mercredi 8 août 2012

Une boite à outils pour définir son périmètre PCI


Une initiative intéressante de « l’Open Scoping Framework Group » qui à travers une démarche structurée et sa boite à outils vous accompagne dans la définition de votre périmètre PCI.

Les auteurs rappellent néanmoins que la démarche n’est à utiliser qu’à l’issue d’une première identification des données porteurs au sein de l’entreprise, rappelant que cette dernière doit être documentée et permettre d’identifier où les données porteurs sont conservées, transmises et traitées. Cette boite à outils peut être utilisé par les grandes et les petites avec comme différence évidente le nombre de systèmes retenus dans le périmètre PCI.
 
L’on retrouve dans la démarche proposée les grands principes d’une définition de périmètre très orientée QSAs à mon sens avec notamment une catégorisation des systèmes du périmètre PCI en fonction :
  • Du type de traitement des systèmes dans le périmètre PCI, à savoir si les systèmes traitent, stockent ou transmettent des données porteurs,
  • La fonction et le rôle des systèmes dans le périmètre PCI (exemple : système d’autorisation, d’authentification, de surveillance …),
  • La connectivité entre les systèmes et l’environnement de données porteurs.
Outre le fait que cela permettra de faciliter le travail fastidieux de la définition du périmètre, cette boite à outils ne couvre que partiellement le périmètre PCI qui doit également inclure les processus, le personnel … en charge de l’environnement de données porteurs conformément aux conditions PCI DSS.

Pour ma part c’est une initiative intéressante, également pour les QSAs car une finalité même si elle n’est pas clairement exprimée est de faciliter la rédaction du ROC (Report On Compliance) requis pour valider la conformité PCI DSS. Il est dommage cependant que le PCI SSC ne soit pas plus impliqué dans cette initiative.

La démarche va plus loin que le standard PCI DSS qui catégorisent les composants soit dans le périmètre ou soit à l’extérieur avec une notion de système connecté qui reste à l’appréciation et la compréhension du QSA de votre environnement de données porteurs. 

Afin de faciliter la définition du périmètre PCI « l’Open Scoping Framework Group » a définit trois catégories de composants, et met en évidence les différents types de risques associés à chaque catégorie. Cela permet de mettre en avant les systèmes les plus importants à protéger à travers une approche par les types de risques qu'elles posent aux données porteurs

Chaque système au sein de l'environnement informatique d'une entreprise peut être classé en une seule opération :
  • Catégorie 1 : les systèmes qui traitent, stockent et transmettent les données porteurs  ou non isolés ou limités par un accès contrôlé à partir d'autres systèmes de cette même catégorie,
  • Catégorie 2 : les systèmes qui ont un accès contrôlé aux systèmes de la catégorie 1,
  • Catégorie 3 : les systèmes isolés de tout système de la catégorie 1.

Aucun commentaire:

Publier un commentaire