ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES 2013 ASSOCIATION CANADIENNE DES PAIEMENTS 2013 CANADIAN PAYMENTS ASSOCIATION Cette règle est protégée par des droits de copyright de l Association canadienne des paiements. Tous les droits sont réservés, y compris le droit de reproduction totale ou partielle, sans le consentement exprès écrit de l Association canadienne des paiements. La publication de cette norme ne constitue pas une prise de position relativement aux droits de propriété intellectuelle de toute personne ou entité. L ACP n assume aucune responsabilité envers toute personne ou entité pour l observation de la présente norme, y compris la responsabilité (qui est rejetée) en cas de violation, réelle ou alléguée, des droits de propriété intellectuelle de toute personne ou entité.
Norme de sécurité des images Mise en oeuvre et révisions Mise en oeuvre Le 1 juin 2010 Modifications 1. Pour supprimer l obligation de créer et de tenir des registres lorsque les images sont lues, mises à jour ou supprimées. Approuvé par le Conseil le 16 juin 2010, en vigueur le 16 août 2010. 2. Modifications pour tenir compte des paiements saisis sur image. Approuvées par le Conseil, le 13 juin 2013, en vigueur le 12 août 2013.
Norme de sécurité des images Table des matières 1. Introduction et portée... 1 2. Définitions... 2 3. Principes de fonctionnement... 2 4. Processus... 2 4.1 Saisie... 2 4.2 Stockage... 2 4.3 Transmission... 2 4.4 Archivage... 2 4.5 Récupération... 3 4.6 Suppression... 3 4.7 Sauvegarde... 3 5. Critères de sécurité... 3 (a) Contrôle d accès logique et administratif... 4 (b) Codes malveillants... 6 (c) Détection des incidents et intervention... 6
Page 1 1. Introduction et portée La présente Norme énonce les exigences minimales de sécurité visant la manipulation des images, de la ligne de code et d autres données conformément à ANSI X9 100-187.2008 en ce qui a trait à : La confidentialité (seules les personnes autorisées ont accès aux renseignements afin de protéger la vie privée ou aux renseignements sensibles); L intégrité (les renseignements peuvent seulement être modifiés ou détruits par les personnes autorisées); L authentification; L autorisation; La non-répudiation. La présente Norme vise à assurer l intégrité des images et de la ligne de code, pour les besoins des entreprises et pour le cas où ces images et la ligne de code devraient être utilisées dans des actions en justice. À cette fin : - Une image doit être retraçable jusqu à son point de saisie initial; - Les membres doivent valider l institution de livraison lorsqu ils reçoivent des images et des données de la ligne de code; - L intégrité de l origine, de la réception et du contenu des images et des données de la ligne de code doit être assurée par des contrôles administratifs, techniques et physiques; et - Des contrôles d accès doivent être mis en place pour que seul le personnel autorisé ait accès aux images et à la ligne de code stockées ou archivées. La présente Norme s applique aux images et à la ligne de code chaque fois que des renseignements pertinents sont utilisés par un membre ou pour son compte pour l un ou l autre des processus définis à l article 4 ci-après. Par conséquent, le membre qui confie un processus quelconque à un tiers ou à un autre agent ou transmet des données d un client doit veiller à ce que le tiers ou l autre agent se conforme aux exigences fixées dans la présente Norme. La présente Norme ne s applique pas aux données qui proviennent de l archive pour être utilisées à d autres fins, comme les décisions de payer ou de ne pas payer, ou le rendu des relevés, etc. Pour les exigences applicables à la destruction des effets physiques originaux (papier), prière de se reporter à la Règle A10. Cette Norme s appuie sur des sources dignes de foi pour la création, la gestion et l examen d une infrastructure de sécurité comme : Le Guide d examen de juillet 2006 du Federal Financial Institutions Examination Council (FFIEC) intitulé «Information Security IT Examination Handbook» La norme ISO/IEC 27001 2005
Page 2 2. Définitions Les définitions suivantes s appliquent à la présente Norme : 2.1 «Institution de livraison» Le membre qui effectue des transmissions d images ou de ligne de code à un autre membre aux fins de la compensation et du règlement. 2.2 «Principe du moindre privilège» Le minimum possible de privilèges pour permettre une mesure légitime, afin d accroître la protection des données et de la fonctionnalité contre les défauts et les comportements malveillants. 2.3 «Institution de réception» Le membre qui reçoit des transmissions d images ou de ligne de code d un autre membre aux fins de la compensation et du règlement. 2.4 «Environnement protégé» Système qui met en œuvre le stockage et l utilisation contrôlés et protégés de l information. 2.5 «Transmission» Échange de fichiers d images ou de ligne de code entre emplacements physiques (p.ex., entre emplacements d adhérent, entre sites régionaux et centraux, entre adhérents et sous-adhérents, et entre institutions membres de l ACP et clients.) 3. Principes de fonctionnement Chaque membre qui saisit ou qui est censé saisir, échanger ou stocker des images ou des données de ligne de code doit veiller à ce que la saisie, l échange et le stockage se fassent dans un environnement protégé et à avoir en place des contrôles et des processus suffisants pour maintenir l intégrité, la confidentialité et la disponibilité des images et des données de la ligne de code. 4. Processus Les processus suivants sont décrits dans la norme : 4.1 Saisie La saisie transforme les effets physiques en images ou images et données de la ligne de code et elle retient les effets physiques et pour des périodes déterminées dans la Règle A10 de l ACP. 4.2 Stockage Le stockage comporte l enregistrement des images et/ou des données de la ligne de code sur un support pour utilisation à court terme. 4.3 Transmission La transmission est l échange d images et/ou de données de la ligne de code entre lieux physiques. La transmission prend fin lorsque l adhérent de réception accuse réception des fichiers transmis. 4.4 Archivage L archivage déplace ou copie des images et/ou des données de la ligne de code sans un dépôt servant à stocker et indexer des images et des renseignements associés à la succursale ou au centre de traitement
Page 3 d un membre. L archivage se termine lorsqu une image ou les données connexes de la ligne de code sont supprimées. 4.5 Récupération La récupération comporte une demande de récupération, à partir d une archive, d images et de données connexes de la ligne de code, qui est reçue et autorisée pour traitement. La récupération se termine lorsque l image est récupérée et transmise au demandeur. 4.6 Suppression La suppression se dit de la suppression d images et/ou de données de la ligne de code. La suppression est terminée lorsqu il n est plus possible d avoir accès aux images et aux données de la ligne de code. 4.7 Sauvegarde La sauvegarde crée et conserve des copies des renseignements contenus dans l image et/ou les données de la ligne de code. 5. Critères de sécurité Les critères qui s appliquent aux images et à la ligne de code dans cet article sont regroupés sous les rubriques suivantes : (a) Contrôle d accès logique et administratif; (b) Codes malveillants; et (c) Détection d incidents et intervention Les membres doivent veiller au respect des critères de sécurité énoncés ci-dessous à tous les sites, y compris les sites de sauvegarde et de reprise. Les membres ont cette responsabilité même lorsqu ils confient les services à des tiers ou à un autre membre pour leur compte.
Page 4 (a) Contrôle d accès logique et administratif Processus Généralités Critères de sécurité Contrôle d accès logique et administratif a) Les images et les données de la ligne de code doivent être protégées contre tout accès non autorisé et contre toute altération via des mécanismes documentés de contrôle d accès. Cette protection doit être en vigueur à partir du point de saisie et jusqu au point de suppression. b) L accès aux images et aux données de la ligne de code doit être réservé en fonction du principe du moindre privilège, tant au personnes qu aux logiciels qui sont autorisés et authentifiés. c) Les droits d accès doivent être examinés à intervalles réguliers (au moins une fois l an). Lorsque l accès est accordé, modifié ou révoqué, il faut le vérifier en fonction des approbations. d) Il faut mettre en place une politique sur les mots de passe pour fixer, au minimum, des contrôles des mots de passe pour les utilisateurs. Saisie Transmission a) Le logiciel utilisé pour la saisie des images ou des données de la ligne de code et les supports créés doivent être protégés contre tout accès non autorisé. b) Toute modification des systèmes de saisie des succursales, des GAB ou des centres de traitement effectuée par le personnel de maintenance ou de réparation doit être documentée. Toutes les transmissions d images et/ou de données de la ligne de code, doit se faire dans un environnement protégé. Stockage Archivage L accès logique aux appareils de stockage et aux logiciels doit être réservé aux personnes et aux logiciels autorisés et authentifiés. L accès logique aux images et aux données de la ligne de code doit être réservé aux personnes selon le principe du moindre privilège. Récupération L accès aux images et aux données de la ligne de code doit être réservé aux personnes et aux logiciels autorisés et authentifiés.
Page 5 Processus Suppression Critères de sécurité Contrôle d accès logique et administratif Lorsqu on supprime ou qu on n utilise plus un support du périmètre de sécurité* de l entité qui a pu servir à stocker des images et/ou des données de ligne de code : a) Si le support peut être réécrit, il doit être effacé par écrasement logiciel sécurisé** démagnétisation ou destruction physique***. b) Si le support ne peut être réécrit, il doit être physiquement détruit. * Le périmètre de sécurité signifie la zone délimitée par l endroit où une entité peut exercer un contrôle complet sur son matériel informatique, son matériel de réseau, ses locaux et ses images y compris les endroits où les membres font appel à des tiers pour effectuer le traitement. ** Signifie l écrasement du support de stockage et de ses parties non utilisées, au moyen de données aléatoires et structurées afin de rendre virtuellement impossible la récupération des données originales. La suppression logicielle sécurisée doit être conforme aux normes acceptées par l industrie, comme US DOD 5220.22-M ou les équivalents plus récents selon l ANSI/X9. *** Porte sur l incinération ou le déchiquetage du support de stockage de façon à rendre impossible la récupération des données originales. Sauvegarde L accès logique aux copies des renseignements contenus dans l image ou les données de la ligne de code et les logiciels associés et leurs versions doit être réservé aux personnes en fonction du principe du moindre privilège.
Page 6 (fin) (b) Codes malveillants Processus Généralités Critères de sécurité Codes malveillants Les systèmes servant à créer stocker, archiver et transmettre des images et des données de la ligne de code doivent être protégés, conformément aux meilleures pratiques de l industrie, contre les codes malveillants pour prévenir les modifications non autorisées et les incidents de sécurité. (c) Détection des incidents et intervention Processus Généralités Critères de sécurité Détection des incidents et intervention a) Il doit y avoir des processus et procédures en place pour repérer les tentatives d accès non autorisé ou les violations concernant les transmissions d images et de ligne de code et les systèmes connexes, et intervenir au besoin. b) Il faut qu une équipe d intervention en cas d incident soit poste et dotée de mesures officielles d intervention afin de faire la lumière sur les événements non autorisés. c) Lorsqu une violation ou une autre défaillance des protections de sécurité d un membre fait qu in tiers a un accès non autorisé aux données des clients d un autre membre, le membre victime de la violation ou la panne doit informer l autre membre dans les meilleurs délais après la constatation de cet accès non autorisé.