ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES



Documents pareils
ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION RÈGLE E2

LIGNE DIRECTRICE POUR LES PAIEMENTS STPGV MAL ACHEMINÉS

Documentation du système de management de la qualité

Conditions générales (CG) Revendeur d hébergement

CANADIAN PAYMENTS ASSOCIATION ASSOCIATION CANADIENNE DES PAIEMENTS

IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Cadre proposé pour la phase IV du projet de la règle d imagerie Échange électronique de compensation

CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK

Concours RÈGLEMENT DE PARTICIPATION

Procédure normalisée de fonctionnement du RCBT Systèmes de sauvegarde des bases de données Version f1.0

Royaume du Maroc. Simpl-TVA. E-service de télédéclaration et de télépaiement de la TVA. 20 juin juin 2006

CONDITIONS GENERALES YOUSIGN v1.4 A - CONDITIONS APPLICABLES A TOUTES LES PRESTATIONS YOUSIGN

CONDITIONS GENERALES D UTILISATION DU SERVICE DE BANQUE EN LIGNE

Règlement sur l utilisation et la gestion des actifs informationnels

Règlement sur l archivage au Tribunal administratif fédéral

Conditions Générales d Utilisation de l Espace adhérent

UV DIRECT MODALITÉS DU COMPTE

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

Conditions générales.

Édition : La Direction des communications du ministère de la Santé et des Services sociaux

Programme Informatique de la Faculté de biologie et de médecine (Charte informatique)

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

Evaluation de la conformité du Système de validation Vaisala Veriteq vlog à la norme 21 CFR Part 11

Livre blanc Compta La dématérialisation en comptabilité

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

Dispositions relatives aux services bancaires en ligne valables dès le 1er janvier 2013

Annexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du Titre 1Conditions Particulières

Rév Ligne directrice 8B : Déclaration à CANAFE des télévirements SWIFT

CONDITIONS SPÉCIALES DE L OFFRE INDESIT COMPANY BENELUX

Vérification de la sécurité des données fiscales. Rapport final Approuvé par le Comité de vérification interne le 29 juin 2005

Hosted Exchange 2010 Conditions Spécifiques

Plateforme. Nos «CGU» publics en vigueur. PRESTATIONS ET TARIFS MAÎTRE D OUVRAGE V2.0

Conditions générales de AgenceWeb SA. I. Dispositions générales

«Commande» se rapporte à un bon de commande ou à une commande créée sur un site Internet Interoute.

CONDITIONS GENERALES PRESTATIONS DE SERVICES

Obtenir le titre de prêteur. agréé. La clé qui ouvre de nouvelles portes AU CŒUR DE L HABITATION

Concours «Tablettes en folie avec Vidéotron Mobile» RÈGLEMENT DE PARTICIPATION

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

ÉBAUCHE POUR COMMENTAIRE MODALITÉS RELATIVES AUX ADJUDICATIONS DES OBLIGATIONS À TRÈS LONG TERME DU GOUVERNEMENT DU CANADA

SUPPLEMENT TRADING ELECTRONIQUE

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Conditions générales concernant la fourniture de prestations informatiques par HMS Hauri Micro Solutions - Backup et restauration - "Conditions MSP"

CONDITIONS GENERALES D'UTILISATION -

Application de Gestion des Notes de Frais sous Lotus Notes via un navigateur avec WorkFlow 1

Conditions générales d affaires (CGA) Portail clients SanitasNet

L ENREGISTREMENT DU COURRIER

MODELE DE CONVENTION ERDF / <Fournisseur> relative à la dématérialisation fiscale des factures d acheminement

Politique de gestion documentaire

Politique de sécurité de l information

Politique Utilisation des actifs informationnels

Concours «Sondage Vidéotron» RÈGLEMENT DE PARTICIPATION

Section 3. Utilisation des ressources informatiques et du réseau de télécommunication

CONDITIONS GENERALES DE VENTE ET D UTILISATION A DISTANCE

et développement d applications informatiques

OTRT : Office Tchadien de Régulation des Télécommunications. Contrat de Bureau d enregistrement

CONDITIONS GÉNÉRALES D UTILISATION

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR

RETENUE DE FONDS SUR LES CHÈQUES :

Formulaire d inscription Compte FRR fonds communs de placement

ASSOCIATION CANADIENNE DES PAIEMENTS RÈGLE 6 DU STPGV TRANSMISSIONS DES PAIEMENTS

AVIS DU PERSONNEL DE L ACFM ARRANGEMENTS ENTRE UN REMISIER ET UN COURTIER CHARGÉ DE COMPTES

LICENCE D UTILISATION DU LOGICIEL ACOUBAT SOUND VERSION 7

Carrier Enterprise Canada, L.P.

Conditions générales d utilisation du portail web de FranceAgriMer et de ses e-services (téléservices)

«Concours Le Cadeau de l année» RÈGLEMENT DE PARTICIPATION

Conditions générales (CG) Domaine

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Gestion des feuilles de marques électroniques par les structures organisatrices des compétitions

SARL NGP INFORMATIQUE au capital de 45059, RCS Rennes NAF 4741Z siège social 9, square du 8 mai RENNES CONDITIONS GENERALES

Securité de l information :

Guide des solutions bancaires personnelles. En vigueur à compter du 12 janvier 2015

CONDITIONS PARTICULIÈRES

REGLEMENT du jeu Gagner 1 an de loyer ou de mensualités. Le présent Règlement peut être consulté sur le site Internet

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

RECUEIL DE LEGISLATION. S o m m a i r e. ARCHIVAGE électronique

Saisie et indexation de données intelligentes

POLITIQUE D UTILISATION SERVICES D ACCÈS INTERNET

ASSOCIATION CANADIENNE DES COURTIERS DE FONDS MUTUELS

POLITIQUE SUR LE SIGNALEMENT

Comment protéger ses systèmes d'information légalement et à moindre coût?

Conditions régissant les demandes en ligne de RBC Banque Royale

CONCOURS EN LIGNE «LES SACRIFIÉS 2» RÈGLEMENT DU CONCOURS

PRÉAMBULE. La version administrative reproduit l intégralité des Règles et Principes directeurs de l ACFM.

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Projet. Politique de gestion des documents et archives. Service du greffe (Avril 2012)

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION LE MANUEL DES RÈGLES DE L ACP INTRODUCTION

Toute utilisation du site doit respecter les présentes conditions d utilisation.

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

GESTION DES ARCHIVES

L Adhérent s engage à fournir des informations exactes et sera seul responsable de la fourniture d informations erronées.

GUIDE PRATIQUE déplacements professionnels temporaires en France et à l étranger

Proposition de règlement municipal concernant l installation et l exploitation d un pipeline terrestre dans le territoire d une municipalité

ANNEXE 3: Demande d émission et/ou de modification d un crédit documentaire à l'importation

ARCHIVAGE / SIGNATURE ELECTRONIQUE

Concours En route vers mon premier gala JPR RÈGLEMENT DE PARTICIPATION

CONDITIONS GENERALES

Transcription:

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION Annexe II NORME 012 NORME DE SÉCURITÉ DES IMAGES 2010 ASSOCIATION CANADIENNE DES PAIEMENTS 2010 CANADIAN PAYMENTS ASSOCIATION Cette règle est protégée par des droits de copyright de l Association canadienne des paiements. Tous les droits sont réservés, y compris le droit de reproduction totale ou partielle, sans le consentement exprès écrit de l Association canadienne des paiements. La publication de cette norme ne constitue pas une prise de position relativement aux droits de propriété intellectuelle de toute personne ou entité. L ACP n assume aucune responsabilité envers toute personne ou entité pour l observation de la présente norme, y compris la responsabilité (qui est rejetée) en cas de violation, réelle ou alléguée, des droits de propriété intellectuelle de toute personne ou entité.

Mise en œuvre et révisions Mise en œuvre Le 1 juin 2010 Modifications 1. Pour supprimer l obligation de créer et de tenir des registres lorsque les images sont lues, mises à jour ou supprimées. Approuvé par le Conseil le 16 juin 2010, en vigueur le 16 août 2010. 2. Modifications pour permettre l échange de compensation électronique. Approuvées par le Conseil le (date), en vigueur le (date).

Table des matières 1. Introduction et portée.1 2. Définitions 1 3. Principes opérationnels.2 4. Processus 2 5. Critères de sécurité 3 a) Contrôle d accès logique et administratif....4 b) Code malicieux....5 c) Détection des incidents et intervention....5

Page 1 1. Introduction et portée La présente Norme énonce les exigences minimales de sécurité visant la manipulation des images, des données de ligne de code et d autres données, conformément à ANSI X9 100-187.2008 en ce qui a trait à : la confidentialité (seules le des personnel personnes autorisées a ont accès aux renseignements afin de protéger la vie privée ou les renseignements sensibles); l intégrité (les renseignements peuvent seulement être modifiés ou détruits par le personneldes personnes autorisées); authentification; autorisation; non-répudiation. La présente Norme vise à assurer l intégrité des images, pour les besoins des entreprises et pour le cas où ces images devraient être utilisées dans les actions en justice. À cette fin : - une Une image doit être traçable jusqu à son point de saisie initial; - Les membres de l ACP doivent valider l institution expéditrice lorsqu ils reçoivent des images et toutes données de ligne de code. - L intégrité de l origine, de la réception et du contenu des images et des données de ligne de code doit être garantie au moyen de contrôles administratifs, techniques et matériels. - Des contrôles d accès doivent être mis en place pour que seules des personnes autorisées le personnel autorisé aient accès aux images stockées ou archivées. La présente norme s applique aux images images et données de ligne de code chaque fois que des renseignements pertinents sont stockés et archivésutilisés par un membre de l ACP ou pour son compte, dans le cadre de l un quelconque des processus définis à la section 4 ci-après. La norme ne s applique pas aux données qui proviennent de l archive pour être utilisées à d autres fins, comme les décisions de payer ou de ne pas payer, ou le rendu des relevés, etc. Lorsqu un membre de l ACP fait exécuter par une tierce partie ou un autre agent un processus quelconque ou lui fait transmettre des données due clients, il incombe à ce membre de l ACP de veiller à ce que la tierce partie ou l autre agent respecte la norme. Cette Norme s appuie sur des sources dignes de foi pour la création, la gestion et l examen d une infrastructure de sécurité comme : 2. Définitions Le Guide d examen de juillet 2006 du Federal Financial Institutions Examination Council (FFIEC) intitulé «Information Security IT Examination Handbook» La norme ISO/IEC 27001 2005 Dans la présente norme. 2.1 «Institution expéditrice» Membre qui expédie des transmissions d images ou de lignes de code à un autre membre aux fins de compensation et de règlement. 2.2 Le «principe du moindre privilège» nécessite que chaque module (qui peut par exemple être un processus, un module, un utilisateur, un programme, etc.) soit en mesure de visionner uniquement les renseignements et les ressources qui sont immédiatement nécessaires. L idée du principe est d accorder le strict minimum de privilèges nécessaires

Page 2 pour permettre une intervention légitime, afin d améliorer la protection des données et des fonctions contre les défauts et les comportements malicieux. 2.3 L «Institution destinataire» mmembre qui reçoit des transmissions d images ou de lignes de code d un autre membre aux fins de compensation et de règlement. 2.4 «Environnement protégé» Système qui met en œuvre le stockage et l utilisation contrôlées et protégées d information. 2.5 «Transmission» Échange de fichiers d image ou de lignes de code entre des endroits matériels, p. ex., entre les centres d adhérents, entre des centres régionaux et centraux, entre des adhérents et des sous-adhérents et entre des institutions membres de l ACP et des clients. 3. Principes opérationnels Chaque membre de l ACP qui saisit ou est réputé saisir, échanger ou stocker des images ou des données et des lignes de code doit saisir, échanger et stocker l information dans un environnement protégé. Les principes suivants s appliquent à ce membre de l ACP et à toute tierce partie ou à tout autre agent que ce membre peut autoriser à effectuer tout processus ou à stocker et à transmettre des données des clients pour leur compte. Les principes sont les suivants : 3.1 L approche en matière de sécurité peut varier selon les membres de l ACP. 3.2 La responsabilité pour la sécurité incombe à chaque membre de l ACP. Il incombe à chaque membre de l ACP de faire en sorte que son fournisseur ou client respecte les exigences de la présente norme. 3.3 Il incombe à chaque membre de l ACP de veiller à ce que les contrôles et les processus soient en place pour garantir l intégrité, la confidentialité et la disponibilité des images et/ou des données de ligne de code. 4. Processus Les processus suivants sont décrits dans la norme : 4.1 Saisie La saisie commence lorsque les effets physiques sont reçus aux fins de saisie et se termine lorsque les effets saisis sont transférés au stockage. La saisie transforme les effets physiques en images et/ou en données de ligne de code et elle retient les effets physiques dans des lieux et pour des périodes déterminées dans la Règle A10 de l ACP [règle pour les images de chèques]. 4.2 Stockage Le stockage consiste à enregistrer des images ou des données de ligne de code sur un support pour le stockage à court terme.

Page 3 4.3 Transmission La transmission consiste en l échange de d image ou de données de ligne de code entre des endroits physiques. La transmission se termine lorsque l adhérent destinataire accuse réception des effets transmis. 4.4 Archivage L archivage déplace les images et/ou les données de ligne de code vers un dépôt utilisé pour le stockage et l indexation des images et des renseignements connexes dans une succursale ou un centre des données d un membre. L archivage se termine lorsque les images sont supprimées.débute lorsque les effets sont déplacés du stockage temporaire vers le stockage à long terme et se termine lorsque les images sont détruites. Des critères de sécurité minimaux relativement à l archivage des images s appliquent à tous les membres de l ACP qui maintiennent une archive. 4.5 Récupération La récupération débute lorsque l image est archivée et qu est une demande de récupération d une image et de données connexes particulières d une archive qui est reçue et autorisée aux fins d unde traitement d image est reçue et autorisée. Elle La récupération se termine lorsque l image est récupérée et transmise au demandeur. 4.6 Suppression La suppression consiste à supprimer les images et des données de ligne de code. La suppression est terminée lorsqu aucun accès supplémentaire aux images ou aux données de ligne de code n est disponpossible. 4.7 Sauvegarde et conservation La sauvegarde et la conservation consistent à créer et à conserver des copies de l information contenue dans l image et/ou les données de ligne de code. L accès logique aux appareils et logiciels d archivage est réservé au personnel selon le principe du moindre privilège. Cette norme s applique aux copies de sauvegarde des données d images et aux logiciels pertinents et à toutes leurs versions. Nota : Le «principe du moindre privilège» nécessite que chaque module (qui peut par exemple être un processus, un module, un utilisateur, un programme, etc.) soit en mesure de visionner uniquement les renseignements et les ressources qui sont immédiatement nécessaires. L idée du principe est d accorder le strict minimum de privilèges nécessaires pour permettre une intervention légitime, afin d améliorer la protection des données et des fonctions contre les défauts et les comportements malicieux. 3.5. Critères de sécurité Les critères de sécurité minimaux qui s appliquent à la saisie et à la sécuritéaux processus liés auxdes images et lignes de code sont énoncés ci-après. Ils sont regroupés sous les rubriques suivantes : (a) Contrôle d accès logique et administratif (b) Code malicieux (bc) Détection d incidents et intervention

Page 4 Les membres de l ACP ont la responsabilité d assurer le respect des critères de sécurité minimaux énoncés ci-dessous à leurs sites respectifs de sauvegarde et de récupération également. Cette responsabilité incombe aux membres de l ACP même lorsqu ils confient les services à des tiers ou à un autre membre pour leur compte.

Page 5 (a) Contrôle d accès logique et administratif Processus Généralités Critères de sécurité Contrôle d accès logique et administratif a) Les images et les données de ligne de code doivent être protégées contre tout accès non autorisé et contre toute altération au moyen de mécanismes de contrôle de l accès documentés. Cette protection doit être en vigueur dès le moment de la saisie jusqu au moment de la destructionla suppression des images. b) L accès aux images et aux données de ligne de code doit être restreint en fonction du principe du moindre privilège, tant aux personnels qu aux logiciels qui sont autorisés et authentifiés. c) Les droits d accès doivent être examinés à intervalles réguliers (au moins une fois l an). Lorsque l accès est accordé, modifié ou révoqué, il faut le vérifier en fonction des approbations. d) Une politique de mot de passe qui établit au minimum des contrôles par mot de passe pour les utilisateurs doit être en place Saisie Transmission Stockage Archivage Récupération a) Les logiciels matériel utilisés pour la saisie des images et/ou des données de ligne de code doivent être protégés de tout accès logique et physique non autorisé. b) Toute modification des systèmes de saisie des succursales, GA ou centres de données effectuée par le personnel de maintenance ou de réparation doit être consignée. Toutes les transmissions d image ou de données de ligne de code doivent se faire dans un environnement protégé. L accès logique aux appareils de stockage et aux logiciels doit être restreint aux personnel personnes et au logiciel autorisés et authentifiés. L accès logique aux images et/ou aux données de ligne de code logiciels et appareils d archivage archivées doit être restreint aux personnes selon le principe du moindre privilège. L accès aux images et/ou aux données de ligne de code doit être restreint aux logiciels et aux personnel personnes autorisés et authentifiés.

Page 6 Processus Suppression/ destruction Sauvegarde et conservation Critères de sécurité Contrôle d accès logique et administratif Lorsqu on supprime ou qu on n utilise plus un support du périmètre de sécurité* de l entité qui a pu servir à stocker des images et/ou des données de ligne de code : (a) Si le support peut être réécrit, il doit être effacé par écrasement logiciel sécurisé** ou destruction physique***. (b) Si le support ne peut être réécrit, il doit être physiquement détruit. * Le périmètre de sécurité signifie la zone délimitée par l endroit où une entité peut exercer un contrôle complet sur son matériel informatique, son matériel de réseau, ses locaux et ses images y compris les endroits où les membres font appel à des tiers pour effectuer le traitement. ** Signifie l écrasement du support de stockage et de ses parties non utilisées, au moyen de données aléatoires et structurées afin de rendre virtuellement impossible la récupération des données originales. La suppression logicielle sécurisée doit être conforme aux normes acceptées par l industrie, comme US DOD 5220.22-M ou les équivalents plus récents selon l ANSI/X9. *** Porte sur l incinération ou le déchiquetage du support de stockage de façon à rendre impossible la récupération des données originales. L accès logique aux copies d information contenant des images ou des données de ligne de code et aux logiciels connexes et à ses différentes versions doit être restreint aux personnes selon le principe du moindre privilège.

Page 4 (fin) b) Code malicieux Processus Généralités Critère de sécurité Code malicieux Les systèmes utilisés pour la création, l entreposage, l archivage et la transmission d images et de données de ligne de code doivent être protégés contre des codes malicieux, des incidents et d autres causes de modification non autorisées. (bc) Détection des incidents et intervention Processus Gestion des incidents Généralités Critères de sécurité Détection des incidents et interventions a) Des processus et procédures permettant de déceler les tentatives d accès non autorisé ou des brèches à l égard des transmissions d images et de lignes de code et des systèmes connexes et d y réagir doivent être en place. b) Il faut qu une équipe d intervention en cas d incident soit en poste et dotée de mesures officielles d intervention afin de faire la lumière sur les événements non autorisés. c) Un membre doit aviser un autre membre s il y a une brèche ou une autre défaillance de ses sauvegardes de sécurité qui a pour résultat qu une tierce partie obtient un accès non autorisé aux données des clients de l autre membre, et s il est déterminé qu une utilisation abusive de ces données de clients transmises s est produite ou pourrait raisonnablement se produire.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back