ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES



Documents pareils
ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION RÈGLE E2

Édition : La Direction des communications du ministère de la Santé et des Services sociaux

Concours RÈGLEMENT DE PARTICIPATION

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION LE MANUEL DES RÈGLES DE L ACP INTRODUCTION

Hosted Exchange 2010 Conditions Spécifiques

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

MODELE DE CONVENTION ERDF / <Fournisseur> relative à la dématérialisation fiscale des factures d acheminement

Politique de gestion documentaire

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Vérification de la sécurité des données fiscales. Rapport final Approuvé par le Comité de vérification interne le 29 juin 2005

Conditions Générales d Utilisation de l Espace adhérent

Politique de sécurité de l information

UTILISATION DES TECHNOLOGIES DE L INFORMATION ET DES COMMUNICATIONS

Conditions d'utilisation de la plateforme Défi papiers

Les définitions suivantes ne s appliquent qu aux présentes Conditions d utilisation du Site API de Preva :

CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

CONCOURS «Un an sans hypothèque, c est capital» Règlement de participation

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Carrier Enterprise Canada, L.P.

Cadre proposé pour la phase IV du projet de la règle d imagerie Échange électronique de compensation

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA»)

LIGNE DIRECTRICE POUR LES PAIEMENTS STPGV MAL ACHEMINÉS

POLITIQUE DE GESTION LA GESTION DES DOCUMENTS ET DES ARCHIVES

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

REGLEMENT COMPLET Jeu «Gagnez un séjour Thalasso» Du 31 mars au 24 mai 2014

IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :

SERVICES EN LIGNE DES SUBVENTIONS ET DES CONTRIBUTIONS

«Commande» se rapporte à un bon de commande ou à une commande créée sur un site Internet Interoute.

CONDITIONS GENERALES

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Programme Informatique de la Faculté de biologie et de médecine (Charte informatique)

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Concours «Tablettes en folie avec Vidéotron Mobile» RÈGLEMENT DE PARTICIPATION

Obligations à prime du Canada Titres avec certificat (formulaire CPB-12) Achats avec certificat Table des matières

Dispositions relatives aux services bancaires en ligne valables dès le 1er janvier 2013

Michel Deruère. Conditions générales de vente

Conditions Générales de Vente Internet. 7, rue Alfred Kastler CAEN. informatiquetélécominternet

Politique de sécurité de l actif informationnel

Concours «Sondage Vidéotron» RÈGLEMENT DE PARTICIPATION

Politique d utilisation acceptable des données et des technologies de l information

CONCOURS «Du bonheur dans votre frigo!» RÈGLEMENTS

Documentation du système de management de la qualité

Modalités de transmission du pli par voie électronique

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

$ de rénos pour une maison intelligente! LE PRÉSENT CONCOURS S ADRESSE UNIQUEMENT AUX RÉSIDENTS DU CANADA ET IL EST RÉGI PAR LA LOI CANADIENNE

CANADIAN PAYMENTS ASSOCIATION ASSOCIATION CANADIENNE DES PAIEMENTS

Concours «Trouvez l oiseau Hunger Games» RÈGLEMENT DE PARTICIPATION

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR

Date: Conditions générales de vente Création de site internet

Pour commencer liste de vérification du service ECCnet Item Certification. Version 2.0

CONDITIONS GÉNÉRALES D UTILISATION

Politique numéro 42 POLITIQUE DE GESTION DOCUMENTAIRE

CONDITIONS GENERALES D UTILISATION DU SERVICE DE BANQUE EN LIGNE

«Concours Le Cadeau de l année» RÈGLEMENT DE PARTICIPATION

Plateforme. Nos «CGU» publics en vigueur. PRESTATIONS ET TARIFS MAÎTRE D OUVRAGE V2.0

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

CONCOURS «LIRE» Règlements de participation

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

GESTION DES DOCUMENTS

Evaluation de la conformité du Système de validation Vaisala Veriteq vlog à la norme 21 CFR Part 11

LES PROCEDURES DE LA POLITIQUE D ARCHIVAGE

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Concours En route vers mon premier gala JPR RÈGLEMENT DE PARTICIPATION

7. Le Service de certification déchiffre le document avec sa clé privée de déchiffrement.

Conditions générales (CG) Revendeur d hébergement

ACCORD ENTRE LA COMMISSION BANCAIRE ET LA BANQUE NATIONALE DE ROUMANIE

UV DIRECT MODALITÉS DU COMPTE

Procédure normalisée de fonctionnement du RCBT Systèmes de sauvegarde des bases de données Version f1.0

Conditions générales d utilisation

Banque en ligne et sécurité : remarques importantes

Conditions Générales de Vente d applications pour le Système de Commande en Ligne via la Boutique d Applications Mercedes-Benz.

POLITIQUE SUR LE SIGNALEMENT

CONDITIONS GENERALES DE MAINTENANCE DES LOGICIELS

Conditions générales concernant la fourniture de prestations informatiques par HMS Hauri Micro Solutions - Backup et restauration - "Conditions MSP"

Entente administrative sur la certification de produits conclue entre. la Direction générale de Transports Canada, Aviation civile (TCAC)

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

CONCOURS OMAX. 1) Nutrifrance (l «Organisateur») est l organisateur du concours «Écoute ton corps avec OMAX» (le «Concours»).

CONCOURS «Les Trémas gagnants!» Édition hiver 2015 Règlement de participation

Concours national 2015 Appelez, cliquez ou passez nous voir de Co-operators - Prix de $

GStock La gestion commerciale, stock et facturation qui vous correspond. Les apports de GStock pour votre entreprise :

onditions Générales P h o n e W e b M é d i t e r r a n é e Club des Pins - STAOUELI- Tél : Fax: info@phoneweb-med.

CONDITIONS GENERALES YOUSIGN v1.4 A - CONDITIONS APPLICABLES A TOUTES LES PRESTATIONS YOUSIGN

Royaume du Maroc. Simpl-TVA. E-service de télédéclaration et de télépaiement de la TVA. 20 juin juin 2006

Conditions générales de vente Leeuwenburgh Fineer B.V.

Annexe au document intitulé Communication relative à certaines questions de politique concernant le Bureau de Procureur : renvois et communications

Note de présentation de la circulaire du CDVM n 02/06 relative à la réception-transmission d ordres via un support électronique

PROCÉDURE D'APPEL D'OFFRES ET D'OCTROI POUR LES ACHATS D'ÉLECTRICITÉ

ECE/TRANS/WP.15/AC.1/2015/21. Conseil économique et social. Nations Unies. Commission économique pour l Europe Comité des transports intérieurs

Fonds de capital-risque étranger ou de capital-investissement important Formulaire de demande pour investisseur admissible

Règlement sur l utilisation et la gestion des actifs informationnels

Section 3 : Préparation à l inspection et gestion des documents. 3.3 Enregistrement des demandes d inspection et des certificats d inspection

2.1 Les présentes conditions générales régissent les conditions de vente et d utilisation de Ticket Premium.

Conditions régissant les demandes en ligne de RBC Banque Royale

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Conditions d utilisation de la Carte Scotia MD SCÈNE MD*

Guide d utilisation. Version 1.1

REGLEMENT DU GRAND JEU DE L ETE MITOSYL LINGETTES

Charte d exploitation et de demande d accès aux Géoservices. Plateforme Territoriale GUYANE SIG

Transcription:

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES 2013 ASSOCIATION CANADIENNE DES PAIEMENTS 2013 CANADIAN PAYMENTS ASSOCIATION Cette règle est protégée par des droits de copyright de l Association canadienne des paiements. Tous les droits sont réservés, y compris le droit de reproduction totale ou partielle, sans le consentement exprès écrit de l Association canadienne des paiements. La publication de cette norme ne constitue pas une prise de position relativement aux droits de propriété intellectuelle de toute personne ou entité. L ACP n assume aucune responsabilité envers toute personne ou entité pour l observation de la présente norme, y compris la responsabilité (qui est rejetée) en cas de violation, réelle ou alléguée, des droits de propriété intellectuelle de toute personne ou entité.

Norme de sécurité des images Mise en oeuvre et révisions Mise en oeuvre Le 1 juin 2010 Modifications 1. Pour supprimer l obligation de créer et de tenir des registres lorsque les images sont lues, mises à jour ou supprimées. Approuvé par le Conseil le 16 juin 2010, en vigueur le 16 août 2010. 2. Modifications pour tenir compte des paiements saisis sur image. Approuvées par le Conseil, le 13 juin 2013, en vigueur le 12 août 2013.

Norme de sécurité des images Table des matières 1. Introduction et portée... 1 2. Définitions... 2 3. Principes de fonctionnement... 2 4. Processus... 2 4.1 Saisie... 2 4.2 Stockage... 2 4.3 Transmission... 2 4.4 Archivage... 2 4.5 Récupération... 3 4.6 Suppression... 3 4.7 Sauvegarde... 3 5. Critères de sécurité... 3 (a) Contrôle d accès logique et administratif... 4 (b) Codes malveillants... 6 (c) Détection des incidents et intervention... 6

Page 1 1. Introduction et portée La présente Norme énonce les exigences minimales de sécurité visant la manipulation des images, de la ligne de code et d autres données conformément à ANSI X9 100-187.2008 en ce qui a trait à : La confidentialité (seules les personnes autorisées ont accès aux renseignements afin de protéger la vie privée ou aux renseignements sensibles); L intégrité (les renseignements peuvent seulement être modifiés ou détruits par les personnes autorisées); L authentification; L autorisation; La non-répudiation. La présente Norme vise à assurer l intégrité des images et de la ligne de code, pour les besoins des entreprises et pour le cas où ces images et la ligne de code devraient être utilisées dans des actions en justice. À cette fin : - Une image doit être retraçable jusqu à son point de saisie initial; - Les membres doivent valider l institution de livraison lorsqu ils reçoivent des images et des données de la ligne de code; - L intégrité de l origine, de la réception et du contenu des images et des données de la ligne de code doit être assurée par des contrôles administratifs, techniques et physiques; et - Des contrôles d accès doivent être mis en place pour que seul le personnel autorisé ait accès aux images et à la ligne de code stockées ou archivées. La présente Norme s applique aux images et à la ligne de code chaque fois que des renseignements pertinents sont utilisés par un membre ou pour son compte pour l un ou l autre des processus définis à l article 4 ci-après. Par conséquent, le membre qui confie un processus quelconque à un tiers ou à un autre agent ou transmet des données d un client doit veiller à ce que le tiers ou l autre agent se conforme aux exigences fixées dans la présente Norme. La présente Norme ne s applique pas aux données qui proviennent de l archive pour être utilisées à d autres fins, comme les décisions de payer ou de ne pas payer, ou le rendu des relevés, etc. Pour les exigences applicables à la destruction des effets physiques originaux (papier), prière de se reporter à la Règle A10. Cette Norme s appuie sur des sources dignes de foi pour la création, la gestion et l examen d une infrastructure de sécurité comme : Le Guide d examen de juillet 2006 du Federal Financial Institutions Examination Council (FFIEC) intitulé «Information Security IT Examination Handbook» La norme ISO/IEC 27001 2005

Page 2 2. Définitions Les définitions suivantes s appliquent à la présente Norme : 2.1 «Institution de livraison» Le membre qui effectue des transmissions d images ou de ligne de code à un autre membre aux fins de la compensation et du règlement. 2.2 «Principe du moindre privilège» Le minimum possible de privilèges pour permettre une mesure légitime, afin d accroître la protection des données et de la fonctionnalité contre les défauts et les comportements malveillants. 2.3 «Institution de réception» Le membre qui reçoit des transmissions d images ou de ligne de code d un autre membre aux fins de la compensation et du règlement. 2.4 «Environnement protégé» Système qui met en œuvre le stockage et l utilisation contrôlés et protégés de l information. 2.5 «Transmission» Échange de fichiers d images ou de ligne de code entre emplacements physiques (p.ex., entre emplacements d adhérent, entre sites régionaux et centraux, entre adhérents et sous-adhérents, et entre institutions membres de l ACP et clients.) 3. Principes de fonctionnement Chaque membre qui saisit ou qui est censé saisir, échanger ou stocker des images ou des données de ligne de code doit veiller à ce que la saisie, l échange et le stockage se fassent dans un environnement protégé et à avoir en place des contrôles et des processus suffisants pour maintenir l intégrité, la confidentialité et la disponibilité des images et des données de la ligne de code. 4. Processus Les processus suivants sont décrits dans la norme : 4.1 Saisie La saisie transforme les effets physiques en images ou images et données de la ligne de code et elle retient les effets physiques et pour des périodes déterminées dans la Règle A10 de l ACP. 4.2 Stockage Le stockage comporte l enregistrement des images et/ou des données de la ligne de code sur un support pour utilisation à court terme. 4.3 Transmission La transmission est l échange d images et/ou de données de la ligne de code entre lieux physiques. La transmission prend fin lorsque l adhérent de réception accuse réception des fichiers transmis. 4.4 Archivage L archivage déplace ou copie des images et/ou des données de la ligne de code sans un dépôt servant à stocker et indexer des images et des renseignements associés à la succursale ou au centre de traitement

Page 3 d un membre. L archivage se termine lorsqu une image ou les données connexes de la ligne de code sont supprimées. 4.5 Récupération La récupération comporte une demande de récupération, à partir d une archive, d images et de données connexes de la ligne de code, qui est reçue et autorisée pour traitement. La récupération se termine lorsque l image est récupérée et transmise au demandeur. 4.6 Suppression La suppression se dit de la suppression d images et/ou de données de la ligne de code. La suppression est terminée lorsqu il n est plus possible d avoir accès aux images et aux données de la ligne de code. 4.7 Sauvegarde La sauvegarde crée et conserve des copies des renseignements contenus dans l image et/ou les données de la ligne de code. 5. Critères de sécurité Les critères qui s appliquent aux images et à la ligne de code dans cet article sont regroupés sous les rubriques suivantes : (a) Contrôle d accès logique et administratif; (b) Codes malveillants; et (c) Détection d incidents et intervention Les membres doivent veiller au respect des critères de sécurité énoncés ci-dessous à tous les sites, y compris les sites de sauvegarde et de reprise. Les membres ont cette responsabilité même lorsqu ils confient les services à des tiers ou à un autre membre pour leur compte.

Page 4 (a) Contrôle d accès logique et administratif Processus Généralités Critères de sécurité Contrôle d accès logique et administratif a) Les images et les données de la ligne de code doivent être protégées contre tout accès non autorisé et contre toute altération via des mécanismes documentés de contrôle d accès. Cette protection doit être en vigueur à partir du point de saisie et jusqu au point de suppression. b) L accès aux images et aux données de la ligne de code doit être réservé en fonction du principe du moindre privilège, tant au personnes qu aux logiciels qui sont autorisés et authentifiés. c) Les droits d accès doivent être examinés à intervalles réguliers (au moins une fois l an). Lorsque l accès est accordé, modifié ou révoqué, il faut le vérifier en fonction des approbations. d) Il faut mettre en place une politique sur les mots de passe pour fixer, au minimum, des contrôles des mots de passe pour les utilisateurs. Saisie Transmission a) Le logiciel utilisé pour la saisie des images ou des données de la ligne de code et les supports créés doivent être protégés contre tout accès non autorisé. b) Toute modification des systèmes de saisie des succursales, des GAB ou des centres de traitement effectuée par le personnel de maintenance ou de réparation doit être documentée. Toutes les transmissions d images et/ou de données de la ligne de code, doit se faire dans un environnement protégé. Stockage Archivage L accès logique aux appareils de stockage et aux logiciels doit être réservé aux personnes et aux logiciels autorisés et authentifiés. L accès logique aux images et aux données de la ligne de code doit être réservé aux personnes selon le principe du moindre privilège. Récupération L accès aux images et aux données de la ligne de code doit être réservé aux personnes et aux logiciels autorisés et authentifiés.

Page 5 Processus Suppression Critères de sécurité Contrôle d accès logique et administratif Lorsqu on supprime ou qu on n utilise plus un support du périmètre de sécurité* de l entité qui a pu servir à stocker des images et/ou des données de ligne de code : a) Si le support peut être réécrit, il doit être effacé par écrasement logiciel sécurisé** démagnétisation ou destruction physique***. b) Si le support ne peut être réécrit, il doit être physiquement détruit. * Le périmètre de sécurité signifie la zone délimitée par l endroit où une entité peut exercer un contrôle complet sur son matériel informatique, son matériel de réseau, ses locaux et ses images y compris les endroits où les membres font appel à des tiers pour effectuer le traitement. ** Signifie l écrasement du support de stockage et de ses parties non utilisées, au moyen de données aléatoires et structurées afin de rendre virtuellement impossible la récupération des données originales. La suppression logicielle sécurisée doit être conforme aux normes acceptées par l industrie, comme US DOD 5220.22-M ou les équivalents plus récents selon l ANSI/X9. *** Porte sur l incinération ou le déchiquetage du support de stockage de façon à rendre impossible la récupération des données originales. Sauvegarde L accès logique aux copies des renseignements contenus dans l image ou les données de la ligne de code et les logiciels associés et leurs versions doit être réservé aux personnes en fonction du principe du moindre privilège.

Page 6 (fin) (b) Codes malveillants Processus Généralités Critères de sécurité Codes malveillants Les systèmes servant à créer stocker, archiver et transmettre des images et des données de la ligne de code doivent être protégés, conformément aux meilleures pratiques de l industrie, contre les codes malveillants pour prévenir les modifications non autorisées et les incidents de sécurité. (c) Détection des incidents et intervention Processus Généralités Critères de sécurité Détection des incidents et intervention a) Il doit y avoir des processus et procédures en place pour repérer les tentatives d accès non autorisé ou les violations concernant les transmissions d images et de ligne de code et les systèmes connexes, et intervenir au besoin. b) Il faut qu une équipe d intervention en cas d incident soit poste et dotée de mesures officielles d intervention afin de faire la lumière sur les événements non autorisés. c) Lorsqu une violation ou une autre défaillance des protections de sécurité d un membre fait qu in tiers a un accès non autorisé aux données des clients d un autre membre, le membre victime de la violation ou la panne doit informer l autre membre dans les meilleurs délais après la constatation de cet accès non autorisé.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back