendors are only accessing the systems necessary and only during approved timeframes.
pciquestion.8.1.6.a.info=Failing an account locking mechanisms, an attacker can continually attempt to guess a password through manual or automated tools (for example, password cracking), until he's successful and gain access to a user account.
pciquestion.8.1.7.info=If an account is locked out due to someone continually trying to guess a password, controls to delay reactivation of these locked accounts prevent the malicious individual from continually guessing the password (he will have to stop for a minimum of 30 minutes until the account is reactivated). Additionally, if reactivation must be requested, the admin or help desk can validate that it is the actual account owner requesting reactivation.
pciquestion.8.1.8.info=When users walk away from an open machine with access to critical system components or cardholder data, that machine may be used by others in the user's absence, resulting in unauthorized account access and/or misuse.The re-authentication can be applied either at the system level to protect all sessions running on that machine, or at the application level.
pciquestion.8.1.info=By ensuring each user is uniquely identified (instead of using a single ID for multiple employees), an organization can maintain individual responsibility for actions and an effective audit trail per employee. This will help speed up issue resolution and containment when misuse or malicious intent occurs.
pciquestion.8.2.1.a.info=Many network devices and applications transmit unencrypted, readable passwords across the network and/or store passwords without encryption. A malicious individual can easily acquire unencrypted passwords during transmission using a "sniffer," or directly access unencrypted passwords in files where they are stored, and use this data to gain unauthorized access.
pciquestion.8.2.2.info=Many malicious individuals use "social engineering" - for example, calling a help desk and acting as a legitimate user - to have a password changed so they can use a user ID. Consider using a "secret question" that only the proper user can answer to help administrators identify the user prior to re-setting or modifying authentication credentials.
pciquestion.8.2.3.a.info=Strong passwords/passphrases are the first line of defense into a network, since a malicious individual will often first try to find accounts with weak or non-existent passwords. If passwords are short or simple to guess, it is relatively easy for a malicious individual to find these weak accounts and compromise a network under the guise of a valid user ID.This requirement specifies that a minimum of seven characters and both numeric and alphabetic characters should be used for passwords/ passphrases. For cases where this minimum cannot be met due to technical limitations, entities can use "equivalent strength" to evaluate their alternative. For information on variability and equivalency of password strength (also referred to as entropy) for passwords/passphrases of different formats, refer to industry standards (e.g., the current version of NIST SP 800-63.)
pciquestion.8.2.4.a.info=Passwords/passphrases that have been valid for a long time without being changed provide malicious individuals with more time to work on guessing or cracking them.
pciquestion.8.2.5.a.info=If password history isn't maintained, the effectiveness of changing passwords is reduced, as previous passwords can be reused over and over. Requiring that passwords cannot be reused for a period of time reduces the likelihood that passwords that have been guessed or brute-forced will be used in the future.
pciquestion.8.2.6.info=If the same password is used for every new user, an internal user, former employee, or malicious individual may know or easily discover this password, and use it to gain access to accounts.
pciquestion.8.2.info=These authentication methods, when used in addition to unique IDs, help protect user IDs from being compromised, since the attacker attempting the compromise needs to know both the unique ID and the password (or other authentication used).Since one of the first steps a malicious individual will take to compromise a system is exploiting weak or non-existent passwords, it is important to implement effective processes for authentication management, using a unique ID and a second authentication factor (i.e., strong password).
pciquestion.8.3.1.info=This requirement is valid for all personnel with administrative access to any systems storing, transmitting and processing cardholder data environment (CDE). This requirement only applies to personnel with administrative access and is limited to non-console access to the CDE (i.e. through remote access procedures); it does not apply to application or system accounts performing automated functions.If the entity does not use segmentation to separate the CDE from the rest of their network, an administrator could use multi-factor authentication to access CDE network or a system.If the CDE is segmented from the rest of the entity's network, an administrator would need to use multi-factor authentication when connecting to a CDE system from a non-CDE network. Multi-factor authentication can be implemented at network level or at system/application level; it does not have to be both. If the administrator uses MFA when accessing the CDE network, then he's not required to use it to access any specific system or application within the CDE itself.
pciquestion.8.3.2.info=This requirement applies to all personnel, including general users, administrators, and vendors (for support or maintenance) with remote access to the network, in case such remote access can grant access to the CDE. If remote access is to an entity's network that has appropriate segmentation, such that remote users cannot access or impact the cardholder data environment, multi-factor authentication for remote access to that network would not be required. However, multi-factor authentication is required for any remote access to networks with access to the cardholder data environment, and is recommended for all remote access to the entity's networks.
pciquestion.8.3.info=Multi-factor authentication requires an individual to present a minimum of two separate forms of authentication, before access is granted.Multi-factor authentication provides additional assurance that users attempting to gain access is who they claim to be. With multi-factor authentication, an attacker would need to compromise at least two different authentication mechanisms, increasing the difficulty of compromise and thus reducing the risk.Multi-factor authentication is not required at both the system-level and application-level for a particular system component. Multi-factor authentication can be performed either upon authentication to the particular network or to the system component.Examples of multi-factor technologies include but are not limited to remote authentication and dial-in service (RADIUS) with tokens; terminal access controller access control system (TACACS) with tokens; and other technologies that facilitate multi-factor authentication.
pciquestion.8.4.a.info=Communicating password- and authentication-related policies and procedures to all users helps them understand and abide by the policies.For example, guidance on selecting strong passwords may include suggestions to help personnel select hard-to-guess passwords that don't contain dictionary words, and that don't contain information about the user (such as the user ID, names of family members, date of birth, etc.). Guidance for protecting authentication credentials may include not writing down passwords or saving them in insecure files, and being alert for malicious individuals who may attempt to exploit their passwords (for example, by calling an employee and asking for their password so the caller can "troubleshoot a problem").Instructing users to change passwords if there is a chance the password is no longer secure can prevent malicious users from using a legitimate password to gain unauthorized access.
pciquestion.8.4.b.info=Communicating password- and authentication-related policies and procedures to all users helps them understand and abide by the policies.For example, guidance on selecting strong passwords may include suggestions to help personnel select hard-to-guess passwords that don't contain dictionary words, and that don't contain information about the user (such as the user ID, names of family members, date of birth, etc.). Guidance for protecting authentication credentials may include not writing down passwords or saving them in insecure files, and being alert for malicious individuals who may attempt to exploit their passwords (for example, by calling an employee and asking for their password so the caller can "troubleshoot a problem").Instructing users to change passwords if there is a chance the password is no longer secure can prevent malicious users from using a legitimate password to gain unauthorized access.
pciquestion.8.5.info=If multiple users share the same authentication credentials (i.e, user account and password), tracing system access and activities back to an individual becomes impossible. This in turn prevents an entity from assigning accountability for, or having effective logging of, an individual's actions, since a given action could have been performed by anyone in the group that has knowledge of the authentication credentials.
pciquestion.8.6.info=If user authentication mechanisms such as tokens, smart cards, and certificates can be used by multiple accounts, it may be impossible to identify the individual using the authentication mechanism. Having physical and/or logical controls (for example, a PIN, biometric data, or a password) to uniquely identify the user of the account will prevent unauthorized users from gaining access through use of a shared authentication mechanism.
pciquestion.8.8.info=Personnel need to be aware of and follow security policies and operational procedures for managing identification and authorization on a continuous basis.
pciquestion.9.1.info=Without physical site access controls (office, data center), such as badge systems and door controls, unauthorized persons could potentially gain access to the facility to steal, disable, disrupt, or destroy critical systems and cardholder data.
pciquestion.9.5.info=Controls for physically securing media are intended to prevent unauthorized persons from gaining access to cardholder data on any type of media. Cardholder data is susceptible to unauthorized viewing, copying, or scanning if it is unprotected while it is on removable or portable media, printed out, or left on someone's desk.
pciquestion.9.6.1.info=It is important that media be identified so that their classification status can be easily discernible. Media not marked as confidential may not be adequately protected or may be lost or stolen.Note:This does not mean the media needs to have a "Confidential" label attached; the intent is allowing the organization to identify media containing sensitive data, so it can protect it.
pciquestion.9.6.2.info=Media may be lost or stolen if sent via a non-trackable method such as regular postal mail. Use of reliable couriers to deliver any media containing cardholder data allows organizations to use their tracking systems to maintain inventory and location of shipments.
pciquestion.9.6.3.info=Without a reliable process for ensuring that all media movements are approved before the media are removed from secure areas, the media would not be tracked or appropriately protected, and their location would be unknown, leading to lost or stolen media.
pciquestion.9.6.a.info=Procedures and processes helping protect cardholder data on media distributed to internal and/or external users are required. Failing such procedures, data can be lost or stolen and used for fraudulent purposes. It is paramount defining internal rules and documented processes regulating how sensitive data are distributed, internally or to other entities.
pciquestion.9.6.b.info=Procedures and processes helping protect cardholder data on media distributed to internal and/or external users are required. Failing such procedures, data can be lost or stolen and used for fraudulent purposes. It is paramount defining internal rules and documented processes regulating how sensitive data are distributed, internally or to other entities.
pciquestion.9.6.info=In the context of SAQ-A and SAQ-A-EP, "media" is strictly restricted to paper records that contain cardholder data (PAN, Expiry Date and Cardholder Name). These category of merchants (eCommerce merchants) are allowed to retain (keep) only paper reports or receipts with cardholder data and these documents must NOT be received electronically. Procedures and processes help protect cardholder data on media distributed to internal and/or external users. Without such procedures, data can be lost or stolen and used for fraudulent purposes. It is recommended that: Media containing cardholder data should not be moved from a secure and known location without a proper business justification and by personnel without authorization to access such data. A log should be maintained for every package containing paper media sent outside the company and it should be verified that it is sent through a reliable courier that can provide shipment tracking.
pciquestion.9.7.info=Without careful inventory methods and storage controls, stolen or missing media could go unnoticed for an indefinite amount of time.If media are not inventoried, stolen or lost media may not be noticed for a long time or at all.
pciquestion.9.8.1.a.info=If appropriate steps are not taken to destroy information contained on hard disks, portable drives, CD/DVDs, or paper prior to disposal, malicious individuals may be able to retrieve information from the disposed media, leading to a data compromise. For example, malicious individuals may use a technique known as "dumpster diving," where they search through trashcans and recycle bins looking for information they can use to launch an attack.Securing storage containers used for materials that are going to be destroyed prevents sensitive information from being improperly acquired during material collection. For example, "to-be-shredded" containers could have a lock preventing access to its contents or physic ally prevent access to the inside of the container.Examples of methods for securely destroying electronic media include secure wiping, degaussing, or physical destruction (such as grinding or shredding hard disks).
pciquestion.9.8.1.b.info=If appropriate steps are not taken to destroy information contained on hard disks, portable drives, CD/DVDs, or paper prior to disposal, malicious individuals may be able to retrieve information from the disposed media, leading to a data compromise. For example, malicious individuals may use a technique known as "dumpster diving," where they search through trashcans and recycle bins looking for information they can use to launch an attack.Securing storage containers used for materials that are going to be destroyed prevents sensitive information from being improperly acquired during material collection. For example, "to-be-shredded" containers could have a lock preventing access to its contents or physic ally prevent access to the inside of the container.Examples of methods for securely destroying electronic media include secure wiping, degaussing, or physical destruction (such as grinding or shredding hard disks).
pciquestion.9.8.a.info=If appropriate steps are not taken to destroy information contained on hard disks, portable drives, CD/DVDs, or paper prior to disposal, malicious individuals may be able to retrieve information from the disposed media, leading to a data compromise. For example, malicious individuals may use a technique known as "dumpster diving," where they search through trashcans and recycle bins looking for information they can use to launch an attack.Securing storage containers used for materials that are going to be destroyed prevents sensitive information from being improperly acquired during material collection. For example, "to-be-shredded" containers could have a lock preventing access to its contents or physic ally prevent access to the inside of the container.Examples of methods for securely destroying electronic media include secure wiping, degaussing, or physical destruction (such as grinding or shredding hard disks).
pciquestion.9.8.b.info=If appropriate steps are not taken to destroy information contained on hard disks, portable drives, CD/DVDs, or paper prior to disposal, malicious individuals may be able to retrieve information from the disposed media, leading to a data compromise. For example, malicious individuals may use a technique known as "dumpster diving," where they search through trashcans and recycle bins looking for information they can use to launch an attack.Securing storage containers used for materials that are going to be destroyed prevents sensitive information from being improperly acquired during material collection. For example, "to-be-shredded" containers could have a lock preventing access to its contents or physic ally prevent access to the inside of the container.Examples of methods for securely destroying electronic media include secure wiping, degaussing, or physical destruction (such as grinding or shredding hard disks).
pciquestion.9.9.1.a.info=Always include important information to the inventories created, in order to ensure maximum accuracy in identifying the devices (POS terminals) used for transmitting transactions in Card Present mode.
pciquestion.9.9.1.b.info=Periodically review inventories and lists, with special attention to the devices (POS terminals) used for transmitting transactions in Card Present mode.
pciquestion.9.9.1.c.info=Ensure to update inventories and lists in case of asset changes, such as POS terminal disposal, purchase of new terminals or moving terminals to other sites.
pciquestion.9.9.2.a.info=Periodically inspect all terminals, to ensure that they've not been tampered and no skimming device has been installed in fraudulent manner./p>
pciquestion.9.9.2.b.info=All personnel must be trained on how to inspect and check the security of payment terminals.
pciquestion.9.9.3.b.info=Ensure that training materials on payment terminal security provided to the employees is adequate.
pciquestion.9.9.3.c.info=Ensure to arrange training courses for the staff dealing with payment terminal security and periodic update programs on the latest terminal attacking scenario, using industry evangelists, white papers and other online resources.
pciquestion.9.9.b.info=It is critical to set up procedures and polices requiring that all business devices be listed/inventoried, namely for devices used to transmit transactions in Card Present mode (i.e., POS payment terminal).
pciquestion.9.9.c.info=Failing a periodic review of these device lists/inventories, these rules might prove ineffective . It is critical to internally set up rules requiring a periodic review of the inventories, for accuracy and integrity purposes - namely for devices used to transmit transactions in Card Present mode (i.e., POS payment terminal).
pciquestion.9.9.d.info=Having security-related policies and procedures in place mean that employees are aware of these. Employees should be regularly trained on handling sensitive data and credit cardholder data confidentiality; they must be able to detect possible anomalies on credit card readers, such as the presence of skimmers installed on devices.
pciquestion.A2.1.info=This requirement only applies to PoI/PoS (payment terminals) if connected to your acquiring bank through a public Internet connection. Mark this requirement as Not Applicable in any other cases (i.e. dial-out connection), otherwise pls contact your terminal provider to get support about using non-secure transmission protocol, namely for this PCI DSS requirement.
pciquestion.A2.2.info=This requirement only applies to PoI/PoS (payment terminals) if connected to your acquiring bank through a public Internet connection. Mark this requirement as Not Applicable in any other cases (i.e. dial-out connection), otherwise pls contact your terminal provider to get support about using non-secure transmission protocol, namely for this PCI DSS requirement.
Translation - French pciquestion.7.1.2.info=Lorsque vous attribuez des ID privilégiés, il est important d'attribuer aux utilisateurs uniquement les privilèges dont ils ont besoin pour effectuer leur travail ("moins de privilèges"). Par exemple, l'administrateur de la base de données ou l'administrateur de sauvegarde ne doit pas se voir attribuer les mêmes privilèges que l'administrateur système global. Attribuer le moins de privilèges permet d'empêcher les utilisateurs qui ne connaissent pas suffisamment l'application de modifier la configuration ou les paramètres de sécurité de l'application par erreur ou par erreur. L'application du privilège du moindre privilège aide également à minimiser l'étendue des dommages si une personne non autorisée obtient l'accès à un code d'utilisateur.
pciquestion.7.1.3.info=Une fois les besoins définis pour les rôles utilisateurs, il est facile d'accorder l'accès aux individus en fonction de leur classification et fonction en utilisant les rôles déjà créés.
pciquestion.7.1.4.info=L'approbation documentée (électronique ou écrite) assure que ceux qui ont accès et privilèges sont connus et autorisés par la direction, et que leur accès est nécessaire pour leur fonction.
pciquestion.7.1.info=Plus le nombre de personnes ayant accès aux données des titulaires de carte est élevé, plus le risque que le compte d'un utilisateur soit utilisé de manière malveillante est grand. Limiter l'accès à ceux qui ont un motif commercial légitime de le faire aide une organisation à prévenir la mauvaise manipulation des données des titulaires de carte par manque d'expérience ou par malveillance. .
pciquestion.8.1.1.info=En s'assurant que chaque utilisateur est identifié de façon unique (au lieu d'utiliser un identifiant unique pour plusieurs employés), une organisation peut maintenir la responsabilité individuelle des actions et une piste de vérification efficace par employé. Cela permettra d'accélérer la résolution et le confinement des problèmes en cas de mauvaise utilisation ou d'intention malveillante.
pciquestion.8.1.2.info=Pour s'assurer que les comptes utilisateurs auxquels l'accès aux systèmes a été accordé sont tous des utilisateurs valides et reconnus, des processus solides doivent être mis en place pour gérer toutes les modifications apportées aux ID utilisateur et autres informations d'authentification, notamment les opérations d'ajout, de modification et de suppression.
pciquestion.8.1.3.info=Si un employé a quitté l'entreprise et a toujours accès au réseau via son compte utilisateur, un accès inutile ou malveillant aux données du titulaire de carte peut se produire - soit par l'ancien employé, soit par un utilisateur malveillant qui exploite l'ancien compte et/ou un compte non utilisé. Afin d'empêcher tout accès non autorisé, les justificatifs d'identité d'utilisateur et autres méthodes d'authentification doivent donc être révoqués rapidement (dès que possible) au départ de l'employé..
pciquestion.8.1.4.info=Les comptes qui ne sont pas utilisés régulièrement sont souvent des cibles d'attaque puisqu'il est moins probable que tout changement (comme un changement de mot de passe) soit remarqué. Ainsi, ces comptes peuvent être plus facilement exploités et utilisés pour accéder aux données des titulaires de carte.
pciquestion.8.1.5.a.info=Permettre aux vendeurs d'avoir un accès 24h/24 et 7j/7 à votre réseau au cas où ils auraient besoin de prendre en charge vos systèmes augmente les chances d'accès non autorisé, soit par un utilisateur de l'environnement du vendeur, soit par une personne malveillante qui trouve et utilise ce point d'entrée externe toujours disponible dans votre réseau. Le fait de n'autoriser l'accès que pour la période nécessaire, et de le désactiver dès qu'il n'est plus nécessaire, permet de prévenir l'utilisation abusive de ces connexions. La surveillance de l'accès des fournisseurs garantit que ces derniers n'accèdent qu'aux systèmes nécessaires et seulement pendant les périodes approuvées.
pciquestion.8.1.5.b.info=Permettre aux vendeurs d'avoir un accès 24h/24 et 7j/7 à votre réseau au cas où ils auraient besoin de prendre en charge vos systèmes augmente les chances d'accès non autorisé, soit par un utilisateur de l'environnement du vendeur, soit par une personne malveillante qui trouve et utilise ce point d'entrée externe toujours disponible dans votre réseau. Le fait de n'autoriser l'accès que pour la période nécessaire, et de le désactiver dès qu'il n'est plus nécessaire, permet de prévenir l'utilisation abusive de ces connexions. La surveillance de l'accès des fournisseurs garantit que ces derniers n'accèdent qu'aux systèmes nécessaires et seulement pendant les périodes approuvées.
pciquestion.8.1.6.a.info=Echec des mécanismes de verrouillage de compte, un attaquant peut continuellement tenter de deviner un mot de passe à l'aide d'outils manuels ou automatisés (par exemple, le craquage de mot de passe), jusqu'à ce qu'il ait réussi et ait accès à un compte utilisateur.
pciquestion.8.1.7.info=Si un compte est verrouillé parce que quelqu'un essaie continuellement de deviner un mot de passe, des contrôles pour retarder la réactivation de ces comptes verrouillés empêchent la personne malveillante de continuellement deviner le mot de passe (elle devra arrêter pendant au moins 30 minutes avant que le compte soit réactivé). De plus, si la réactivation doit être demandée, l'administrateur ou le service d'assistance peut valider qu'il s'agit bien du propriétaire réel du compte qui demande la réactivation.
pciquestion.8.1.8.info=Lorsque les utilisateurs quittent une machine ouverte avec accès aux composants système critiques ou aux données du titulaire de carte, cette machine peut être utilisée par d'autres en l'absence de l'utilisateur, entraînant un accès non autorisé au compte et/ou une mauvaise utilisation.La nouvelle authentification peut être appliquée soit au niveau système pour protéger toutes les sessions en cours sur cette machine, soit au niveau application.
pciquestion.8.1.info=En s'assurant que chaque utilisateur est identifié de façon unique (au lieu d'utiliser un seul identifiant pour plusieurs employés), une organisation peut maintenir la responsabilité individuelle des actions et une piste de vérification efficace par employé. Cela permettra d'accélérer la résolution et le confinement des problèmes en cas de mauvaise utilisation ou d'intention malveillante.
pciquestion.8.2.1.a.info=De nombreux périphériques et applications réseau transmettent des mots de passe non cryptés et lisibles sur le réseau et/ou stockent les mots de passe sans cryptage. Une personne malveillante peut facilement acquérir des mots de passe non cryptés pendant la transmission en utilisant un "renifleur" ou accéder directement à des mots de passe non cryptés dans les fichiers où ils sont stockés, et utiliser ces données pour obtenir un accès non autorisé.
pciquestion.8.2.2.info=Plusieurs individus malveillants utilisent l'"ingénierie sociale" - par exemple, appeler un service d'assistance et agir comme un utilisateur légitime - pour faire changer un mot de passe afin de pouvoir utiliser un ID utilisateur. Envisagez d'utiliser une "question secrète" à laquelle seul le bon utilisateur peut répondre pour aider les administrateurs à identifier l'utilisateur avant de réinitialiser ou de modifier les informations d'authentification.
pciquestion.8.2.3.a.info=Les mots de passe/phrases de passe forts sont la première ligne de défense dans un réseau, puisqu'une personne malveillante essaiera souvent d'abord de trouver des comptes dont le mot de passe est faible ou inexistant. Si les mots de passe sont courts ou simples à deviner, il est relativement facile pour une personne malveillante de trouver ces comptes faibles et de compromettre un réseau sous la forme d'un ID utilisateur valide.Cette exigence spécifie qu'un minimum de sept caractères et des caractères numériques et alphabétiques doivent être utilisés pour les mots de passe/phrases. Dans les cas où ce minimum ne peut être atteint en raison de limitations techniques, les entités peuvent utiliser une "force équivalente" pour évaluer leur alternative. Pour de l'information sur la variabilité et l'équivalence de la force des mots de passe (aussi appelée entropie) pour les mots de passe/phrases de mots de passe de différents formats, consulter les normes de l'industrie (p. ex. la version actuelle du NIST SP 800-63)
pciquestion.8.2.4.a.info=Mots de passe/phrases secrètes qui sont valides depuis longtemps sans avoir été modifiés donnent plus de temps aux personnes malveillantes pour travailler à les deviner ou les cracker.
pciquestion.8.2.5.a.info=Si l'historique des mots de passe n'est pas maintenu, l'efficacité du changement des mots de passe est réduite, car les mots de passe précédents peuvent être réutilisés encore et encore. Exiger que les mots de passe ne puissent pas être réutilisés pendant un certain temps réduit la probabilité que les mots de passe qui ont été devinés ou forcés soient utilisés à l'avenir.
pciquestion.8.2.6.info=Si le même mot de passe est utilisé pour chaque nouvel utilisateur, un utilisateur interne, un ancien employé ou une personne malveillante peut connaître ou découvrir facilement ce mot de passe, et l'utiliser pour accéder aux comptes.
pciquestion.8.2.info=Ces méthodes d'authentification, lorsqu'elles sont utilisées en plus des identifiants uniques, aident à protéger les identifiants d'utilisateur d'être compromis, puisque l'attaquant qui tente le compromis doit connaître l'identifiant unique et le mot de passe (ou autre authentification utilisée).Si l'une des premières étapes que prend une personne malveillante pour compromettre un système exploite des mots de passe faibles ou non existants, il importe d'appliquer des processus efficaces pour gérer les identités, utilisant un identifiant unique et un second facteur d'authentification (c.-à-d, mot de passe fiable).
pciquestion.8.3.1.info=Cette exigence s'applique à tout le personnel ayant un accès administratif à tout système de stockage, de transmission et de traitement des données des titulaires de carte (CDE). Cette exigence ne s'applique qu'au personnel ayant un accès administratif et se limite à l'accès non exclusif au CDE (c.-à-d. au moyen de procédures d'accès à distance) ; elle ne s'applique pas aux comptes d'applications ou de systèmes exécutant des fonctions automatisées.Si l'entité n'utilise pas la segmentation pour séparer le CDE du reste de son réseau, un administrateur peut utiliser l'authentification multifactorielle pour accéder au réseau CDE ou à un système. Si le CDE est segmenté à partir du reste du réseau de l'entité, un administrateur doit utiliser l'authentification multifactorielle lors de sa connexion à un système CDE depuis un réseau non CDE. L'authentification multifactorielle peut être mise en œuvre au niveau du réseau ou au niveau du système/de l'application ; il n'est pas nécessaire que ce soit les deux. Si l'administrateur utilise l'AMF lorsqu'il accède au réseau CDE, il n'est pas tenu de l'utiliser pour accéder à un système ou à une application spécifique au sein du CDE lui-même.
pciquestion.8.3.2.info=Cette exigence s'applique à tout le personnel, y compris les utilisateurs généraux, les administrateurs et les fournisseurs (pour le support ou la maintenance) ayant un accès distant au réseau, au cas où un tel accès distant peut donner accès au CDE. Si l'accès à distance est un accès au réseau d'une entité qui a une segmentation appropriée, de sorte que les utilisateurs distants ne peuvent pas accéder à l'environnement de données du titulaire de carte ou avoir une incidence sur celui-ci, l'authentification multifactorielle pour l'accès à distance à ce réseau ne serait pas nécessaire. Toutefois, l'authentification multifactorielle est requise pour tout accès à distance aux réseaux ayant accès à l'environnement de données du titulaire de carte et est recommandée pour tout accès à distance aux réseaux de l'entité.
pciquestion.8.3.info=L'authentification multifactorielle exige qu'une personne présente au moins deux formes distinctes d'authentification, avant que l'accès ne soit accordé. L'authentification multifactorielle fournit une assurance supplémentaire que les utilisateurs qui tentent d'accéder sont ceux qu'ils prétendent être. Avec l'authentification multifactorielle, un attaquant devrait compromettre au moins deux mécanismes d'authentification différents, ce qui augmente la difficulté du compromis et réduit donc le risque. L'authentification multifactorielle n'est pas nécessaire tant au niveau système qu'au niveau application pour un composant système particulier. L'authentification multifactorielle peut être effectuée soit lors de l'authentification sur le réseau particulier, soit sur le composant système.Les exemples de technologies multifactorielles comprennent, sans s'y limiter, l'authentification à distance et le service de numérotation (RADIUS) avec jetons ; le système de contrôle d'accès au contrôleur terminal (TACACS) avec jetons ; et autres technologies permettant une authentification multi-facteur.
pciquestion.8.4.a.info=Communiquer les politiques et procédures relatives aux mots de passe et à l'authentification à tous les utilisateurs les aide à comprendre et à respecter les politiques.Par exemple, les conseils sur la sélection de mots de passe forts peuvent inclure des suggestions pour aider le personnel à sélectionner des mots de passe difficiles à deviner qui ne contiennent pas de mots de dictionnaire, et qui ne contiennent aucune information sur les utilisateurs (comme le nom de l'utilisateur, les membres de la famille, la date de naissance, etc). Les conseils pour protéger les informations d'authentification peuvent inclure de ne pas écrire les mots de passe ou de les enregistrer dans des fichiers non sécurisés, et d'être attentif aux individus malveillants qui peuvent tenter d'exploiter leurs mots de passe (par exemple, en appelant un employé et en lui demandant son mot de passe pour que le demandeur puisse "résoudre un problème").Instruire les utilisateurs à modifier leurs mots de passe s'il y a une chance qu'ils ne soient plus protégés puisse empêcher un utilisateur malveillant de les utiliser pour accéder sans autorisation.
pciquestion.8.4.b.info=Communiquer les politiques et procédures relatives aux mots de passe et à l'authentification à tous les utilisateurs les aide à comprendre et à respecter les politiques.Par exemple, les conseils sur la sélection de mots de passe forts peuvent inclure des suggestions pour aider le personnel à sélectionner des mots de passe difficiles à deviner qui ne contiennent pas de mots de dictionnaire et qui ne contiennent pas de renseignements sur l'utilisateur (comme le nom de l'utilisateur, son nom, la date de naissance, etc.). Les conseils pour protéger les informations d'authentification peuvent inclure de ne pas écrire les mots de passe ou de les enregistrer dans des fichiers non sécurisés, et d'être attentif aux individus malveillants qui peuvent tenter d'exploiter leurs mots de passe (par exemple, en appelant un employé et en lui demandant son mot de passe pour que le demandeur puisse "résoudre un problème").Instruire les utilisateurs à modifier leurs mots de passe s'il y a une chance qu'ils ne soient plus protégés puisse empêcher un utilisateur malveillant de les utiliser pour accéder sans autorisation.
pciquestion.8.5.info=Si plusieurs utilisateurs partagent les mêmes identifiants d'authentification (c'est-à-dire un compte utilisateur et un mot de passe), il devient impossible de retracer l'accès au système et les activités vers une personne. Ceci empêche à son tour une entité d'assigner la responsabilité des actions d'un individu ou d'avoir une journalisation efficace de ses actions, puisqu'une action donnée aurait pu être effectuée par n'importe qui dans le groupe qui a connaissance des informations d'authentification.
pciquestion.8.6.info=Si les mécanismes d'authentification utilisateur tels que les jetons, les cartes à puce et les certificats peuvent être utilisés par plusieurs comptes, il peut être impossible d'identifier la personne en utilisant le mécanisme d'authentification. Le fait d'avoir des contrôles physiques et/ou logiques (par exemple, un NIP, des données biométriques ou un mot de passe) pour identifier de façon unique l'utilisateur du compte empêchera les utilisateurs non autorisés d'y avoir accès en utilisant un mécanisme d'authentification partagé.
pciquestion.8.8.info=Le personnel doit connaître et suivre les politiques de sécurité et les procédures opérationnelles pour gérer l'identification et l'autorisation sur une base continue.
pciquestion.9.1.info=Sans contrôles d'accès physiques au site (bureau, centre de données), tels que les systèmes de badges et les contrôles de portes, des personnes non autorisées pourraient potentiellement accéder à l'installation pour voler, désactiver, perturber ou détruire les systèmes critiques et les données des titulaires de carte.
pciquestion.9.5.info=Les contrôles pour la sécurisation physique des supports sont destinés à empêcher les personnes non autorisées d'accéder aux données des titulaires de carte sur tout type de support. Les données des titulaires de carte peuvent être consultées, copiées ou numérisées sans autorisation si elles ne sont pas protégées lorsqu'elles sont sur un support amovible ou portable, imprimées ou laissées sur le bureau de quelqu'un.
pciquestion.9.6.1.info=Il est important que les médias soient identifiés afin que leur statut de classification puisse être facilement discernable. Les supports qui ne sont pas marqués comme confidentiels peuvent ne pas être protégés adéquatement ou peuvent être perdus ou volés.Note:Cela ne signifie pas que les supports doivent porter une étiquette "confidentiel" ; l'intention est de permettre à l'organisation d'identifier les supports contenant des données sensibles, de manière à les protéger.
pciquestion.9.6.2.info=Les médias peuvent être perdus ou volés s'ils sont envoyés par une méthode non traçable comme le courrier postal régulier. L'utilisation de messageries fiables pour la livraison de tout support contenant des données sur les titulaires de carte permet aux organisations d'utiliser leurs systèmes de suivi pour tenir à jour l'inventaire et l'emplacement des expéditions.
pciquestion.9.6.3.info=Sans un processus fiable pour s'assurer que tous les mouvements de médias sont approuvés avant que les médias ne soient retirés des zones sécurisées, les médias ne seraient pas suivis ou protégés de façon appropriée, et leur emplacement serait inconnu, ce qui entraînerait la perte ou le vol de médias.
pciquestion.9.6.a.info=Des procédures et processus permettant de protéger les données des titulaires de carte sur les supports distribués aux utilisateurs internes et/ou externes sont nécessaires. A défaut de telles procédures, des données peuvent être perdues ou volées et utilisées à des fins frauduleuses. Il est primordial de définir des règles internes et des processus documentés régissant la façon dont les données sensibles sont distribuées, en interne ou à d'autres entités.
pciquestion.9.6.b.info=Des procédures et processus permettant de protéger les données des titulaires de carte sur les supports distribués aux utilisateurs internes et/ou externes sont nécessaires. A défaut de telles procédures, des données peuvent être perdues ou volées et utilisées à des fins frauduleuses. Il est primordial de définir des règles internes et des processus documentés régissant la façon dont les données sensibles sont distribuées, en interne ou à d'autres entités.
pciquestion.9.6.info=Dans le contexte de SAQ-A et SAQ-A-EP, "media" est strictement limité aux enregistrements paper qui contiennent les données du titulaire (PAN, Date d'expiration et Nom du titulaire). Ces catégories de commerçants (marchands de commerce électronique) sont autorisés à ne conserver (conserver) que des rapports ou des reçus sur papier contenant des données sur les titulaires de carte et ces documents doiventNOTêtre reçusde façon électronique. Les procédures et processus aident à protéger les données des titulaires de carte sur les supports distribués aux utilisateurs internes et/ou externes. Sans de telles procédures, les données peuvent être perdues ou volées et utilisées à des fins frauduleuses. Il est recommandé que: Média contenant des données sur les titulaires de carte soit déplacé d'un emplacementnonsécurisé et connu sans justificationetpar personnelsans autorisationpour accéder à ces données. A logdoit être maintenu pour chaque emballage contenant des supports papier envoyés à l'extérieur de l'entreprise et il doit être vérifiéqu'il est envoyé par un courrier reliable qui peut fournir un suivi des envois.
pciquestion.9.7.info=Sans méthodes d'inventaire et contrôles de stockage minutieux, les supports volés ou manquants pourraient passer inaperçus pour une durée indéterminée. Si les supports ne sont pas inventoriés, volés ou perdus, ils pourraient ne pas être remarqués pendant longtemps ou pas du tout.
pciquestion.9.8.1.a.info=Si des mesures appropriées ne sont pas prises pour détruire les informations contenues sur les disques durs, lecteurs portables, CD/DVD ou papier avant leur élimination, les personnes malveillantes peuvent être en mesure de récupérer des informations des supports éliminés, entraînant une atteinte aux données. Par exemple, les personnes malveillantes peuvent utiliser une technique connue sous le nom de " fouille de poubelles ", où elles fouillent les poubelles et recyclent les bacs à la recherche d'informations qu'elles peuvent utiliser pour lancer une attaque.Sécuriser les conteneurs de stockage utilisés pour le matériel qui va être détruit empêche que des informations sensibles soient mal acquises pendant la collecte de matériel. Par exemple, les contenants " à déchiqueter " pourraient être munis d'une serrure empêchant l'accès à leur contenu ou d'un allié physique empêchant l'accès à l'intérieur du contenant.Les exemples de méthodes pour détruire de façon sécuritaire les supports électroniques comprennent le chiffonnage, le démagnétisation ou la destruction physique (comme le broyage ou le déchiquetage de disque dur).
pciquestion.9.8.1.b.info=Si des mesures appropriées ne sont pas prises pour détruire les informations contenues sur les disques durs, lecteurs portables, CD/DVD ou papier avant leur élimination, des individus malveillants peuvent être en mesure de récupérer des informations des supports éliminés, entraînant une atteinte aux données. Par exemple, les personnes malveillantes peuvent utiliser une technique connue sous le nom de " fouille de poubelles ", où elles fouillent les poubelles et recyclent les bacs à la recherche d'informations qu'elles peuvent utiliser pour lancer une attaque.Sécuriser les conteneurs de stockage utilisés pour le matériel qui va être détruit empêche que des informations sensibles soient mal acquises pendant la collecte de matériel. Par exemple, les contenants " à déchiqueter " pourraient être munis d'une serrure empêchant l'accès à leur contenu ou d'un allié physique empêchant l'accès à l'intérieur du contenant.Les exemples de méthodes pour détruire de façon sécuritaire les supports électroniques comprennent le chiffonnage, le démagnétisation ou la destruction physique (comme le broyage ou le déchiquetage de disque dur).
pciquestion.9.8.a.info=Si des mesures appropriées ne sont pas prises pour détruire les informations contenues sur les disques durs, les lecteurs portables, les CD/DVD ou le papier avant leur élimination, les personnes malveillantes peuvent être en mesure de récupérer des informations sur les supports éliminés, ce qui entraîne un compromis des données. Par exemple, les personnes malveillantes peuvent utiliser une technique connue sous le nom de " fouille de poubelles ", où elles fouillent les poubelles et recyclent les bacs à la recherche d'informations qu'elles peuvent utiliser pour lancer une attaque.Sécuriser les conteneurs de stockage utilisés pour le matériel qui va être détruit empêche que des informations sensibles soient mal acquises pendant la collecte de matériel. Par exemple, les contenants " à déchiqueter " pourraient être munis d'une serrure empêchant l'accès à leur contenu ou d'un allié physique empêchant l'accès à l'intérieur du contenant.Les exemples de méthodes pour détruire de façon sécuritaire les supports électroniques comprennent le chiffonnage, le démagnétisation ou la destruction physique (comme le broyage ou le déchiquetage de disque dur).
pciquestion.9.8.b.info=Si des mesures appropriées ne sont pas prises pour détruire les informations contenues sur les disques durs, les lecteurs portables, les CD/DVD ou le papier avant leur élimination, les personnes malveillantes peuvent être en mesure de récupérer des informations sur les supports éliminés, ce qui entraîne un compromis des données. Par exemple, les personnes malveillantes peuvent utiliser une technique connue sous le nom de " fouille de poubelles ", où elles fouillent les poubelles et recyclent les bacs à la recherche d'informations qu'elles peuvent utiliser pour lancer une attaque.Sécuriser les conteneurs de stockage utilisés pour le matériel qui va être détruit empêche que des informations sensibles soient mal acquises pendant la collecte de matériel. Par exemple, les contenants " à déchiqueter " pourraient être munis d'une serrure empêchant l'accès à leur contenu ou d'un allié physique empêchant l'accès à l'intérieur du contenant.Les exemples de méthodes pour détruire de façon sécuritaire les supports électroniques comprennent le chiffonnage, le démagnétisation ou la destruction physique (comme le broyage ou le déchiquetage de disque dur).
pciquestion.9.9.1.a.info=Inclure toujours des informations importantes dans les inventaires créés, afin d'assurer une précision maximale dans l'identification des appareils (terminaux POS) utilisés pour transmettre les transactions en mode Carte Présente.
pciquestion.9.9.1.b.info=Revoir périodiquement les inventaires et les listes, avec une attention particulière aux dispositifs (terminaux POS) utilisés pour transmettre les transactions en mode Card Present.
pciquestion.9.9.1.c.info=S'assurer de mettre à jour les inventaires et les listes en cas de changements d'actifs, comme l'aliénation de terminaux de PDV, l'achat de nouveaux terminaux ou le déplacement de terminaux vers d'autres sites.
pciquestion.9.9.2.a.info=Inspectez périodiquement tous les terminaux, pour vous assurer qu'ils n'ont pas été altérés et qu'aucun dispositif d'écrémage n'a été installé de manière frauduleuse./p>
pciquestion.9.9.2.b.info=Tout le personnel doit être formé à l'inspection et à la vérification de la sécurité des terminaux de paiement.
pciquestion.9.9.3.b.info=S'assurer que le matériel de formation sur la sécurité des terminaux de paiement fourni aux employés est adéquat.
pciquestion.9.9.3.c.info=S'assurer d'organiser des cours de formation pour le personnel chargé de la sécurité des terminaux de paiement et des programmes de mise à jour périodique sur le dernier scénario d'attaque de terminaux, en utilisant des évangélistes, des livres blancs et autres ressources en ligne.
pciquestion.9.9.b.info=Il est essentiel d'établir des procédures et des politiques exigeant que tous les appareils commerciaux soient répertoriés ou inventoriés, notamment pour les appareils utilisés pour transmettre des transactions en mode Carte Présente (c.-à-d. terminal de paiement PDV).
pciquestion.9.9.c.info=Echec d'un examen périodique de ces listes/inventaires de dispositifs, ces règles pourraient s'avérer inefficaces. Il est essentiel d'établir à l'interne des règles exigeant un examen périodique des stocks à des fins d'exactitude et d'intégrité, notamment pour les appareils utilisés pour transmettre les transactions en mode Carte en main (c.-à-d. les terminaux de paiement aux points de vente).
pciquestion.9.9.d.info=La mise en place de politiques et de procédures liées à la sécurité signifie que les employés en sont conscients. Les employés doivent être régulièrement formés au traitement des données sensibles et à la confidentialité des données des titulaires de cartes de crédit ; ils doivent être capables de détecter d'éventuelles anomalies sur les lecteurs de cartes de crédit, telles que la présence de skimmers installés sur les appareils.
pciquestion.A2.1.info=Cette exigence ne s'applique qu'aux PoI/PoS (terminaux de paiement) s'ils sont connectés à votre banque acquéreur via une connexion Internet publique. Marquez cette exigence commeNon Applicabledans tous les autres cas (par ex. connexion dial-out), sinon veuillez contacter votre fournisseur de terminal pour obtenir de l'aide sur l'utilisation du protocole de transmission non sécurisé, notamment pour cette exigence PCI DSS.
pciquestion.A2.2.info=Cette exigence ne s'applique qu'aux PoI/PoS (terminaux de paiement) s'ils sont connectés à votre banque acquéreur via une connexion Internet publique. Marquez cette exigence comme Non Applicabledans tous les autres cas (par ex. connexion dial-out), sinon veuillez contacter votre fournisseur de terminal pour obtenir de l'aide sur l'utilisation du protocole de transmission non sécurisé, notamment pour cette exigence PCI DSS.
More
Less
Experience
Years of experience: 16. Registered at ProZ.com: Feb 2019.
Expertise