Kabboul Kenza
\nPropri\u00e9taire, PDG.<\/p>\n
Date d'entr\u00e9e en vigueur<\/p>\n
17 avril 2020<\/p>\n
Derni\u00e8re mise \u00e0 jour du contenu<\/p>\n
17 avril 2020<\/p>\n
But<\/strong><\/p>\n Cette politique explique les exigences de s\u00e9curit\u00e9 des cartes de cr\u00e9dit de Kabboul Kenza et du magasin nexgendecor, conform\u00e9ment \u00e0 la norme PCI DSS (Payment Card Industry Data Security Standard). La direction de Kabboul Kenza et du magasin nexgendecor s'engage \u00e0 appliquer ces politiques de s\u00e9curit\u00e9 afin de prot\u00e9ger les informations utilis\u00e9es par Kabboul Kenza et le magasin nexgendecor pour atteindre ses objectifs commerciaux. Tous les employ\u00e9s sont tenus de respecter les politiques d\u00e9crites dans ce document.<\/p>\n Port\u00e9e de la conformit\u00e9<\/p>\n Les exigences PCI s'appliquent \u00e0 tous les syst\u00e8mes qui stockent, traitent ou transmettent les donn\u00e9es des titulaires de cartes. Actuellement, l'environnement de gestion des titulaires de cartes de Kabboul Kenza et du magasin nexgendecor se compose uniquement d'applications de paiement limit\u00e9es (g\u00e9n\u00e9ralement des syst\u00e8mes de point de vente) connect\u00e9es \u00e0 Internet, mais ne permet pas le stockage des donn\u00e9es des titulaires de cartes sur un syst\u00e8me informatique.<\/p>\n En raison de la nature limit\u00e9e de l'environnement concern\u00e9, cette politique vise \u00e0 r\u00e9pondre aux exigences PCI telles que d\u00e9finies dans le questionnaire d'auto-\u00e9valuation (SAQ) C, ver. 2.0, octobre 2010. Si Kabboul Kenza et le magasin nexgendecor mettent en \u0153uvre des canaux d'acceptation suppl\u00e9mentaires, commencent \u00e0 stocker, traiter ou transmettre les donn\u00e9es des titulaires de carte au format \u00e9lectronique, ou deviennent autrement in\u00e9ligibles pour valider la conformit\u00e9 sous SAQ C, il sera de la responsabilit\u00e9 de Kabboul Kenza et du magasin nexgendecor de d\u00e9terminer les crit\u00e8res de conformit\u00e9 appropri\u00e9s et de mettre en \u0153uvre des politiques et des contr\u00f4les suppl\u00e9mentaires si n\u00e9cessaire.<\/p>\n Politique<\/strong><\/p>\n Exigence 1 : Construire et entretenir un r\u00e9seau s\u00e9curis\u00e9<\/strong><\/p>\n Configuration du pare-feu<\/p>\n Les pare-feu doivent restreindre les connexions entre les r\u00e9seaux non fiables et tout syst\u00e8me de l'environnement de donn\u00e9es du titulaire de carte. Un \u00ab\u00a0r\u00e9seau non fiable\u00a0\u00bb est un r\u00e9seau externe aux r\u00e9seaux de l'entit\u00e9 examin\u00e9e et\/ou que l'entit\u00e9 ne peut ni contr\u00f4ler ni g\u00e9rer. (Exigence PCI 1.2)<\/p>\n Le trafic entrant et sortant doit \u00eatre limit\u00e9 au strict n\u00e9cessaire \u00e0 l'environnement des donn\u00e9es du titulaire de carte. Tout autre trafic entrant et sortant doit \u00eatre express\u00e9ment refus\u00e9. (Exigence PCI 1.2.1)<\/p>\n Tous les ports et services ouverts doivent \u00eatre document\u00e9s. Cette documentation doit inclure le port ou le service, la source et la destination, ainsi qu'une justification commerciale de l'ouverture dudit port ou service. (Exigence PCI 1.2.1)<\/p>\n Des pare-feu p\u00e9rim\u00e9triques doivent \u00eatre install\u00e9s entre les r\u00e9seaux sans fil et l'environnement de donn\u00e9es du titulaire de carte. Ces pare-feu doivent \u00eatre configur\u00e9s pour refuser ou contr\u00f4ler (si ce trafic est n\u00e9cessaire \u00e0 des fins professionnelles) tout trafic provenant de l'environnement sans fil vers l'environnement de donn\u00e9es du titulaire de carte. (Exigence PCI 1.2.3)<\/p>\n La configuration du pare-feu doit interdire l'acc\u00e8s public direct entre Internet et tout composant syst\u00e8me dans l'environnement de donn\u00e9es du titulaire de la carte comme suit\u00a0:<\/p>\n Exigence 2\u00a0: Ne pas utiliser les valeurs par d\u00e9faut fournies par le fournisseur pour les mots de passe syst\u00e8me et autres param\u00e8tres de s\u00e9curit\u00e9<\/strong><\/p>\n D\u00e9fauts du fournisseur<\/p>\n Les param\u00e8tres par d\u00e9faut du fournisseur doivent toujours \u00eatre modifi\u00e9s avant l'installation d'un syst\u00e8me sur le r\u00e9seau. Parmi ces param\u00e8tres, on peut citer les mots de passe, les cha\u00eenes de communaut\u00e9 SNMP et la suppression des comptes inutiles. (Exigence PCI 2.1)<\/p>\n Les param\u00e8tres par d\u00e9faut des syst\u00e8mes sans fil doivent \u00eatre modifi\u00e9s avant leur mise en \u0153uvre. Les param\u00e8tres par d\u00e9faut de l'environnement sans fil incluent, sans s'y limiter\u00a0:<\/p>\n Le micrologiciel des appareils sans fil doit \u00eatre mis \u00e0 jour pour prendre en charge un cryptage renforc\u00e9 pour l'authentification et la transmission de donn\u00e9es sur les r\u00e9seaux sans fil. (Exigence PCI 2.1.1)<\/p>\n Services et protocoles inutiles<\/p>\n Seuls les services, protocoles, d\u00e9mons, etc. n\u00e9cessaires au fonctionnement du syst\u00e8me peuvent \u00eatre activ\u00e9s. Tous les services et protocoles non directement n\u00e9cessaires \u00e0 l'ex\u00e9cution de la fonction sp\u00e9cifi\u00e9e du p\u00e9riph\u00e9rique doivent \u00eatre d\u00e9sactiv\u00e9s. (Exigence PCI 2.2.2)<\/p>\n Acc\u00e8s administratif hors console<\/p>\n Les identifiants d'acc\u00e8s administratif hors console doivent \u00eatre chiffr\u00e9s \u00e0 l'aide de technologies telles que SSH, VPN ou SSL\/TLS. Ces technologies de chiffrement doivent inclure les \u00e9l\u00e9ments suivants\u00a0: (Exigence PCI 2.3)<\/p>\n Exigence 3\u00a0: Prot\u00e9ger les donn\u00e9es enregistr\u00e9es du titulaire de la carte<\/strong><\/p>\n Donn\u00e9es interdites<\/p>\n Des processus doivent \u00eatre mis en place pour supprimer en toute s\u00e9curit\u00e9 les donn\u00e9es d'authentification sensibles apr\u00e8s autorisation, afin qu'elles soient irr\u00e9cup\u00e9rables. (Exigence PCI 3.2)<\/p>\n Les syst\u00e8mes de paiement doivent respecter les exigences suivantes concernant le non-stockage des donn\u00e9es d'authentification sensibles apr\u00e8s autorisation (m\u00eame si elles sont crypt\u00e9es) :<\/p>\n Affichage du PAN<\/p>\n Kabboul Kenza et le magasin nexgendecor masqueront l'affichage des num\u00e9ros de compte principaux (PAN) et en limiteront la consultation aux seuls employ\u00e9s et autres personnes ayant un besoin l\u00e9gitime. Un num\u00e9ro correctement masqu\u00e9 n'affichera que les six premiers et les quatre derniers chiffres du PAN. (Exigence PCI 3.3)<\/p>\n Exigence 4\u00a0: Chiffrer la transmission des donn\u00e9es du titulaire de la carte sur des r\u00e9seaux publics ouverts<\/strong><\/p>\n Transmission des donn\u00e9es du titulaire de la carte<\/p>\n Les donn\u00e9es des titulaires de carte transmises sur des r\u00e9seaux publics ouverts doivent \u00eatre prot\u00e9g\u00e9es par des protocoles de cryptographie ou de s\u00e9curit\u00e9 robustes (par exemple, IPSEC, SSLTLS). Seules les cl\u00e9s et\/ou certificats de confiance sont accept\u00e9s. Pour les impl\u00e9mentations SSL\/TLS, HTTPS doit figurer dans l'URL, et les donn\u00e9es des titulaires de carte ne peuvent \u00eatre saisies que lorsque HTTPS appara\u00eet dans l'URL. (Exigence PCI 4.1)<\/p>\n Les meilleures pratiques de l'industrie (par exemple, IEEE 802.11i) doivent \u00eatre utilis\u00e9es pour mettre en \u0153uvre un cryptage fort pour l'authentification et la transmission pour les r\u00e9seaux sans fil transmettant les donn\u00e9es du titulaire de la carte ou connect\u00e9s \u00e0 l'environnement de donn\u00e9es du titulaire de la carte. (Exigence PCI 4.1.1)<\/p>\n L'envoi de PAN non chiffr\u00e9s par des technologies de messagerie destin\u00e9es aux utilisateurs finaux est interdit. Parmi ces technologies, on peut citer le courrier \u00e9lectronique, la messagerie instantan\u00e9e et le chat. (Exigence PCI 4.2)<\/p>\n Exigence 5 : utiliser et mettre \u00e0 jour r\u00e9guli\u00e8rement des logiciels ou programmes antivirus<\/strong><\/p>\n Antivirus<\/p>\n Tous les syst\u00e8mes, en particulier les ordinateurs personnels et les serveurs fr\u00e9quemment infect\u00e9s par des virus, doivent \u00eatre \u00e9quip\u00e9s d'un antivirus capable de d\u00e9tecter, de supprimer et de prot\u00e9ger contre tous les types connus de logiciels malveillants. (Exigence PCI 5.1, 5.1.1)<\/p>\n Tous les programmes antivirus doivent \u00eatre maintenus \u00e0 jour gr\u00e2ce \u00e0 des mises \u00e0 jour automatiques, \u00eatre actifs, configur\u00e9s pour ex\u00e9cuter des analyses p\u00e9riodiques et capables de g\u00e9n\u00e9rer des journaux d'audit. Les journaux antivirus doivent \u00eatre conserv\u00e9s conform\u00e9ment \u00e0 l'exigence PCI 10.7 (exigence PCI 5.2).<\/p>\n Exigence 6 : D\u00e9velopper et maintenir des syst\u00e8mes et des applications s\u00e9curis\u00e9s<\/strong><\/p>\n Correctifs de s\u00e9curit\u00e9<\/p>\n Tous les correctifs de s\u00e9curit\u00e9 critiques \u00e0 haut risque doivent \u00eatre appliqu\u00e9s dans les 14 jours suivant leur publication. Cela inclut les correctifs pertinents pour les syst\u00e8mes d'exploitation et toutes les applications install\u00e9es. (Exigence PCI 6.1)<\/p>\n Exigence 7\u00a0: Restreindre l'acc\u00e8s aux donn\u00e9es des titulaires de carte par les besoins professionnels<\/strong><\/p>\n Limiter l'acc\u00e8s aux donn\u00e9es du titulaire de la carte<\/p>\n L'acc\u00e8s aux composants et aux donn\u00e9es du syst\u00e8me de gestion des cartes des magasins Kabboul Kenza et Nexgendecor est limit\u00e9 aux personnes dont le travail n\u00e9cessite un tel acc\u00e8s. (Exigence PCI 7.1)<\/p>\n Les limitations d\u2019acc\u00e8s doivent inclure les \u00e9l\u00e9ments suivants\u00a0:<\/p>\n Exigence 8\u00a0: Attribuer un identifiant unique \u00e0 chaque personne ayant acc\u00e8s \u00e0 l'ordinateur<\/strong><\/p>\n Acc\u00e8s \u00e0 distance<\/p>\n L'authentification \u00e0 deux facteurs doit \u00eatre int\u00e9gr\u00e9e pour l'acc\u00e8s \u00e0 distance (acc\u00e8s au niveau du r\u00e9seau provenant de l'ext\u00e9rieur du r\u00e9seau) au r\u00e9seau par les employ\u00e9s, les administrateurs et les tiers. (Exigence PCI 8.3)<\/p>\n Comptes fournisseurs<\/p>\n Tous les comptes utilis\u00e9s par les fournisseurs pour la maintenance \u00e0 distance doivent \u00eatre activ\u00e9s uniquement pendant la p\u00e9riode n\u00e9cessaire. Les comptes d'acc\u00e8s \u00e0 distance des fournisseurs doivent \u00eatre surveill\u00e9s lorsqu'ils sont utilis\u00e9s. (Exigence PCI 8.5.6)<\/p>\n Exigence 9\u00a0: Restreindre l\u2019acc\u00e8s physique aux donn\u00e9es du titulaire de carte<\/strong><\/p>\n S\u00e9curiser physiquement tous les supports contenant les donn\u00e9es du titulaire de la carte<\/p>\n Les documents papier contenant des informations confidentielles ou sensibles (par exemple, re\u00e7us papier, rapports papier, t\u00e9l\u00e9copies, etc.) sont soumis aux directives de stockage suivantes\u00a0:<\/p>\n Un contr\u00f4le strict doit \u00eatre exerc\u00e9 sur la diffusion, en interne comme en externe, de tout support contenant des donn\u00e9es de titulaires de carte. Ces contr\u00f4les doivent inclure\u00a0:<\/p>\n Des journaux doivent \u00eatre conserv\u00e9s pour suivre tous les supports d\u00e9plac\u00e9s depuis une zone s\u00e9curis\u00e9e, et l'approbation de la direction doit \u00eatre obtenue avant de d\u00e9placer les supports. (Exigence PCI 9.8)<\/p>\n Un contr\u00f4le strict doit \u00eatre maintenu sur le stockage et l'accessibilit\u00e9 des supports contenant les donn\u00e9es des titulaires de cartes. (Exigence PCI 9.9)<\/p>\n Destruction des donn\u00e9es<\/p>\n Tous les supports contenant les donn\u00e9es du titulaire de la carte doivent \u00eatre d\u00e9truits lorsqu'ils ne sont plus n\u00e9cessaires pour des raisons commerciales ou juridiques. (Exigence PCI 9.10) Exigence 11\u00a0: Tester r\u00e9guli\u00e8rement les syst\u00e8mes et processus de s\u00e9curit\u00e9<\/strong><\/p>\n Test des points d'acc\u00e8s sans fil non autoris\u00e9s<\/p>\n Au moins une fois par trimestre, Kabboul Kenza et le magasin nexgendecor effectueront des tests pour s'assurer qu'aucun point d'acc\u00e8s sans fil non autoris\u00e9 n'est pr\u00e9sent dans l'environnement du titulaire de la carte. (Exigence PCI 11.1)<\/p>\n Si une surveillance automatis\u00e9e est utilis\u00e9e (par exemple, IDS\/IPS sans fil, NAC, etc.), elle doit \u00eatre configur\u00e9e pour g\u00e9n\u00e9rer des alertes.<\/p>\n La d\u00e9tection des appareils sans fil non autoris\u00e9s doit \u00eatre incluse dans le plan de r\u00e9ponse aux incidents (voir l'exigence PCI 12.9).<\/p>\n Analyse des vuln\u00e9rabilit\u00e9s<\/p>\n Au moins une fois par trimestre, et apr\u00e8s toute modification significative du r\u00e9seau (telle que l'installation de nouveaux composants syst\u00e8me, des modifications de la topologie du r\u00e9seau, des modifications des r\u00e8gles de pare-feu, des mises \u00e0 niveau de produits), le Minnesota State Community and Technical College effectuera une analyse de vuln\u00e9rabilit\u00e9 sur tous les syst\u00e8mes concern\u00e9s. (Exigence PCI 11.2)<\/p>\n Les analyses de vuln\u00e9rabilit\u00e9 internes doivent \u00eatre r\u00e9p\u00e9t\u00e9es jusqu'\u00e0 l'obtention de r\u00e9sultats satisfaisants ou jusqu'\u00e0 ce que toutes les vuln\u00e9rabilit\u00e9s \u00ab \u00e9lev\u00e9es \u00bb d\u00e9finies dans l'exigence PCI 6.2 soient r\u00e9solues. (Exigences PCI 11.2.1, 11.2.3)<\/p>\n Les r\u00e9sultats des analyses trimestrielles de vuln\u00e9rabilit\u00e9 doivent satisfaire aux exigences du guide du programme ASV (par exemple, aucune vuln\u00e9rabilit\u00e9 not\u00e9e sup\u00e9rieure \u00e0 4,0 par le CVSS et aucun \u00e9chec automatique). Les analyses externes de vuln\u00e9rabilit\u00e9 doivent \u00eatre effectu\u00e9es par un fournisseur de services d'analyse agr\u00e9\u00e9 (ASV), approuv\u00e9 par le Conseil des normes de s\u00e9curit\u00e9 de l'industrie des cartes de paiement (PCI SSC). (Exigences PCI 11.2.2, 11.2.3)<\/p>\n Exigence 12 : Maintenir une politique qui traite de la s\u00e9curit\u00e9 de l'information pour les employ\u00e9s et les entrepreneurs<\/strong><\/p>\n Politique de s\u00e9curit\u00e9<\/p>\n Kabboul Kenza et le magasin Nexgendecor doivent \u00e9tablir, publier, maintenir et diffuser une politique de s\u00e9curit\u00e9 d\u00e9crivant la mani\u00e8re dont l'entreprise prot\u00e9gera les donn\u00e9es des titulaires de carte. (Exigence PCI 12.1)<\/p>\n Cette politique doit \u00eatre r\u00e9vis\u00e9e au moins une fois par an et mise \u00e0 jour si n\u00e9cessaire pour refl\u00e9ter les changements apport\u00e9s aux objectifs commerciaux ou \u00e0 l'environnement de risque. (Exigence PCI 12.1.3)<\/p>\n Technologies critiques<\/p>\n Kabboul Kenza et le magasin nexgendecor doivent \u00e9tablir des politiques d'utilisation des technologies critiques (par exemple, les technologies d'acc\u00e8s \u00e0 distance, les technologies sans fil, les supports \u00e9lectroniques amovibles, les ordinateurs portables, les tablettes, les donn\u00e9es personnelles\/assistants num\u00e9riques (PDA), le courrier \u00e9lectronique et l'utilisation d'Internet. (Exigence PCI 12.3)<\/p>\n Ces politiques doivent inclure les \u00e9l\u00e9ments suivants :<\/p>\n Responsabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9<\/p>\n Les politiques et proc\u00e9dures de Kabboul Kenza et du magasin nexgendecor doivent d\u00e9finir clairement les responsabilit\u00e9s de tout le personnel en mati\u00e8re de s\u00e9curit\u00e9 de l'information. (Exigence PCI 12.4)<\/p>\n Politique de r\u00e9ponse aux incidents<\/p>\n L'administrateur de la s\u00e9curit\u00e9 des syst\u00e8mes doit \u00e9tablir, documenter et diffuser les proc\u00e9dures de r\u00e9ponse et d'escalade en cas d'incident de s\u00e9curit\u00e9 afin de garantir un traitement rapide et efficace de toutes les situations. (Exigence PCI 12.5.3)<\/p>\n Identification des incidents<\/p>\n Les employ\u00e9s doivent \u00eatre conscients de leurs responsabilit\u00e9s en mati\u00e8re de d\u00e9tection des incidents de s\u00e9curit\u00e9 afin de faciliter le plan et les proc\u00e9dures d'intervention. Tous les employ\u00e9s ont la responsabilit\u00e9 de contribuer aux proc\u00e9dures d'intervention dans leur domaine de responsabilit\u00e9. Voici quelques exemples d'incidents de s\u00e9curit\u00e9 qu'un employ\u00e9 peut identifier dans ses activit\u00e9s quotidiennes\u00a0:<\/p>\n Signaler un incident<\/p>\n L'administrateur de la s\u00e9curit\u00e9 des syst\u00e8mes doit \u00eatre imm\u00e9diatement inform\u00e9 de tout incident de s\u00e9curit\u00e9 suspect\u00e9 ou r\u00e9el impliquant les donn\u00e9es du titulaire de la carte :<\/p>\n Contactez l'administrateur de la s\u00e9curit\u00e9 des syst\u00e8mes pour signaler tout incident suspect ou av\u00e9r\u00e9. Le num\u00e9ro de t\u00e9l\u00e9phone de l'audit interne doit \u00eatre connu de tous les employ\u00e9s et doit \u00eatre accessible en dehors des heures de bureau.<\/p>\n Personne ne doit communiquer avec quiconque, en dehors de son\/ses superviseur(s) ou de l'administrateur de la s\u00e9curit\u00e9 des syst\u00e8mes, des d\u00e9tails ou des g\u00e9n\u00e9ralit\u00e9s concernant un incident pr\u00e9sum\u00e9 ou r\u00e9el. Toutes les communications avec les forces de l'ordre ou le public seront coordonn\u00e9es par le directeur ex\u00e9cutif des solutions technologiques.<\/p>\n Documentez toute information dont vous disposez en attendant l'intervention de l'administrateur de la s\u00e9curit\u00e9 des syst\u00e8mes. Si vous la connaissez, veuillez indiquer la date, l'heure et la nature de l'incident. Toute information que vous pourrez fournir contribuera \u00e0 une intervention appropri\u00e9e.<\/p>\n R\u00e9ponse aux incidents<\/p>\n Les r\u00e9ponses peuvent inclure ou passer par les \u00e9tapes suivantes : identification, classification de la gravit\u00e9, confinement, \u00e9radication, r\u00e9tablissement et analyse des causes profondes aboutissant \u00e0 une am\u00e9lioration des contr\u00f4les de s\u00e9curit\u00e9.<\/p>\n Contenir, \u00e9radiquer, r\u00e9cup\u00e9rer et effectuer une analyse des causes profondes<\/p>\n Visa<\/strong><\/p>\n Veuillez communiquer les comptes Visa compromis au Groupe de contr\u00f4le des fraudes Visa dans un d\u00e9lai de dix (10) jours ouvrables. Pour obtenir de l'aide, veuillez contacter le 1-(650)-432-2978. Les num\u00e9ros de compte doivent \u00eatre transmis \u00e0 Visa en toute s\u00e9curit\u00e9, conform\u00e9ment aux instructions du Groupe de contr\u00f4le des fraudes Visa. Il est essentiel que tous les comptes potentiellement compromis soient communiqu\u00e9s. Visa communiquera les num\u00e9ros de compte Visa compromis aux \u00e9metteurs et garantira la confidentialit\u00e9 des informations relatives aux entit\u00e9s et aux personnes non publiques. Consultez la documentation \u00ab\u00a0Que faire en cas de compromission\u00a0\u00bb de Visa pour conna\u00eetre les autres mesures \u00e0 prendre. Cette documentation est disponible \u00e0 l'adresse suivante\u00a0:\u00a0http:\/\/usa.visa.com\/download\/business\/accepting_visa\/ops_risk_management\u2026<\/a><\/u><\/p>\n MasterCard<\/strong><\/p>\n Contactez votre banque d'affaires pour obtenir des informations pr\u00e9cises sur la proc\u00e9dure \u00e0 suivre en cas de compromission. Vous trouverez des informations sur la banque d'affaires (l'acqu\u00e9reur) dans le Manuel du commer\u00e7ant \u00e0 l'adresse suivante\u00a0:\u00a0http:\/\/www.mastercard.com\/us\/wce\/PDF\/12999_MERC-Entire_Manual.pdf<\/a><\/u>Votre banque commerciale vous aidera lorsque vous appellerez MasterCard au 1-(636)-722-4100.<\/p>\n Carte D\u00e9couvrir<\/strong><\/p>\n Contactez votre responsable relationnel ou appelez la ligne d'assistance par EMAIL pour obtenir des conseils suppl\u00e9mentaires.<\/p>\n Analyse des causes profondes et le\u00e7ons apprises<\/p>\n Au plus tard une semaine apr\u00e8s l'incident, les membres du service informatique et toutes les parties concern\u00e9es se r\u00e9uniront pour examiner les r\u00e9sultats de l'enqu\u00eate afin de d\u00e9terminer la cause profonde de la compromission et d'\u00e9valuer l'efficacit\u00e9 du plan de r\u00e9ponse aux incidents. Les autres contr\u00f4les de s\u00e9curit\u00e9 seront examin\u00e9s afin de d\u00e9terminer leur pertinence face aux risques actuels. Tout domaine dans lequel le plan, la politique ou le contr\u00f4le de s\u00e9curit\u00e9 pourrait \u00eatre am\u00e9lior\u00e9 doit \u00eatre mis \u00e0 jour en cons\u00e9quence.<\/p>\n Sensibilisation \u00e0 la s\u00e9curit\u00e9<\/p>\n Kabboul Kenza et le magasin nexgendecor doivent \u00e9tablir et maintenir un programme formel de sensibilisation \u00e0 la s\u00e9curit\u00e9 afin de sensibiliser l'ensemble du personnel \u00e0 l'importance de la s\u00e9curit\u00e9 des donn\u00e9es des titulaires de carte. (Exigence PCI 12.6)<\/p>\n Fournisseurs de services<\/p>\n Kabboul Kenza et le magasin Nexgendecor doivent mettre en \u0153uvre et maintenir des politiques et proc\u00e9dures de gestion des prestataires de services. (Exigence PCI 12.8) Politique d'utilisation acceptable des donn\u00e9es de carte de paiement par les employ\u00e9s<\/strong><\/p>\n But<\/strong><\/p>\n Cette politique est con\u00e7ue comme un compl\u00e9ment aux politiques, proc\u00e9dures et directives du syst\u00e8me afin de r\u00e9pondre aux exigences de la norme PCI DSS SAQ C pour les commer\u00e7ants. Elle s'applique \u00e0 tous les syst\u00e8mes des magasins Kabboul Kenza et nexgendecor qui stockent, traitent ou transmettent les donn\u00e9es des titulaires de carte, ainsi qu'aux utilisateurs ayant acc\u00e8s \u00e0 ces donn\u00e9es.<\/p>\n Politique<\/strong><\/p>\n Tout le personnel, employ\u00e9s du syst\u00e8me ou sous-traitants, qui sont autoris\u00e9s \u00e0 utiliser des appareils qui traitent ou stockent les donn\u00e9es des titulaires de cartes doivent adh\u00e9rer aux politiques, proc\u00e9dures et directives d'utilisation du syst\u00e8me, y compris\u00a0Politique 5.22 du syst\u00e8me de l'\u00c9tat du Minnesota\u00a0: Utilisation acceptable des ordinateurs et des ressources informatiques<\/a><\/u>\u00a0et\u00a0Proc\u00e9dure 5.22.1 du syst\u00e8me de l'\u00c9tat du Minnesota\u00a0: Utilisation acceptable des ordinateurs et des ressources informatiques<\/a><\/u>.<\/p>\n Kabboul Kenza et le magasin nexgendecor tiennent \u00e0 jour une liste de tous les appareils qui traitent ou stockent les donn\u00e9es des titulaires de cartes, ainsi que la liste du personnel autoris\u00e9 \u00e0 les utiliser. Chaque appareil est \u00e9tiquet\u00e9 avec son usage, son propri\u00e9taire et ses coordonn\u00e9es. Kabboul Kenza et le magasin nexgendecor tiennent \u00e0 jour une liste de tous les produits et fournisseurs de services.<\/p>\n Des politiques et proc\u00e9dures sont mises en place pour g\u00e9rer les prestataires de services qui traitent les donn\u00e9es des titulaires de carte de Kabboul Kenza et de Nexgendecor. Lorsque les donn\u00e9es des titulaires de carte sont partag\u00e9es avec des prestataires de services, Kabboul Kenza et Nexgendecor exigent une reconnaissance \u00e9crite de la responsabilit\u00e9 de la s\u00e9curit\u00e9 des donn\u00e9es par le prestataire. Un programme est mis en place pour contr\u00f4ler la conformit\u00e9 des prestataires de services \u00e0 la norme PCI DSS.<\/p>\n Contr\u00f4le d'acc\u00e8s<\/strong><\/p>\n But<\/strong><\/p>\n Cette politique est con\u00e7ue comme un compl\u00e9ment aux politiques, proc\u00e9dures et directives du syst\u00e8me afin de r\u00e9pondre aux exigences de la norme PCI DSS SAQ C pour les commer\u00e7ants. Elle s'applique \u00e0 tous les syst\u00e8mes des magasins Kabboul Kenza et nexgendecor qui stockent, traitent ou transmettent les donn\u00e9es des titulaires de carte, ainsi qu'aux utilisateurs ayant acc\u00e8s \u00e0 ces donn\u00e9es.<\/p>\n Politique<\/strong><\/p>\n Tous les syst\u00e8mes de l'environnement de traitement des paiements doivent \u00eatre prot\u00e9g\u00e9s par un nom d'utilisateur et un mot de passe uniques. Les comptes utilisateurs uniques indiquent que chaque compte utilis\u00e9 est associ\u00e9 \u00e0 un utilisateur ou \u00e0 un processus individuel, sans recours \u00e0 des comptes de groupe g\u00e9n\u00e9riques utilis\u00e9s par plusieurs utilisateurs ou processus.<\/p>\n Tous les comptes par d\u00e9faut fournis avec les syst\u00e8mes d'exploitation, les bases de donn\u00e9es et\/ou les appareils doivent \u00eatre supprim\u00e9s, d\u00e9sactiv\u00e9s ou renomm\u00e9s, si possible. Tous les comptes doivent respecter les exigences de mot de passe de la norme PCI-DSS.<\/p>\n La norme PCI exige que les mots de passe r\u00e9pondent aux exigences suivantes\u00a0:<\/p>\n Exigences relatives au mot de passe<\/p>\n Les comptes dans l'environnement de donn\u00e9es de carte sont \u00e9galement soumis aux exigences suivantes<\/p>\n Acc\u00e8s \u00e0 distance<\/strong><\/p>\n But<\/strong><\/p>\n Cette politique est con\u00e7ue comme un compl\u00e9ment aux politiques, proc\u00e9dures et directives du syst\u00e8me afin de r\u00e9pondre aux exigences de la norme PCI DSS SAQ C pour les commer\u00e7ants. Elle s'applique \u00e0 tous les syst\u00e8mes des magasins Kabboul Kenza et nexgendecor qui stockent, traitent ou transmettent les donn\u00e9es des titulaires de carte, ainsi qu'aux utilisateurs ayant acc\u00e8s \u00e0 ces donn\u00e9es.<\/p>\n Politique<\/strong><\/p>\n Tous les employ\u00e9s, administrateurs ou fournisseurs b\u00e9n\u00e9ficiant d'un acc\u00e8s \u00e0 distance aux donn\u00e9es de carte doivent utiliser l'authentification \u00e0 deux facteurs. Les comptes tiers ne seront actifs que lorsque l'acc\u00e8s est requis pour le service rendu et seront audit\u00e9s par le syst\u00e8me pendant la connexion. L'acc\u00e8s \u00e0 distance des tiers doit \u00eatre d\u00e9sactiv\u00e9 imm\u00e9diatement apr\u00e8s l'acc\u00e8s.<\/p>","protected":false},"excerpt":{"rendered":" Kabboul Kenza Owner, CEO. Effective date April 17, 2020 Last content update April 17, 2020 Purpose This policy explains Kabboul<\/p>","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-165393","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/nexgendecors.com\/fr\/wp-json\/wp\/v2\/pages\/165393","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nexgendecors.com\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nexgendecors.com\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nexgendecors.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nexgendecors.com\/fr\/wp-json\/wp\/v2\/comments?post=165393"}],"version-history":[{"count":0,"href":"https:\/\/nexgendecors.com\/fr\/wp-json\/wp\/v2\/pages\/165393\/revisions"}],"wp:attachment":[{"href":"https:\/\/nexgendecors.com\/fr\/wp-json\/wp\/v2\/media?parent=165393"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\n
\n
\n
\n
\n
\n
\nLes supports papier doivent \u00eatre d\u00e9truits par d\u00e9chiquetage, incin\u00e9ration ou r\u00e9duction en p\u00e2te afin d'emp\u00eacher toute reconstitution des donn\u00e9es du titulaire. Les conteneurs contenant les informations en attente de destruction doivent \u00eatre s\u00e9curis\u00e9s afin d'emp\u00eacher l'acc\u00e8s \u00e0 leur contenu. (Exigence PCI 9.10.1)<\/p>\n\n
\n
\n
\n
\n
\nCe processus doit inclure les \u00e9l\u00e9ments suivants :<\/p>\n\n
\n
\n
\n
\n
\n