Secteur de la carte de paiement (Payment Card Industry, PCI) Normes de sécurité des données (Data Security Standard, DSS)
|
|
- Valérie Cartier
- il y a 8 ans
- Total affichages :
Transcription
1 Secteur de la carte de paiement (Payment Card Industry, PCI) Normes de sécurité des données (Data Security Standard, DSS) Conditions et procédures d'évaluation de sécurité Version 2.0 Octobre 2010
2 Copyright 2010 PCI Security Standards Council LLC Page 2
3 Modifications apportées au document Version Description Pages Octobre Juillet Octobre Pour introduire les normes PCI DSS v1.2 comme «Conditions et procédure d'évaluation de sécurité PCI DSS», éliminer les redondances entre les documents, et faire des changements à la fois généraux et spécifiques à partir des procédures de vérification de sécurité PCI DSS v1.1. Pour des renseignements complets, voir le récapitulatif des changements des normes de sécurité des données PCI de la version 1.1 à la version 1.2 des normes PCI DSS. Ajouter une phrase qui a été supprimée de manière incorrecte entre les versions 1.1 et 1.2 des normes PCI DSS. Corriger «puis» par «que» dans les procédures de test a et b. 32 Retirer les marques grisées des colonnes «en» et «pas en» dans la procédure de test 6.5.b. Pour des fiches de contrôles compensatoires Exemple rempli, formulation correct en haut de page pour dire «Utiliser cette fiche pour définir les contrôles compensatoires d'une exigence notée comme «en» par les contrôles compensatoires». Mettre à jour et mettre en œuvre les changements v Pour plus de détails, consulter «PCI-DSS Récapitulatif des changements à partir des normes PCI-DSS, versions à 2.0» Copyright 2010 PCI Security Standards Council LLC Page 3
4 Table des matières Modifications apportées au document... 3 Introduction et présentation des normes de sécurité des données PCI... 6 Renseignements relatifs aux conditions d application des normes PCI DSS... 8 Relation entre PCI DSS et PA-DSS Portée de l'évaluation de conformité aux exigences PCI DSS Segmentation de réseau Sans fil Tierce partie/externalisation Échantillonnage des installations commerciales/composants du système Contrôles compensatoires Instructions et contenu du rapport sur la conformité Contenu et format du rapport Revalidation des éléments en instance Étapes de mise en conformité avec les normes PCI DSS Conditions et procédures d évaluation de sécurité détaillées des normes PCI DSS Création et gestion d un réseau sécurisé Exigence 1 : installer et gérer une configuration de pare-feu pour protéger les données de titulaire de carte Exigence 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur 26 Protection des données de titulaire de carte de crédit Exigence 3 : Protéger les données de titulaire de carte stockées Exigence 4 : Crypter la transmission des données de titulaire de carte sur les réseaux publics ouverts Gestion d un programme de gestion des vulnérabilités Exigence 5 : Utiliser des logiciels ou des programmes antivirus et les mettre à jour régulièrement Exigence 6 : Développer et gérer des systèmes et des applications sécurisés Mise en œuvre de mesures de contrôle d accès strictes Exigence 7 : Restreindre l accès aux données de titulaire de carte aux seuls individus qui doivent les connaître Exigence 8 : Affecter un ID unique à chaque utilisateur d ordinateur Exigence 9 : Restreindre l accès physique aux données de titulaire de carte Surveillance et test réguliers des réseaux Copyright 2010 PCI Security Standards Council LLC Page 4
5 Exigence 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données de titulaire de carte..61 Exigence 11 : Tester régulièrement les processus et les systèmes de sécurité Gestion d une politique de sécurité des informations Exigence 12 : Gérer une politique qui assure la sécurité des informations au niveau de l'ensemble du personnel Annexe A : Autres exigences des normes PCI DSS s appliquant aux fournisseurs d hébergement partagé Annexe B : Contrôles compensatoires Annexe C : Fiche de contrôles compensatoires Fiche de contrôles compensatoires Exemple complété Annexe D : Segmentation et échantillonnage des installations commerciales/composants système Copyright 2010 PCI Security Standards Council LLC Page 5
6 Introduction et présentation des normes de sécurité des données PCI Les normes de sécurité des données (DSS) du secteur des cartes de paiement (PCI) ont été développées pour encourager et renforcer la sécurité des données de titulaire de carte et permettre l'adoption généralisée des mesures mondiales de sécurité des données cohérentes. Les normes PCI DSS fournissent un plan de départ des exigences techniques et opérationnelles désignées pour protéger les données de titulaire de carte. Les normes PCI DSS s'appliquent à toutes les entités impliquées dans le processus de carte de paiement comme les commerçants, les processeurs, les acquéreurs, les émetteurs et les prestataires de services ainsi que toute autre entité qui stocke, traite ou transmet des données de titulaire de carte. Les normes PCI DSS consistent en un ensemble minimum d'exigences pour la protection des données de titulaires de carte, et peuvent être améliorées par des contrôles et pratiques suppléme pour atténuer davantage les risques. Ci-dessous se trouve une présentation de haut niveau des 12 exigences des normes PCI DSS. Ce document, Conditions et procédures d'évaluation des normes de sécurité des données PCI, combine les 12 exigences PCI DSS et les procédures de test correspondantes dans un outil d'évaluation de sécurité. Il est conçu pour être utilisé lors des évaluations de conformité aux normes PCI DSS comme partie du processus du test de validation de la conformité d'une entité. Les sections suivantes fournissent des directives détaillées et les meilleures pratiques pour aider les entités à se préparer pour conduire et reporter les résultats d'une évaluation PCI DSS. Les conditions et procédures de test des normes PCI DSS commencent à la page 19. Copyright 2010 PCI Security Standards Council LLC Page 6
7 Le site Web du Conseil des normes de sécurité du secteur des cartes de paiement (PCI DSS) ( contient un certain nombre de ressources suppléme comme : l'attestation de conformité; Parcourir les normes PCI DSS : comprendre l objectif des exigences; le glossaire des termes, abréviations et acronymes des normes PCI DSS et PA- DSS; la foire aux questions (FAQ); les suppléments d'information et les directives. Remarque : des suppléments d'information complètent les normes PCI DSS et identifient les considérations et recommandations suppléme pour satisfaire les exigences des normes PCI DSS; ils ne changent, éliminent ni ne remnt les normes PCI DSS ou l'une de leurs exigences. Se reporter au site pour plus de renseignements. Copyright 2010 PCI Security Standards Council LLC Page 7
8 Renseignements relatifs aux conditions d application des normes PCI DSS Les normes PCI DSS s'appliquent partout où des données de compte sont stockées, traitées ou transmises. Les données de compte se composent des données de titulaire de carte et des données d'authentification sensibles, comme suit : Les données du titulaire de carte comprennent : le numéro de compte principal (Primary Account Number, PAN) le nom du titulaire de carte; la date d'expiration; le code de service. Les données d'authentification sensibles comprennent : des données de bande magnétique complètes ou équivalentes sur une puce; les CAV2/CVC2/CVV2/CID; les codes/blocs NIP Le numéro de compte principal (PAN) est le facteur déterminant des conditions d'application des exigences PCI DSS. Les exigences PCI DSS sont applicables si le PAN est stocké, traité ou transmis. Si le PAN n'est pas stocké, traité ou transmis, les exigences PCI DSS ne s'appliquent pas. Si le nom du titulaire de carte, le code de service, et/ou la date d'expiration sont stockés, traités ou transmis avec le PAN, ou sont par ailleurs présents dans l'environnement des données du titulaire de carte, ils doivent être protégés conformément à toutes les exigences PCI DSS excepté les exigences 3.3 et 3.4, qui s'appliquent uniquement au PAN. Les normes PCI DSS représente un ensemble minimum d'objectifs de contrôle qui peuvent être améliorés par des lois et règlements locaux, régionaux ou de secteur. En outre, les exigences de la législation ou la réglementation peuvent exiger une protection spécifique des renseignements identifiables personnels ou d'autres éléments de données (par exemple, le nom du titulaire de carte), ou définir des pratiques de divulgation d'une entité relatives aux renseignements des consommateurs. Les exemples comprennent la législation relative à la protection des données des consommateurs, à la vie privée, au vol d'identité, ou à la sécurité des données. Les normes PCI DSS ne remnt pas les lois locales ou régionales, les réglementations gouvernementales ou d'autres exigences légales. Le tableau suivant présente des éléments couramment utilisés de données de titulaire de carte et d authentification sensibles, et indique si le stockage de chaque élément est autorisé ou interdit, et précise si chaque élément de données doit être protégé. Ce tableau n'est pas exhaustif, mais il est présenté de manière à illustrer les divers types d'exigences qui s'appliquent à chaque élément de données. Copyright 2010 PCI Security Standards Council LLC Page 8
9 Données de compte Données de titulaire de carte de crédit Données d authentification sensibles 1 Élément de données Numéro de compte principal (PAN) Stockage autorisé Oui Rendre les données de compte stockées illisibles selon l'exigence 3.4 Oui Nom du titulaire de carte Oui Non Code de service Oui Non d'expiration Oui Non Données de bande magnétique complètes 2 Non Ne peut pas stocker selon l'exigence 3.2 CAV2/CVC2/CVV2/CID Code/bloc PIN Non Non Ne peut pas stocker selon l'exigence 3.2 Ne peut pas stocker selon l'exigence 3.2 Les exigences 3.3 et 3.4 des normes PCI DSS s'appliquent uniquement au PAN. Si le PAN est stocké avec d'autres éléments de données du titulaire de carte, seul le PAN doit être rendu illisible selon l'exigence 3.4 des normes PCI DSS. Les normes PCI DSS s'appliquent uniquement si les PAN sont stockés, traités et/ou transmis. 1 Les données d'authentification sensibles ne doivent plus être stockées après autorisation (même si elles sont cryptées). 2 2 Données de piste complètes extraites de la bande magnétique, de données équivalentes sur la puce, ou d un autre support. 2 Copyright 2010 PCI Security Standards Council LLC Page 9
10 Relation entre PCI DSS et PA-DSS L'utilisation d'une application conforme à la norme PA-DSS par elle-même n'en fait pas une entité conforme aux normes PCI DSS, car cette application doit être mise en œuvre dans un environnement conforme aux normes PCI DSS et conformément au Guide de mise en œuvre de la norme PA-DSS proposé par le fournisseur d'applications de paiement (conformément l'exigence 13.1 de la norme PA-DSS). Les exigences de la norme PA-DSS (Payment Application Data Security Standard, normes de sécurité des données d'applications de paiement) sont issues des conditions et procédures d évaluation de sécurité des normes PCI DSS(ce document). La norme PA-DSS Error! Hyperlink reference not valid.détaille ce qu'une application de paiement doit prendre en charge pour permettre la conformité aux normes PCI DSS d'un client. Les applications de paiement sécurisées, lorsqu'elles sont mises en œuvre dans un environnement conforme aux normes PCI DSS, réduisent autant que possible le risque de voir les failles de sécurité compromettre les données de bande magnétique complètes, les codes et valeurs de vérification de carte (CAV2, CID, CVC2, CVV2), les codes et les blocs NIP, ainsi que la fraude résultant de ces failles. Seules certaines des applications de paiement peuvent empêcher la conformité, comme : le stockage des données de bande magnétique et/ou de données équivalentes provenant de la puce sur le réseau du client après autorisation; les applications nécessitant que les clients désactivent d'autres fonctions exigées par les normes PCI DSS, comme les programmes antivirus ou les pare-feu, afin que l'application de paiement fonctionne correctement; l'utilisation des fournisseurs de méthodes non sécuritaires pour connecter une application afin de fournir une assistance au client. La norme PA-DSS s'applique aux fournisseurs de logiciels et autres qui développent des applications de paiement qui stockent, traitent ou transmettent des données de titulaire de carte dans le cadre d'une autorisation ou d'un règlement, lorsque ces applications de paiement sont vendues, distribuées ou cédées sous licence à des parties tierces. Noter ce qui suit concernant les conditions d'application de la norme PA-DSS : la norme PA-DSS s'applique aux applications de paiement généralement vendues «prêtes à l'emploi» sans modification apportée par les fournisseurs de logiciels; la norme PA-DSS ne s'applique pas aux applications de paiement développées par des commerçants et des prestataires de services si elles sont utilisées en interne uniquement (non vendues, distribuées ou cédées sous licence à une partie tierce), puisque de telles applications de paiement doivent être couvertes dans le cadre de la conformité normale du prestataire de services aux PCI DSS. Pour des directives détaillées sur la manière de déterminer si la norme PA-DSS s'applique à une application de paiement donnée, se reporter aux conditions et procédures d'évaluation de sécurité PCI DSS, qui peuvent être trouvées à l'adresse Copyright 2010 PCI Security Standards Council LLC Page 10
11 Portée de l'évaluation de conformité aux exigences PCI DSS Les exigences de sécurité des normes PCI DSS s'appliquent à tous les composants du système. Dans le contexte des normes PCI DSS, les «composants du système» sont définis comme les composants de réseau, de serveur ou d'application qui sont compris dans ou connectés à l'environnement des données de titulaire de carte. Les «composants du système» comprennent également les composants de virtualisation comme les machines virtuelles, les commutateurs/routeurs virtuels, les appareils virtuels, les applications/bureaux virtuels, et les hyperviseurs. L'environnement des données de titulaire de carte est composé de personnes, processus et technologies qui stockent, traitent ou transmettent des données de titulaires de cartes ou des données d'authentification sensibles. Les composants du réseau peuvent comprendre, mais sans s'y limiter, les pare-feu, les commutateurs, les routeurs, les points d accès sans fil, les équipements de réseau et d'autres appareils de sécurité. Les types de serveurs comprennent, mais sans s'y limiter, les éléments suivants : le Web, l'application, la base de données, l authentification, le courriel, les serveurs proxy, le protocole de synchronisation réseau (Network Time Protocol, NTP) et le serveur de noms de domaine (DNS). Les applications comprennent toutes les applications achetées et personnalisées, y compris les applications internes et externes (par exemple, Internet). La première étape de l'évaluation PCI DSS est de déterminer avec précision la portée de la vérification. Au moins chaque année et avant l'évaluation annuelle, les entités évaluées doivent confirmer l'exactitude de la portée des normes PCI DSS en identifiant tous les emments et flux de données de titulaire de carte et en s'assurant qu'ils sont compris dans cette portée. Pour confirmer l'exactitude et la pertinence de la portée des normes PCI DSS, procéder comme suit : L'entité évaluée identifie et documente l'existence de toutes les données de titulaire de carte dans leur environnement, pour vérifier qu'aucune donnée de titulaire de carte n'existe en dehors de l'environnement de données de titulaire de carte (CDE) défini. Une fois que tous les emments des données de titulaire de carte sont identifiés et documentés, l'entité utilise les résultats pour vérifier que la portée des normes PCI DSS est approprié (par exemple, les résultats peuvent être un schéma ou un inventaire des emments des données de titulaire de carte). L'entité considère les données de titulaire de carte se trouvant dans la portée de l'évaluation PCI DSS et dans le cadre du CDE sauf si de telles données sont supprimées ou déplacées/consolidées dans le CDE défini actuellement. L'entité conserve la documentation qui montre comment la portée des normes PCI DSS a été confirmée et les résultats, pour l'examen de l'évaluateur et/ou pour référence lors de la prochaine activité de confirmation de la portée des normes PCI DSS annuelle. Segmentation de réseau La segmentation de réseau, ou l'isolement (segmentation), de l'environnement des données de titulaire de carte depuis le reste du réseau de l'entité n'est pas une exigence PCI DSS. Cependant, elle est fortement recommandée comme méthode pouvant réduire : la portée de l'évaluation PCI DSS; le coût de l'évaluation PCI DSS; le coût et la difficulté de la mise en œuvre et de la gestion des contrôles PCI DSS; Copyright 2010 PCI Security Standards Council LLC Page 11
12 le risque pour une organisation (réduit par la consolidation des données de titulaire de carte dans le moins d'endroits possible et mieux contrôlés). Sans segmentation du réseau adéquate (parfois nommé «réseau plat»), le réseau entier se trouve dans la portée de l'évaluation PCI DSS. La segmentation du réseau peut être réalisée à travers un nombre de significations physiques ou logiques, comme des pare-feu de réseau internes configurés correctement, des routeurs ayant des listes de contrôles d'accès performants, ou d'autres technologies qui restreignent l'accès à un segment particulier d'un réseau. Une condition préalable à la réduction de la portée de l'environnement des données de titulaire de carte est une compréhension claire des besoins de l'activité et des processus relatifs au stockage, au traitement ou à la transmission des données de titulaire de carte. La restriction des données de titulaire de carte dans le moins d'endroits possibles par l'élimination des données non nécessaires, et la consolidation des données nécessaires, peut exiger la réingénierie de pratiques commerciales de longue date. La documentation des flux de données de titulaire de carte par un schéma de flux de données aide à comprendre entièrement tous les flux de données de titulaire de carte et assure que les segmentations de réseau sont efficaces pour l'isolement de l'environnement des données de titulaire de carte. Si une segmentation de réseau est en et est utilisée pour réduire la portée de l'évaluation PCI DSS, l'évaluateur doit vérifier que la segmentation est adéquate pour réduire cette portée. À un haut niveau, une segmentation réseau adéquate isole les systèmes qui stockent, traitent ou transmettent les données de titulaire de carte de ceux qui ne le font pas. Cependant, l'adéquation d'une mise en œuvre spécifique d'une segmentation de réseau est hautement variable et dépend d'un certain nombre de facteurs, comme une configuration de réseau donnée, les technologies déployées, et des autres contrôles qui peuvent être mis en œuvre. L'Annexe D : Segmentation et échantillonnage des installations commerciales/composants du système fournit davantage de renseignements sur les effets d'une segmentation de réseau et d'un échantillonnage sur la portée de l'évaluation PCI DSS. Sans fil Si une technologie sans fil est utilisée pour stocker, traiter ou transmettre des données de titulaire de carte (par exemple, des transactions en point de vente, ou l'enregistrement des données en situation de mobilité, dit «line-busting»), ou si un réseau local sans fil (WLAN) est connecté à, ou fait partie de l'environnement des données de titulaire de carte (par exemple, parce qu'il n'est pas clairement séparé par un pare-feu), les exigences et procédures de test PCI DSS pour des environnements sans fil s'appliquent et doivent être mises en œuvre (par exemple, les exigences 1.2.3, et 4.1.1). Avant qu'une technologie sans fil soit mise en œuvre, une entité doit évaluer soigneusement la nécessité de la technologie par rapport aux risques. Envisager le déploiement d'une technologie sans fil uniquement pour la transmission des données nonsensibles. Tierce partie/externalisation Pour les prestataires de services devant se soumettre à une évaluation annuelle sur site, une validation de la conformité doit être réalisée sur tous les composants du système dans l'environnement des données de titulaire de carte. Copyright 2010 PCI Security Standards Council LLC Page 12
13 Un prestataire de services ou un commerçant peut faire appel à un prestataire de services tiers pour stoker, traiter ou transmettre des données de titulaire de carte en son nom, ou pour gérer des composants comme des routeurs, des pare-feu, des bases de données, la sécurité physique, et/ou des serveurs. Si c'est le cas, il peut exister un impact sur la sécurité de l'environnement des données de titulaire de carte. En ce qui concerne les entités qui externalisent leur stockage, traitement ou transmission de données de titulaire de carte à des fournisseurs de service tiers, le rapport sur la conformité (ROC) doit renseigner le rôle de chaque fournisseur de service, en identifiant clairement quelles exigences s'appliquent aux entités évaluées et celles qui s'appliquent au prestataire de services. Deux options se présentent aux prestataires de services tiers pour valider la conformité : 1) Ils peuvent se soumettre d'eux-mêmes à une évaluation PCI DSS et fournir des justificatifs à leurs clients pour démontrer leur conformité. 2) S'ils ne se soumettent pas d'eux-mêmes à une évaluation PCI DSS, ils devront faire examiner leurs services lors de chacune des évaluations PCI DSS de leurs clients. Voir le point commençant par «Pour les vérifications auprès des prestataires de services gérés (MSP)», dans l'élément 3, «Détails concernant l'environnement évalué», dans la section «Instructions et contenu pour le Rapport sur la conformité» ci-dessous, pour plus de renseignements. En outre, les commerçants et prestataires de services doivent gérer et surveiller la conformité PCI DSS de tous les prestataires de services tiers associés ayant un accès aux données de titulaire de carte. Se reporter à l'exigence 12.8 de ce document pour les détails. Échantillonnage des installations commerciales/composants du système L'échantillonnage n'est pas une exigence PCI DSS. Toutefois, après avoir examiné la portée globale et la complexité de l'environnement en cours d'évaluation, l'évaluateur peut sélectionner indépendamment des échantillons représentatifs des installations commerciales/composants du système afin d'évaluer les exigences PCI DSS. Ces échantillons peuvent être définis dans un premier temps pour les installations commerciales, puis pour les composants du système au sein de chaque installation commerciale. Les échantillons doivent être une sélection représentative de tous les types et emments d'installations commerciales, ainsi que des types de composants système au sein des installations commerciales sélectionnées. Les échantillons doivent être suffisamment larges pour fournir à l'évaluateur l'assurance que les contrôles ont été réalisés comme prévu. L'échantillonnage des installations commerciales/composants du système pour une évaluation ne doit pas réduire la portée de l'environnement des données de titulaire de carte ou des conditions d'application des exigences PCI DSS. Que l'échantillonnage soit utilisé ou non, les exigences PCI DSS s'appliquent à l'environnement des données de titulaire de carte entier. Si l'échantillonnage est utilisé, chaque échantillon doit être évalué par rapport à toutes les exigences PCI DSS applicables. L'échantillonnage des exigences PCI DSS elles-mêmes n'est pas permis. Des exemples d'installations commerciales comprennent, mais sans s'y limiter : des bureaux d'entreprise, des magasins, des magasins franchisés, des installations de traitement, des centres de données, et d'autres types d'installation dans différents endroits. L'échantillonnage doit comprendre des composants du système au sein de chaque installation commerciale sélectionnée. Par exemple, pour chaque installation commerciale sélectionnée, comprendre une variété de systèmes d'exploitation, de fonctions et d'applications qui sont applicables à la zone sous vérification. À titre d'exemple, l'évaluateur peut définir un échantillon d'une installation commerciale pour comprendre des serveurs Sun fonctionnant sous Apache WWW, des serveurs Windows fonctionnant sous Oracle, des systèmes mainframe fonctionnant sous des applications de traitement de carte existantes, des serveurs de transfert de données fonctionnant sous HP-UX, ainsi que des serveurs Linux fonctionnant sous MYSQL. Si Copyright 2010 PCI Security Standards Council LLC Page 13
14 toutes les applications fonctionnent à partir d'une seule version d'un système d'exploitation (par exemple, Windows 7 ou Solaris 10), l'échantillon doit néanmoins comporter une multiplicité d'applications (par exemple, des serveurs de base de données, des serveurs Web, des serveurs de transfert de données). Lorsque les évaluateurs sélectionnent indépendamment des échantillons d'installations commerciales/composants du système, ils doivent prendre en compte ce qui suit : S'il existe des processus et contrôles opérationnels et de sécurité PCI DSS centralisés standards en qui assurent la cohérence et auxquels chaque installation commerciale/composant système doit se conformer, l'échantillon peut être plus petit que s'il n'existe pas de processus/contrôles en. L'échantillon doit être suffisamment important pour fournir à l'évaluateur l'assurance nécessaire que toutes les installations commerciales ou tous les composants du système sont configurés selon les processus standards. S'il existe plus d'un type de processus opérationnel et/ou de sécurité standards en (par exemple, pour différents types d'installations commerciales ou de composants du système), l'échantillon doit être suffisamment important pour comprendre des installations commerciales/composants du système sécurisés avec chaque type de processus. S'il n'existe pas de processus ou de contrôle standards en PCI DSS et que chaque installation commerciale et composant du système sont gérés par des processus non standards, l'échantillon doit être plus important pour que l'évaluateur soit assuré que chaque installation commerciale/composant du système met en œuvre les exigences de la norme PCI DSS de manière appropriée. Pour chaque cas où l'échantillon est utilisé, l'évaluateur doit : documenter la justification de la technique d'échantillonnage et la taille de l'échantillon; documenter et valider les processus et contrôles standardisés aux normes PCI DSS, utilisés pour déterminer la taille de l'échantillon; expliquer comment l'échantillon est approprié et représentatif de la population globale. Les évaluateurs doivent valider de nouveau la justification de l'échantillonnage pour chaque évaluation. Si un échantillonnage est utilisé, différents échantillons d'installations commerciales et de composants du système doivent être sélectionnés pour chaque évaluation. Contrôles compensatoires Sur une base annuelle, tous les contrôles compensatoires doivent être documentés, révisés et validés par l'évaluateur et joints à la soumission du Rapport sur la conformité, comme indiqué en Annexe B : Contrôles compensatoires et en Annexe C : Fiche de contrôles compensatoires. Pour chacun des contrôles compensatoires, la fiche de contrôle compensatoire (Annexe C) doit être complétée. En outre, les résultats des contrôles compensatoires doivent être documentés dans le rapport sur la conformité dans la section correspondant à l'exigence de la norme PCI DSS. Voir les Annexes B et C mentionnées ci-dessus pour plus de renseignements sur les «contrôles compensatoires». Se reporter également à : Annexe D : Segmentation et échantillonnage des installations commerciales/composants du système. Copyright 2010 PCI Security Standards Council LLC Page 14
15 Instructions et contenu du rapport sur la conformité Ce document doit être utilisé comme modèle pour la création du rapport sur la conformité. L'entité évaluée doit suivre les exigences de rapport respectives de chaque marque de carte de paiement pour garantir que chaque marque de carte de paiement reconnaît le statut de conformité de l'entité. Contacter chaque marque de carte de paiement pour déterminer les exigences de rapport et les instructions. Contenu et format du rapport Suivre ces instructions pour le contenu et le format du rapport en complétant le rapport sur la conformité : 1. Résumé Inclure les éléments suivants : Décrire l'activité de carte de paiement de l'entité, y compris : - son rôle commercial avec les cartes de paiement, c'est-à-dire comment et pourquoi elle stocke, traite et/ou transmet des données de titulaire de carte; Remarque : cela ne doit pas être un couper-coller sur le site Web de l'entité, mais doit être une description sur mesure qui montre que l'évaluateur comprend le paiement et le rôle de l'entité. - comment elle traite le paiement (directement, indirectement, etc.); - quels types de chaînes de paiement elle dessert, comme les transactions avec carte absente (par exemple, commande par courriel ou par téléphone [CCTC], commerce électronique) ou avec carte présente; - toutes les entités qui se connectent pour une transmission ou un traitement de paiement, y compris les relations processeurs. Un schéma de réseau de haut niveau (obtenu de l'entité ou crée par l'évaluateur) de la topographie des réseaux de l'entité qui comprend : - les connexions internes et externes du réseau; - les composants essentiels au sein de l'environnement des données de titulaire de carte, comprenant des dispositifs points de vente, des systèmes, des bases de données, et des serveurs Web, le cas échéant; - d'autres composants de paiement, le cas échéant. Copyright 2010 PCI Security Standards Council LLC Page 15
16 2. Description de la portée des travaux et de l'approche adoptée Décrire la portée, conformément à la section Portée de l'évaluation, y compris ce qui suit : Documenter la manière dont l'évaluateur a validé la précision de la portée des normes PCI DSS pour l'évaluation, y compris : - les méthodes ou processus utilisés pour identifier et documenter toutes les existences des données de titulaire de carte; - la manière dont les résultats ont été évalués et documentés; - la manière dont l'efficacité et la précision des méthodes utilisées ont été vérifiées; - que l'évaluateur valide le fait que la portée de l'évaluation est exacte et appropriée. L'environnement sur lequel l'évaluation est axée (par exemple, les points d'accès Internet du client, le réseau interne de l'entreprise, les connexions de traitements) Si la segmentation de réseau est en et a été utilisée pour réduire la portée de la vérification PCI DSS, expliquer brièvement la segmentation et la manière dont l'évaluateur a validé son efficacité. Si un échantillonnage est utilisé lors de l'évaluation, pour chaque ensemble d'échantillons sélectionné (d'installations commerciales/composants du système), documenter ce qui suit : - la population totale; - le nombre échantillonné; - la justification de l'échantillon sélectionné; - la description des processus et contrôles opérationnels et de sécurité PCI DSS standardisés utilisés pour déterminer la taille de l'échantillon, et comment les processus/contrôles ont été validés; - à quel point l'échantillon est approprié et représentatif de la population globale; - la description des emments ou environnements qui stockent, traitent ou transmettent des données de titulaire de carte, EXCLUS de la portée de la vérification, et pourquoi ils l'ont été. Répertorier les entités à part entière qui exigent une conformité aux normes PCI DSS, et si elles ont été examinées séparément ou dans le cadre de l'évaluation. Répertorier toutes les entités internationales qui exigent une conformité aux normes PCI DSS, et si elles ont été examinées séparément ou dans le cadre de l'évaluation. Répertorier tous les réseaux locaux et/ou toutes les applications de paiement sans fil (par exemple, les terminaux points de vente) qui sont connectés à l'environnement des données de titulaire de carte, ou pourraient avoir un impact sur sa sécurité, et décrire la sécurité en pour ces environnements sans fil. La version du document Conditions et procédures d'évaluation de sécurité PCI DSS utilisée pour conduire l'évaluation. Copyright 2010 PCI Security Standards Council LLC Page 16
17 3. Détails concernant l'environnement examiné Joindre les détails suivants dans cette section : Un schéma de chaque élément de la liaison de communication, notamment un LAN, un WAN ou une connexion Internet. Une description de l'environnement des données de titulaire de carte, par exemple : - documenter la transmission et le traitement des données de titulaire de carte, y compris l'autorisation, la capture, le règlement, rejet de débit, et d'autres flux le cas échéant; - une liste des fichiers et tableaux qui stockent les données de titulaire de carte, prises en charge par un inventaire créé (ou obtenu de la part du client) et conservé par l'évaluateur dans les documents de travail. Cet inventaire doit comprendre, pour chaque donnée de titulaire de carte stockée (fichier, tableau, etc.) : une liste de tous les éléments des données de titulaire de carte stockées; la méthode de sécurisation des données; la méthode de journalisation de l'accès au stockage de données. Une liste du matériel et des logiciels essentiels en usage dans l'environnement des données de titulaire de carte, ainsi qu'une description de la fonction/utilisation de chacun d'eux. Une liste des prestataires de services et autres tiers avec qui l'entité partage des données de titulaire de carte. Remarque : ces entités sont assujetties à l'exigence 12.8 des normes PCI DSS. Une liste des produits d'application de paiement de tiers et des numéros de versions en usage, notamment si chaque application de paiement a été validée conformément à la norme PA-DSS. Même si une application de paiement a été validée comme conforme à la norme PA-DSS, l'évaluateur doit encore vérifier que l'application a été mise en œuvre de manière, et dans un environnement, conformes aux normes PCI DSS, et conformément au Guide de mise en œuvre de la norme PA-DSS du fournisseur d'applications de paiement. Remarque : l'utilisation d'applications validées conformes à la norme PA-DSS n'est pas une exigence des normes PCI DSS. Consulter chaque marque de carte de paiement individuellement pour comprendre leurs exigences PA-DSS. Une liste des individus interrogés, leurs organisations, leurs titres et les sujets couverts. Liste de la documentation vérifiée Pour les examens des prestataires de services gérés (MSP), l'évaluateur doit clairement identifier quelles exigences de ce document s'appliquent au MSP concerné (et sont prises en compte dans la vérification), et celles qui ne sont pas comprises dans la vérification, et qu'il incombe aux clients du MSP de joindre dans leurs vérifications. Joindre les renseignements concernant les adresses IP du MSP faisant l'objet d'une analyse dans le cadre des analyses de vulnérabilité trimestrielles du MSP, et indiquer les adresses IP qu'il incombe aux clients du MSP de joindre dans leurs propres analyses trimestrielles. Copyright 2010 PCI Security Standards Council LLC Page 17
18 4. Coordonnées et date du rapport Joindre : les coordonnées des commerçants ou prestataires de services et de l'évaluateur; le calendrier d'évaluation préciser la durée et la période auxquelles l'évaluation a lieu; la date du rapport. 5. Résultats de l'analyse trimestrielle Récapituler les quatre résultats d'analyses ASV (prestataire de services d'analyse agréé) trimestrielles les plus récents dans le résumé ainsi que dans les comme de l'exigence Remarque : il n'est pas nécessaire que quatre analyses trimestrielles soient réalisées pour la conformité aux normes PCI DSS initiale si l'évaluateur vérifie que : 1) le plus récent résultat d'analyse a été une analyse réussie, 2) l'entité a documenté les politiques et procédures nécessitant une analyse trimestrielle, 3) les vulnérabilités notées dans l'analyse initiale ont été corrigées, comme confirmé par une nouvelle analyse. Lors des années suivant la vérification PCI DSS initiale, quatre analyses trimestrielles doivent être réalisées. L'analyse doit couvrir toutes les adresses IP accessibles depuis l'extérieur (interface Internet) existant chez l'entité, conformément au Guide du programme du prestataire de services d'analyses agréé (ASV) de PCI. 6. Conclusions et observations Récapituler dans le résumé les conclusions qui pourraient ne pas être compatibles avec le format du modèle standard de rapport sur la conformité. Tous les évaluateurs doivent : utiliser le modèle détaillé des conditions et procédures de sécurité PCI DSS pour fournir des descriptions et des conclusions de rapport détaillé sur chaque exigence et section d'une exigence; s'assurer que toutes les réponses sans objet (S.O.) sont clairement expliquées; examiner et documenter les contrôles compensatoires envisagés pour conclure qu'un contrôle est en. Voir la section«contrôles compensatoires» ci-dessus et les annexes B et C pour plus de détails concernant les contrôles compensatoires. Revalidation des éléments en instance Un rapport de «contrôles en» est nécessaire pour vérifier la conformité. Le rapport est considéré non conforme s'il contient des «éléments en instance», ou des éléments qui se termineront à une date ultérieure. Le commerçant/prestataire de services doit traiter ces éléments avant la fin de la validation. Une fois que des éléments ouverts sont traités par le commerçant/prestataire de services, l'évaluateur doit alors réévaluer pour valider la correction et garantir que toutes les exigences ont été satisfaites. Après la revalidation, l'évaluateur émet un nouveau rapport sur la Copyright 2010 PCI Security Standards Council LLC Page 18
19 conformité, vérifiant que l'environnement des données de titulaires de carte est entièrement conforme, et le soumet conformément aux instructions (voir ci-dessous). Étapes de mise en conformité avec les normes PCI DSS 1. Remplir le rapport sur la conformité (ROC) conformément à la section ci-dessus intitulée «Instructions et contenu du rapport sur la conformité». 2. S'assurer qu'une ou plusieurs analyses réussies des vulnérabilités ont été réalisées par un prestataire de services d analyse agréé (ASV) par le PCI SSC et se procurer des preuves de l exécution de ces analyses auprès de l'asv. 3. Remplir l'attestation de conformité pour les prestataires de services ou les commerçants, le cas échéant, dans son intégralité. Les attestations de conformité sont disponibles sur le site Web du PCI SSC ( 4. Envoyez le ROC, le justificatif d analyse réussie et l attestation de conformité, avec un quelconque autre document requis, à l'acquéreur (pour les commerçants) ou à la marque de carte de paiement ou à tout autre demandeur (pour les prestataires de services). Copyright 2010 PCI Security Standards Council LLC Page 19
20 Conditions et procédures d évaluation de sécurité détaillées des normes PCI DSS Pour les conditions et procédures de sécurité PCI DSS, l'élément suivant définit les en-têtes de colonnes du tableau : Exigences PCI DSS Cette colonne définit les normes de sécurités des données et répertorie les exigences de conformité aux normes PCI DSS; la conformité sera validé en fonction de ces exigences. Procédures de test Cette colonne montre les processus à suivre par l'évaluateur afin de valider que les exigences PCI DSS sont «en». En Cette colonne doit être utilisée par l'évaluateur pour fournir une brève description des contrôles qui ont été validés comme «en» pour chaque exigence, y compris des descriptions de contrôles jugés en à la suite de contrôles compensatoires ou à la suite d'une exigence «Sans objet». Remarque : cette colonne ne doit pas être utilisée pour des contrôles qui ne sont pas encore en ou pour des éléments en instance à terminer à une date future. Cette colonne doit être utilisée par l'évaluateur pour fournir une brève description des contrôles qui ne sont pas en. Noter qu'un rapport non conforme ne doit pas être soumis à une marque de carte de paiement ou à un acquéreur, sauf sur demande spécifique. Pour plus de renseignements sur les rapports non conformes, se reporter aux attestations de conformité disponibles sur le site Web du PCI SSC ( Pour ces contrôles qui ne sont «pas en», l'évaluateur peut indiquer une date cible à laquelle le commerçant ou le prestataire de services doivent avoir ces contrôles «en». Des notes ou comme suppléme peuvent également être joints ici. Copyright 2010 PCI Security Standards Council LLC Page 20
21 Création et gestion d un réseau sécurisé Exigence 1 : installer et gérer une configuration de pare-feu pour protéger les données de titulaire de carte Les pare-feu sont des dispositifs qui contrôlent le trafic autorisé d'un ordinateur entre les réseaux d'une entité (internes) et les réseaux non approuvés (externes), ainsi que le trafic entrant et sortant dans des zones plus sensibles du réseau interne approuvé d'une entité. L'environnement des données de titulaire de carte est un exemple de zone plus sensible au sein du réseau approuvé d'une entité. Un pare-feu examine l'ensemble du trafic réseau et bloque les transmissions qui ne satisfont pas aux critères de sécurité définis. Tous les systèmes doivent être protégés contre les accès non autorisés depuis des réseaux non approuvés, que ce soit en entrée du système par Internet, comme le commerce électronique, l'accès des employés à Internet à partir de leurs navigateurs, l'accès des employés à la messagerie électronique, les connexions dédiées telles que les connexions interentreprises, ou par les réseaux sans fil ou d'autres sources. Les chemins d'accès de/vers des réseaux non approuvés, en apparence insignifiants, peuvent souvent constituer des chemins d'accès non protégés à des systèmes critiques. Les pare-feu sont des mécanismes de protection essentiels sur un réseau informatique. D'autres composants du système peuvent fournir une fonctionnalité pare-feu, à condition qu'ils respectent les exigences minimales pour les parefeu comme prévu dans l'exigence 1. Lorsque d'autres composants du système sont utilisés au sein d'un environnement de données de titulaire de carte pour fournir une fonctionnalité de pare-feu, ces dispositifs doivent être compris dans la portée et l'évaluation de l'exigence 1. Exigences PCI DSS Procédures de test En 1.1 Définir des normes de configuration des pare-feu et des routeurs, y compris ce qui suit : Processus formel d'approbation et de test de toutes les connexions réseau et des changements apportés aux configurations des pare-feu et des routeurs Schéma du réseau actuel indiquant toutes les connexions aux données de titulaire de carte, notamment tous les réseaux sans fil Exigences d'un pare-feu au niveau de chaque connexion Internet et entre une zone démilitarisée (DMZ) et 1.1 Obtenir et inspecter les normes de configuration des pare-feu et des routeurs et toute autre documentation spécifiée ci-dessous pour vérifier que les normes sont remplies. Remplir les éléments suivants : Vérifier qu'il existe un processus formel d'approbation et de test de toutes les connexions réseau et des changements apportés aux configurations des pare-feu et des routeurs a Vérifier qu'un schéma de réseau actuel (par exemple, montrant les flux de données de titulaire de carte sur le réseau) existe et qu'il documente toutes les connexions aux données de titulaire de carte, y compris les réseaux sans fil b Vérifier que le schéma est tenu à jour a Vérifier que les normes de configuration des pare-feu comprennent les exigences d'un pare-feu à chaque connexion Internet et entre une DMZ et la zone de réseau interne. Copyright 2010 PCI Security Standards Council LLC Page 21
22 Exigences PCI DSS Procédures de test En la zone de réseau interne Description des groupes, des rôles et des responsabilités pour la gestion logique des composants de réseau Documentation et justification professionnelle de l'utilisation de tous les services, protocoles et ports autorisés, y compris la documentation des fonctions de sécurité mises en œuvre pour les protocoles considérés comme étant non sécurisés. Des exemples de services, protocoles, ou ports non sécurisés comprennent, mais sans s'y limiter, FTP, Telnet, POP3, IMAP et SNMP Exigence d'un examen des règles des pare-feu et des routeurs au moins tous les six mois 1.2 Établir des configurations de pare-feu et de routeurs qui restreignent les connexions entre les réseaux non approuvés et les composants du système dans l'environnement des données de titulaire de carte. Remarque : un «réseau non approuvé» est un réseau externe aux réseaux appartenant à l entité sous investigation et/ou qui n est pas sous le contrôle ou la gestion de l entité Restreindre le trafic entrant et sortant au trafic nécessaire à l'environnement des données de b Vérifier que le schéma de réseau actuel est cohérent avec les normes de configuration de pare-feu Vérifier que les normes de configuration des pare-feu et des routeurs comprennent une description des groupes, des rôles et des responsabilités pour la gestion logique des composants de réseau a Vérifier que les normes de configuration des pare-feu et des routeurs comprennent une liste documentée des services, protocoles et ports nécessaires à l'activité par exemple, le protocole de transfert hypertexte (HTTP), le protocole SSL, le protocole SSH, et les protocoles de réseaux privés virtuels (VPN) b Identifier les services, protocoles et ports autorisés non sécurisés et vérifier qu'ils sont nécessaires et que les fonctions de sécurité sont documentées et mises en œuvre, en inspectant les normes de configuration des pare-feu et des routeurs et les paramétrages pour chaque service a Vérifier que les normes de configuration des pare-feu et des routeurs exigent un examen des règles des pare-feu et des routeurs au moins tous les six mois b Obtenir et examiner la documentation pour vérifier que les règles sont examinées au moins tous les six mois. 1.2 Examiner les configurations de pare-feu et de routeurs pour vérifier que les connexions sont restreintes entre les réseaux non approuvés et les composants du système dans l'environnement des données de titulaire de carte, comme suit : a Vérifier que le trafic entrant et sortant est restreint au trafic nécessaire à l'environnement des données de titulaire de carte, et que ces restrictions sont documentées. Copyright 2010 PCI Security Standards Council LLC Page 22
23 Exigences PCI DSS Procédures de test En titulaire de carte Sécuriser et synchroniser les fichiers de configuration des routeurs Installer des pare-feu de périmètre entre les réseaux sans fil et l environnement des données de titulaire de carte, et configurer ces parefeu pour refuser ou contrôler le trafic (si celui-ci est nécessaire à des fins professionnelles) de l environnement sans fil vers l environnement des données de titulaire de carte. 1.3 Interdire l'accès public direct entre Internet et les composants du système dans l'environnement des données de titulaire de carte Mettre en œuvre une DMZ pour limiter le trafic entrant aux seuls composants du système qui fournissent les services, les protocoles, et les ports autorisés accessibles au public Limiter le trafic Internet entrant aux adresses IP dans la zone démilitarisée N'autoriser aucune connexion directe entrante ou sortante du trafic entre Internet et l'environnement des b Vérifier que tout autre trafic entrant et sortant est spécifiquement refusé, par exemple en utilisant un paramètre «refuser tout» explicite ou un refus implicite après une autorisation Vérifier que les fichiers de configuration des routeurs sont sécurisés et synchronisés par exemple, les fichiers de configuration de l'exécution (utilisés pour une exécution normale des routeurs) et les fichiers de configuration de démarrage (utilisés lorsque les dispositifs sont redémarrés), ont les mêmes configurations sécurisées Vérifier qu'il existe des pare-feu de périmètre installés entre les réseaux sans fil et les systèmes qui stockent les données de titulaire de carte, et que ces pare-feu refusent ou contrôlent le trafic (si celui-ci est nécessaire à des fins professionnelles) de l environnement sans fil vers l environnement des données de titulaire de carte. 1.3 Examiner les configurations des pare-feu et des routeurs y compris, mais sans s'y limiter, le routeur-goulet sur Internet, le routeur et le pare-feu dans la zone démilitarisée (DMZ), le segment de titulaire de carte dans la DMZ, le routeur de périmètre, et le segment interne de réseau de titulaire de carte pour déterminer qu'il n'existe aucun accès direct entre Internet et les composants du système dans le segment interne de réseau de titulaire de carte, comme détaillé ci-dessous Vérifier qu'une DMZ est mise en œuvre pour limiter le trafic entrant aux seuls composants du système qui fournissent les services, les protocoles, et les ports autorisés accessibles au public Vérifier que le trafic Internet entrant est limité aux adresses IP dans la zone démilitarisée Vérifier que les connexions entrantes ou sortantes directes du trafic ne sont pas autorisées entre Internet et l'environnement Copyright 2010 PCI Security Standards Council LLC Page 23
PCI (Payment Card Industry) Data Security Standard
PCI (Payment Card Industry) Data Security Standard Conditions et procédures d'évaluation de sécurité Version 2.0 Octobre 2010 Modifications apportées au document Version Description Pages Octobre 2008
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.
Industrie des cartes de paiement (PCI) Norme de sécurité des données Conditions et procédures d évaluation de sécurité Version 3.0 Novembre 2013 Modifications apportées au document Date Version Description
Plus en détailPayment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité
Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité Dispositif d impression ou terminal par ligne commutée autonome uniquement, aucun stockage
Plus en détailComprendre l'objectif des conditions
Payment Card Industry (PCI) Data Security Standard Navigation dans la norme PCI DSS Comprendre l'objectif des conditions Version 2.0 Octobre 2010 Modifications apportées au document Date Version Description
Plus en détailPayment Card Industry (PCI) Normes en matière de sécurité des données
Payment Card Industry (PCI) Normes en matière de sécurité des données Procédures d audit de sécurité Version 1.1 Date de publication : septembre 2006 Table des matières Procédures d audit de sécurité...
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de
Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un
Plus en détailRécapitulatif des modifications entre les versions 2.0 et 3.0
Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement Récapitulatif des modifications entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte
Plus en détailGLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.
ISO 27001 & PCI-DSS Une approche commune a-t-elle du sens? version 1.00 (2009.01.21) GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY. Rodolphe SIMONETTI CISSP, CISM, PCI-QSA, ISO 27001 Lead Auditor, ISO 27005
Plus en détailPayment Card Industry (PCI) Normes en matière de sécurité des données. Version 1.1
Payment Card Industry (PCI) Normes en matière de sécurité des données Version 1.1 Date de publication : septembre 2006 Mettre en place et gérer un réseau sécurisé 1 ère exigence : installer et gérer une
Plus en détailSpécifications de l'offre Surveillance d'infrastructure à distance
Aperçu du service Spécifications de l'offre Surveillance d'infrastructure à distance Ce service comprend les services Dell de surveillance d'infrastructure à distance (RIM, le «service» ou les «services»)
Plus en détailSécurisation des paiements en lignes et méthodes alternatives de paiement
Comment sécuriser vos paiements en ligne? Entre 2010 et 2013, les chiffres démontrent que c est sur internet que la fraude à la carte bancaire a montré sa plus forte progression. Même si le taux de fraude
Plus en détail2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement
Plus en détailSupplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de
Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008
Plus en détailLe rôle Serveur NPS et Protection d accès réseau
Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS
Plus en détailSecteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d'application de paiement (PA-DSS)
Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d'application de paiement (PA-DSS) Glossaire des termes, abréviations et acronymes Version 2.0
Plus en détailÉtat Réalisé En cours Planifié
1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture
Plus en détailKASPERSKY SECURITY FOR BUSINESS
KASPERSKY SECURITY FOR BUSINESS IDENTIFIER. CONTRÔLER. PROTÉGER. Guide de migration RENOUVELLEMENTS ET MISES À NIVEAU DES LICENCES : Guide de migration PRÉSENTATION DE LA NOUVELLE GAMME ENDPOINT SECURITY
Plus en détailContrôle interne et organisation comptable de l'entreprise
Source : "Comptable 2000 : Les textes de base du droit comptable", Les Éditions Raouf Yaïch. Contrôle interne et organisation comptable de l'entreprise Le nouveau système comptable consacre d'importants
Plus en détailLa haute disponibilité de la CHAINE DE
Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est
Plus en détailSecteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d application de paiement (PA-DSS)
Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d application de paiement (PA-DSS) Glossaire des termes, abréviations et acronymes Version 3.0
Plus en détailSymantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web
Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé
Plus en détailINFO CLIENT. si pas de code UCM: veuillez joindre une confirmation du prestataire luxembourgeois de la relation
125, route d Esch L-1471 Luxembourg www.esante.lu HealthNet Luxembourg Demande de services activation modification résiliation INFO CLIENT Adresse professionnelle Raison sociale / Nom et Prénom Tél. :
Plus en détailSystems Manager Gestion de périphériques mobiles par le Cloud
Systems Manager Gestion de périphériques mobiles par le Cloud Aperçu Systems Manager de Meraki permet une gestion à distance par le Cloud, le diagnostic et le suivi des périphériques mobiles de votre organisation.
Plus en détailFirewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.
Firewall I- Définition Un firewall ou mur pare-feu est un équipement spécialisé dans la sécurité réseau. Il filtre les entrées et sorties d'un nœud réseau. Cet équipement travaille habituellement aux niveaux
Plus en détailIDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?
IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? Leif Kremkow Dir. Technical Account Managemet, CISSP Mardi, 5 Février, 2009 PCI Security Standards Council
Plus en détailSymantec Network Access Control
Symantec Network Access Control Conformité totale des terminaux Présentation est une solution de contrôle d'accès complète et globale qui permet de contrôler de manière efficace et sûre l'accès aux réseaux
Plus en détailService de réplication des données HP pour la gamme de disques Continuous Access P9000 XP
Service de réplication des données HP pour la gamme de disques Continuous Access P9000 XP Services HP Care Pack Données techniques Le service de réplication des données HP pour Continuous Access offre
Plus en détailResponsabilités du client
OpenLAB Liste de vérification CDS Serveur de la de Préparation Services Partagés du Site A.02.02 Merci d'avoir acheté un logiciel Agilent. Une préparation et une évaluation correctes du site est la première
Plus en détailMise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ
Fiche technique AppliDis Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Fiche IS00198 Version document : 4.01 Diffusion limitée : Systancia, membres du programme Partenaires
Plus en détailService d'installation et de démarrage de la solution de stockage réseau HP StoreEasy 1000/3000
Service d'installation et de démarrage de la solution de stockage réseau Services HP Données techniques Le service d'installation et de démarrage de la solution de stockage réseau offre l'installation
Plus en détailLivre blanc, août 2013 Par Peer1 et CompliancePoint www.peer1.fr. Certification PCI DSS De la complexité à la simplicité
Livre blanc, août 2013 Par Peer1 et CompliancePoint www.peer1.fr Certification PCI DSS De la complexité à la simplicité Table des matières Introduction 1 Des entreprises perdent des données client 1 Les
Plus en détailCAHIER DES CLAUSES TECHNIQUES
CAHIER DES CLAUSES TECHNIQUES 1. Contexte Ce document décrit les différentes fournitures et prestations à mettre en œuvre dans le cadre du remplacement de la solution de proxy et firewall actuellement
Plus en détailRapport de certification
Rapport de certification Memory Arrays avec Memory Gateways Version 5.5.2 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien
Plus en détailLive box et Nas Synology
Live box et Nas Synology Ce fichier provient du site : https://padipfix.no-ip.info Auteur : nas.phil@gmail.com Création : 18/01/2008 - OpenOffice.org 3.1 Version : 3 Modification : 20/07/2009 Fichier :
Plus en détailRéseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux
Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs
Plus en détailUSERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible
USERGATE PROXY & FIREWALL Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires
Plus en détailMISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné
NetBenefit Green Side 400 Avenue Roumanille 06906 Sophia Antipolis Cedex France +33 (0)4 97 212 212 www.netbenefit.fr MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné Ce document
Plus en détailProtection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible
Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires aujourd'hui. L'utilisation
Plus en détailWindows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base
Windows Server 2008 Chapitre 3 : Le service d annuaire Active Directory: Concepts de base omar.cheikhrouhou@isetsf.rnu.tn omar.cheikhrouhou@ceslab.org Objectives Comprendre les concepts de base d Active
Plus en détailDSI - Pôle Infrastructures
Département du Système d Information CONTEXTE DSI - Pôle Infrastructures SUJET Architecture cible pour un projet devant intégrer le SI de l'inserm référence PI01091V02V.doc version statut créé le 29/06/2006
Plus en détailChapitre 2 Rôles et fonctionnalités
19 Chapitre 2 Rôles et fonctionnalités 1. Introduction Rôles et fonctionnalités Les rôles et fonctionnalités ci-dessous ne sont qu'une petite liste de ceux présents dans Windows Server 2012 R2. 2. Les
Plus en détailADMINISTRATION, GESTION ET SECURISATION DES RESEAUX
MINISTERE DE LA COMMUNAUTE FRANCAISE ADMINISTRATION GENERALE DE L ENSEIGNEMENT ET DE LA RECHERCHE SCIENTIFIQUE ENSEIGNEMENT DE PROMOTION SOCIALE DE REGIME 1 DOSSIER PEDAGOGIQUE UNITE DE FORMATION ADMINISTRATION,
Plus en détailGuide de configuration de SQL Server pour BusinessObjects Planning
Guide de configuration de SQL Server pour BusinessObjects Planning BusinessObjects Planning XI Release 2 Copyright 2007 Business Objects. Tous droits réservés. Business Objects est propriétaire des brevets
Plus en détailConfiguration requise Across v6 (Date de mise à jour : 3 novembre 2014)
Configuration requise Across v6 (Date de mise à jour : 3 novembre 2014) Copyright 2014 Across Systems GmbH Sauf autorisation écrite d'across Systems GmbH, il est interdit de copier le contenu du présent
Plus en détailCompte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI
Compte rendu de recherche de Websense Prévention de la perte de données et conformité PCI Normes de sécurité des cartes de crédit Plus d une décennie après l avènement du commerce électronique, beaucoup
Plus en détailSage CRM. 7.2 Guide de Portail Client
Sage CRM 7.2 Guide de Portail Client Copyright 2013 Sage Technologies Limited, éditeur de ce produit. Tous droits réservés. Il est interdit de copier, photocopier, reproduire, traduire, copier sur microfilm,
Plus en détailGuide d'inscription pour obtenir un certificat ssl thawte
Guide d'inscription pour obtenir un certificat ssl thawte Sommaire Guide d inscription pour obtenir un certificat SSL Thawte 1 7 étapes simples 1 Avant de commencer 1 Soumettre votre demande d'inscription
Plus en détailSECURITE DES DONNEES 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0
SECURITE DES DONNEES 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Table des matières 1. INTRODUCTION... 3 2. ARCHITECTURES D'ACCÈS À DISTANCE... 3 2.1 ACCÈS DISTANT PAR MODEM...
Plus en détailGuide de l'utilisateur
BlackBerry Internet Service Version: 4.5.1 Guide de l'utilisateur Publié : 2014-01-08 SWD-20140108170135662 Table des matières 1 Mise en route...7 À propos des formules d'abonnement pour BlackBerry Internet
Plus en détailStorageTek Tape Analytics
StorageTek Tape Analytics Guide de sécurité Version 2.1 E60949-01 Janvier 2015 StorageTek Tape Analytics Guide de sécurité E60949-01 Copyright 2012, 2015, Oracle et/ou ses affiliés. Tous droits réservés.
Plus en détailLes modules SI5 et PPE2
Les modules SI5 et PPE2 Description de la ressource Propriétés Intitulé long Formation concernée Matière Présentation Les modules SI5 et PPE2 BTS SIO SI5 PPE2 Description Ce document présente une approche
Plus en détailSolutions McAfee pour la sécurité des serveurs
Solutions pour la sécurité des serveurs Sécurisez les charges de travail des serveurs avec une incidence minime sur les performances et toute l'efficacité d'une gestion intégrée. Imaginez que vous ayez
Plus en détailGENERALITES. COURS TCP/IP Niveau 1
GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse
Plus en détailSécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC
Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................
Plus en détail[ Sécurisation des canaux de communication
2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies
Plus en détailServices Réseaux - Couche Application. TODARO Cédric
Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port
Plus en détailFonctionnement de Iptables. Exercices sécurité. Exercice 1
Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.
Plus en détailResponsabilités du client
OpenLAB Liste de vérification CDS EZChrom de la Préparation Distribué (A.04.07), du Site AIC, Clients Merci d'avoir acheté un logiciel Agilent. Une préparation et une évaluation correctes du site est la
Plus en détailManuel d utilisation du logiciel de messagerie personnelle Palm VersaMail 2.5
Manuel d utilisation du logiciel de messagerie personnelle Palm VersaMail 2.5 Copyright 2003 Palm, Inc. Tous droits réservés. Graffiti, HotSync, MultiMail, le logo Palm, PalmModem et Palm OS sont des marques
Plus en détailGuide d'intégration à ConnectWise
Guide d'intégration à ConnectWise INTÉGRATION DE CONNECTWISE À BITDEFENDER CONTROL CENTER Guide d'intégration à ConnectWise Intégration de ConnectWise à Bitdefender Control Center Date de publication 2015.05.14
Plus en détailIMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :
IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE : SPÉCIFICATIONS TECHNIQUES À L INTENTION DES AGENCES ET COURTIERS À LEUR COMPTE IMPORTANT L OACIQ se réserve le droit de modifier ses exigences en fonction
Plus en détailCharte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.
Charte informatique Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Préambule L'entreprise < NOM > met en œuvre un système d'information et
Plus en détailENDPOINT SECURITY FOR MAC BY BITDEFENDER
ENDPOINT SECURITY FOR MAC BY BITDEFENDER Notes de mise à jour Endpoint Security for Mac by Bitdefender Notes de mise à jour Date de publication 2015.03.13 Copyright 2015 Bitdefender Mentions Légales Tous
Plus en détailFoire aux questions (FAQ)
Foire aux questions (FAQ) Norme de sécurité des données du secteur des cartes de paiement (PCI DSS) Qu est-ce que la Norme PCI DSS? Qui définit cette Norme? Où puis-je obtenir plus d informations sur la
Plus en détailSage 300 Online Guide de l'utilisateur de Traitement de paiements. Octobre 2013
Sage 300 Online Guide de l'utilisateur de Traitement de paiements Octobre 2013 La présente est une publication de Sage Software, Inc. Copyright 2013. Sage Software, Inc. Tous droits réservés. Sage, les
Plus en détailRéduire les risques de sécurité à la périphérie du réseau. Meilleures pratiques pour les entreprises distribuées CE QUE VOUS OBTIENDREZ :
Livre blanc / Sécurité Réduire les risques de sécurité à la périphérie du réseau Meilleures pratiques pour les entreprises distribuées CE QUE VOUS OBTIENDREZ : ++ Menaces affectant les entreprises distribuées
Plus en détailportnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.
portnox Livre blanc réseau Janvier 2008 Access Layers portnox pour un contrôle amélioré des accès access layers Copyright 2008 Access Layers. Tous droits réservés. Table des matières Introduction 2 Contrôle
Plus en détailPCI DSS un retour d experience
PCI DSS un retour d experience Jean-Marc Darées, IT architect PSSC Customer Center, NTC France jmdarees@fr.ibm.com EUROPE IOT Agenda Le standard PCI Un réveil soudain Retours d Expérience IBM PCI DSS Un
Plus en détailResponsabilités du client
OpenLAB Liste de vérification CDS AIC, de Clients la Préparation CDS, Instruments du Site de la Merci d'avoir acheté un logiciel Agilent. Une préparation et une évaluation correctes du site est la première
Plus en détailLa Solution Crypto et les accès distants
La Solution Crypto et les accès distants Introduction L'objectif de ce document est de présenter les possibilités d'accès distants à La Solution Crypto. Cette étude s'appuie sur l'exemple d'un groupement
Plus en détailTHEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques
THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr
Plus en détailNokia Internet Modem Guide de l utilisateur
Nokia Internet Modem Guide de l utilisateur 9216562 Édition 1 FR 1 2009 Nokia. Tous droits réservés. Nokia, Nokia Connecting People et le logo Nokia Original Accessories sont des marques commerciales ou
Plus en détailSafeGuard Enterprise Aide administrateur. Version du produit : 5.60
SafeGuard Enterprise Aide administrateur Version du produit : 5.60 Date du document : avril 2011 Table des matières 1 Le SafeGuard Management Center...4 2 Connexion au SafeGuard Management Center...4 3
Plus en détailDescription de l entreprise DG
DG Description de l entreprise DG DG est une entreprise d envergure nationale implantée dans le domaine de la domotique. Créée en 1988 par William Portes, elle compte aujourd'hui une centaine d'employés.
Plus en détailLicence professionnelle Réseaux et Sécurité Projets tutorés 2012-2013
Licence professionnelle Réseaux et Sécurité Projets tutorés 2012-2013 Sujets proposés à l Université de Cergy-Pontoise 1. Déploiement d'une architecture téléphonique hybride : PC-Asterisk/PABX analogique,
Plus en détailDSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2
Table des matières CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2 COMMUTATEUR... 2 ROUTEUR... 2 FIREWALL... 2 VLAN... 2 Types de VLAN :...2 Intérêt des VLAN...3 VPN... 3 DMZ... 3 DECT... 3 DATACENTER...
Plus en détailAppliances et logiciels Email Security
Install CD Appliances et logiciels Protection puissante et facile d utilisation contre les menaces véhiculées par les e-mails et la violation des règles de conformité Les e-mails sont essentiels à la communication
Plus en détailExamen technique des technologies de mise en cache
technologies de mise en cache LIVRE BLANC Au cours des 10 dernières années, l'utilisation d'applications facilitant les processus métier a considérablement évolué. Ce qui était un plus avantageux fait
Plus en détailSurveillance stratégique des programmes malveillants avec Nessus, PVS et LCE
Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE 19 mars 2013 (Révision 3) Sommaire Présentation 3 Nessus 3 Détection des programmes malveillants... 3 Détection des réseaux
Plus en détailRapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités
Plus en détailFOIRE AUX QUESTIONS PAIEMENT PAR INTERNET. Nom de fichier : Monetico_Paiement_Foire_aux_Questions_v1.7 Numéro de version : 1.7 Date : 2014-05-29
FOIRE AUX QUESTIONS PAIEMENT PAR INTERNET Nom de fichier : Monetico_Paiement_Foire_aux_Questions_v1.7 Numéro de version : 1.7 Date : 2014-05-29 FOIRE AUX QUESTIONS Confidentiel Titre du document : Monetico
Plus en détailTableau Online Sécurité dans le cloud
Tableau Online Sécurité dans le cloud Auteur : Ellie Fields Ellie Fields, directrice principale du marketing produits, Tableau Software Juin 2013 p.2 Tableau est conscient que les données font partie des
Plus en détailExpérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet
Expérience d un hébergeur public dans la sécurisation des sites Web, CCK Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Plan Introduction Sécurisation des sites Web hébergés a Conclusion Introduction
Plus en détailDate : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN
Date : NOM Prénom : TP n /5 Lycée professionnel Pierre MENDÈS-FRANCE Veynes Sujet de Travaux Pratiques INSTALLATION ET ADMINISTRATION D'UN PARE-FEU FEU : «IPCOP» Term. SEN Champs : TR 1ère série CONSIGNES
Plus en détailLa surveillance réseau des Clouds privés
La surveillance réseau des Clouds privés Livre blanc Auteurs : Dirk Paessler, CEO de Paessler AG Gerald Schoch, Rédactrice technique de Paessler AG Publication : Mai 2011 Mise à jour : Février 2015 PAGE
Plus en détailSÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE
PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l
Plus en détailSophos Computer Security Scan Guide de démarrage
Sophos Computer Security Scan Guide de démarrage Version du produit : 1.0 Date du document : février 2010 Table des matières 1 A propos du logiciel...3 2 Que dois-je faire?...3 3 Préparation au contrôle...3
Plus en détailLive box et Nas Synology
Live box et Nas Synology Création : OpenOffice.org Version 2.3 Auteur : PHI Création : 18/01/2008: Version : 32 Modification : 24/03/2008 Fichier : E:\Mes documents\tuto NAS LB\tuto ftp.odt Imprimer moi
Plus en détailDSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...
Table des matières CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 CONCEPTION... 3 RÉALISATION... 3 ÉVALUATION ET CONTRÔLE... 3 AMÉLIORATION... 3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...3 LA PROTECTION
Plus en détailNormes Mauritaniennes de l Action contre les Mines (NMAM) Inclus les amendements Janvier 2014
NMAM 11.10 Normes Mauritaniennes de l Action contre les Mines (NMAM) Inclus les amendements Gestion de l information et rédaction de rapports en Mauritanie Coordinateur Programme National de Déminage Humanitaire
Plus en détailET LA DÉLIVRANCE DU CERTIFICAT
RÉFÉRENTIEL POUR L'ATTRIBUTION ET LE SUIVI D'UNE QUALIFICATION PROFESSIONNELLE D'ENTREPRISE ET LA DÉLIVRANCE DU CERTIFICAT Date d'application : 29 octobre 2014 DOCUMENT QUALIBAT 005 VERSION 06 OCTOBRE
Plus en détailSécurité des cartes de crédit pour les hôtels
Sécurité des cartes de crédit pour les hôtels Méthode de sécurisation durable de l'activité commerciale de PCI DSS ConCardis GmbH Helfmann-Park 7 65760 Eschborn www.concardis.com Sommaire 1. La première
Plus en détailCours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -
Cours de sécurité Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC - 1 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 2 Pare-Feux Introduction
Plus en détailMISE EN PLACE DU FIREWALL SHOREWALL
MISE EN PLACE DU FIREWALL SHOREWALL I. LA MISSION Dans le TP précédent vous avez testé deux solutions de partage d une ligne ADSL de façon à offrir un accès internet à tous vos utilisateurs. Vous connaissez
Plus en détailCloud public d Ikoula Documentation de prise en main 2.0
Cloud public d Ikoula Documentation de prise en main 2.0 PREMIERS PAS AVEC LE CLOUD PUBLIC D IKOULA Déployez vos premières instances depuis l interface web ou grâce à l API. V2.0 Mai 2015 Siège Social
Plus en détailAnnexe 5. Kaspersky Security For SharePoint Servers. Consulting Team
Annexe 5 Kaspersky Security For SharePoint Servers Consulting Team 2015 K A S P E R S K Y L A B Immeuble l Européen 2, rue 1 Joseph Monier 92859 Rueil Malmaison Cedex Table des matières Table des matières...
Plus en détailRestriction sur matériels d impression
Restriction sur matériels d impression Objectif : Restreindre l accès aux matériels multifonctions Description des matériels : Serveur d impression : SVAWAV01 (10.204.1.204) Ricoh Aficio MP C4501 o IP
Plus en détail