20 meilleurs outils de conformité PCI DSS

PCI DSS tire son nom de l'institution qui l'a créé : le Industrie des cartes de paiement Association. L'organisation dispose d'une division, appelée Conseil des normes de sécurité de l'industrie des cartes de paiement , qui commande et sponsorise des normes pour aider à protéger le secteur financier et ses clients. La partie « DSS » du nom de la norme signifie Normes de sécurité des données .

PCI DSS n'est pas appliqué par la loi. Cependant, il s’agit d’une exigence de Visa, Mastercard, American Express, Discover et JCB, donc si vous ne vous y conformez pas, vous ne pourrez pas traiter les paiements par carte des clients de ces systèmes.

La protection des informations personnelles des clients est une exigence légale forte de la Règlement Général sur la Protection des Données (RGPD) , qui est appliquée dans l’ensemble de l’Union européenne (UE).

Voici notre liste des meilleurs outils de conformité PCI DSS :

• Gestion des droits d'accès
  1. Gestionnaire de droits d'accès SolarWinds (ESSAI GRATUIT)Surveille les implémentations d'Active Directory, y compris les autorisations Exchange Server et SharePoint. Fonctionne sur Windows Server.
  2. ManageEngine ADAudit Plus (ESSAI GRATUIT)Produit des rapports prouvant la conformité à la norme PCI DSS et à d'autres normes de sécurité des données.
• Gestion des correctifs logiciels
  1. Gestionnaire de correctifs SolarWinds (ESSAI GRATUIT)Maintient le logiciel à jour afin de fermer les exploits. Fonctionne sur Windows Server et est conforme à la norme PCI DSS.
• Outils de gestion des informations et des événements sur la sécurité
  1. Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT)Surveille l’accès aux journaux et la transmission des données pour détecter les tentatives d’accès non autorisées aux données.
  2. Analyseur de journaux d'événements ManageEngine (ESSAI GRATUIT)Gestionnaire Syslog qui comprend des audits et des rapports de conformité PCI DSS pré-écrits, ainsi que des audits HIPAA et FISMA.
• Systèmes de prévention des intrusions
  1. OSSECUn outil d'analyse de journaux très respecté, open source et gratuit à utiliser. Il lui manque une interface utilisateur.
  2. Splunk EntrepriseUn analyseur de trafic en direct qui fonctionne sous Windows ou Linux. Disponible en versions gratuites et payantes.
• Systèmes anti-malware
  1. Protection et réponse des points finaux MalwarebytesUn système anti-malware certifié PCI DSS Requirement 5. Fonctionne sous Windows.
  2. Trend Micro Sécurité pour MacFournit une conformité certifiée PCI DSS Exigence 5 et fonctionne sur Mac OS.
• Protection de l’environnement des données des titulaires de cartes
  1. ManageEngine Endpoint DLP Plus (ESSAI GRATUIT)Cet ensemble d'outils de prévention contre la perte de données comprend un système de découverte et de catégorisation des données sensibles et applique des contrôles sur l'accès et le mouvement des données. Fonctionne sur Windows Server.
  2. MOUTARDEUn localisateur de données sensibles gratuit qui fonctionne sous Windows, Linux, Mac OS et Unix.
  3. PowerGREPUn localisateur de données sensibles avec une garantie de remboursement de 3 mois.
• Surveillance de sécurité sans fil
  1. OpenWIPS-NGUn système de prévention des intrusions pour les réseaux sans fil. Cet utilitaire est gratuit à utiliser et à installer sur Linux.
  2. Aruba RFProtectUn système de prévention des intrusions sans fil conforme aux spécifications PCI DSS.
• Casiers de protection par mot de passe
  1. KeepPass mot de passe sécuriséUn système de protection par mot de passe gratuit pour Windows, Linux, Mac OS, Linux et les clés USB.
  2. Mot de passe GorilleUn protecteur de mot de passe largement utilisé pour Windows, Linux, Mac OS et Unix.
• Systèmes de surveillance de réseau
  1. Moniteur de performances réseau SolarWinds (ESSAI GRATUIT)Le principal moniteur de performances réseau avec des routines basées sur SNMP qui s'exécute sur Windows Server.
  2. Moniteur de performances réseau Paessler PRTGUn moniteur tout-en-un qui couvre les réseaux, les serveurs et les applications. Fonctionne sur Windows Server.
• Gestion de la configuration
  1. Gestionnaire de configuration réseau ManageEngineCet outil protège les commutateurs, les routeurs et les pare-feu contre les modifications de configuration non autorisées.
  2. Gestionnaire de configuration réseau SolarWinds(ESSAI GRATUIT)Un gestionnaire de configuration conforme à PCI DSS et s'intégrant à d'autres outils de gestion d'infrastructure SolarWinds.

L’introduction de mesures de protection des données est une bonne idée. Cela protégera les informations sensibles de votre entreprise et garantira que vous ne serez pas poursuivi en justice par des clients ou des employés pour divulgation de données.

Il existe de nombreuses catégories d'outils de sécurité dont vous aurez besoin pour renforcer la sécurité de votre système afin de protéger les données des clients et les informations sur les transactions par carte. Ceux-ci sont:

• Gestion des droits d'accès
• Outils de gestion des informations et des événements sur la sécurité
• Systèmes de prévention des intrusions
• Systèmes anti-malware
• Protection de l’environnement des données des titulaires de cartes
• Surveillance de sécurité sans fil
• Casiers de protection par mot de passe
• Systèmes de surveillance de réseau
• Gestion des correctifs logiciels
• Gestion de la configuration

Nous expliquerons chacun de ces types de logiciels et proposerons les deux meilleurs outils dans chaque catégorie.

Gestion des droits d'accès

Vous devez contrôler qui a accès aux données des titulaires de carte. Dans les cas où les opérateurs ont besoin de consulter les informations sur les transactions et les clients, par exemple pour les remboursements et les demandes des clients, vous devez limiter les catégories de données accessibles.

Les noms d’utilisateur et mots de passe des utilisateurs autorisés sont la cible d’un type d’attaque de pirate informatique, appelé «  Hameçonnage ». Cette méthode de piratage incite le personnel à divulguer ses comptes de connexion. Si vous autorisez également l'accès externe à votre réseau, de telles erreurs concernant la confidentialité des informations d'identification des utilisateurs peuvent menacer la sécurité de vos données.

Un logiciel de gestion des droits d’accès vous aidera à suivre les activités des utilisateurs autorisés de l’entreprise et à vous assurer qu’ils ne se livrent pas à des activités non autorisées. Suivi de l'activité des utilisateurs est une exigence de la norme PCI DSS. Vous devez conserver des journaux de chaque session utilisateur à présenter pour tout audit PCI DSS.

Notre méthodologie de sélection d'un outil de conformité PCI DSS

Nous avons examiné le marché des services vous permettant de vous conformer aux exigences PCI DSS et analysé les options en fonction des critères suivants :

• Journalisation de toutes les actions
• Stockage des journaux dans une structure de répertoires significative et dans des collections cohérentes et clairement étiquetées
• Facilités pour identifier le compte utilisateur impliqué dans chaque action
• Chiffrement pour protéger les données en transit et au repos
• Contrôles d'accès aux fichiers pour les données sensibles
• Un essai gratuit ou un package de démonstration permettant une évaluation sans risque
• Un bon rapport qualité-prix grâce à un outil de sécurité complet qui ne coûte pas cher

En gardant ces critères de sélection à l'esprit, nous avons identifié une liste d'outils de gestion et de surveillance du système qui protégeront les données des comptes bancaires et assureront la conformité à la norme PCI DSS.

Les deux meilleurs systèmes de gestion des droits d’accès que vous devriez examiner sont :

1. Gestionnaire des droits d'accès SolarWinds(ESSAI GRATUIT)

LeGestionnaire des droits d'accès SolarWindscontribue à Conformité PCI DSS . L'outil surveille Active Directory, Exchange Server, SharePoint et les serveurs de fichiers. Il produit des journaux qui détaillent l'utilisateur, le système accédé et les heures d'accès. Le tableau de bord renvoie aux informations utilisateur pour vous montrer non seulement le nom d'utilisateur, mais également le vrai nom du titulaire du compte.

Avantages:

• Fournit un aperçu clair des autorisations et des structures de fichiers grâce à un mappage et des visualisations automatiques
• Les rapports préconfigurés facilitent la démonstration de la conformité
• Tous les problèmes de conformité sont signalés après l'analyse et associés à des actions correctives.
• Les administrateurs système peuvent personnaliser les droits d'accès et le contrôle dans Windows et d'autres applications

Les inconvénients:

• SolarWinds Access Rights Manager est une plate-forme approfondie conçue pour les administrateurs système dont l'apprentissage complet peut prendre du temps.

L'ARM intègre également une fonction de gestion des utilisateurs, notamment un portail en libre-service qui permet aux utilisateurs de vérifier leurs comptes et d'effectuer des tâches d'administration simples, telles que la modification de leurs mots de passe. Cet outil vous donne la possibilité de superviser un grand nombre d'utilisateurs à partir d'un seul tableau de bord. C'est un outil payant qui fonctionne sur Serveur Windows et vous pouvez l'obtenir avec un essai gratuit de 30 jours.

LE CHOIX DES ÉDITEURS

Gestionnaire des droits d'accès SolarWindsest notre premier choix pour un outil de conformité PCI DSS, car l'authentification des utilisateurs et les droits d'accès correctement gérés sont le fondement de la sécurité des données. Ce package s'exécute sur votre propre site et évalue toutes les entrées de votre catalogue global AD. Cela garantira que les groupes d'utilisateurs et leurs autorisations sont bien définis et que les comptes abandonnés ont été supprimés. Avec cet outil, vous pouvez appliquer une politique de mot de passe solide et efficace et réduire la menace d'attaques de pirates. Être capable de suivre l'activité des utilisateurs est fondamental pour la norme PCI DSS et le contrôle de l'accès aux données sensibles ne peut être appliqué sans une gestion appropriée des comptes utilisateur.

Télécharger:Obtenez un essai gratuit de 30 jours

Site officiel:https://www.solarwinds.com/access-rights-manager/registration

TOI:Serveur Windows

2. ManageEngine ADAudit Plus (ESSAI GRATUIT)

ManageEngine ADAudit Plusest très efficace pour mettre en œuvre la conformité PCI DSS et générer des rapports d’audit pour prouver automatiquement votre valeur. Cet outil se concentre sur Active Directory , surveillant et enregistrant toute modification des autorisations enregistrées dans AD. Il enregistrera les actions des utilisateurs entrant et sortant de différents systèmes. Il suit les modifications apportées aux autorisations des fichiers et des dossiers d'audit, ce qui vous alertera en cas d'activité d'intrus. Vous pouvez archiver les données d'alerte jusqu'à trois ans et générer des rapports d'audit.

Avantages:

• Rapports détaillés, peuvent générer des rapports de conformité pour toutes les principales normes (PCI, HIPAA, etc.)
• Prend en charge plusieurs domaines, idéal pour les réseaux d'entreprise et l'utilisation multi-locataires
• Propose une délégation aux équipes du CNO ou du service d'assistance
• Vous permet d'afficher visuellement les autorisations de partage et les détails des groupes de sécurité

Les inconvénients:

• A une courbe d'apprentissage plus abrupte que des outils similaires

Ce logiciel fonctionne sous Windows et est disponible en éditions gratuites et payantes. Vous pouvez obtenir un30 jours d'essai gratuitde l'édition Professionnelle.

ManageEngine ADAudit Plus Téléchargez la version d'essai GRATUITE de 30 jours

Gestion des correctifs logiciels

Le fait de ne pas maintenir à jour les logiciels d’application crée une faille de sécurité. De nombreuses mises à jour de logiciels ne sont produites que lorsqu'une nouvelle vulnérabilité dans les systèmes existants est découverte. Les éditeurs de logiciels qui fournissent ces programmes écrivent rapidement des mises à jour pour mettre fin à l'exploit. Il est très difficile de maintenir tous les logiciels à jour, c'est pourquoi les outils automatisés de gestion des correctifs aident à maintenir un réseau sécurisé et conforme aux normes. Exigence PCI DSS 6 . Voici deux gestionnaires de correctifs que nous recommandons.

3. Gestionnaire de correctifs SolarWinds(ESSAI GRATUIT)

LeGestionnaire de correctifs SolarWindsfonctionne sur Windows Server et intègre Microsoft WSUS gestion des correctifs et SCCM . Il s'agit d'un système de gestion des vulnérabilités qui enregistre tous les logiciels exécutés sur votre site et reste alerté de toutes les mises à jour disponibles pour ces packages. Le tableau de bord répertorie les correctifs disponibles et les déploiera automatiquement après approbation. Le système produit également rapports d'audit pour aider à démontrer la conformité à la norme PCI DSS.

Avantages:

• Un tableau de bord simple facilite le suivi et la visualisation des correctifs et de leur progression, même sur des réseaux plus vastes
• Intégré directement à SCCM pour un déploiement de correctifs plus fluide
• Prend en charge une grande variété d’options de correctifs tiers
• Peut répondre rapidement aux exigences de conformité en appliquant automatiquement des correctifs aux systèmes

Les inconvénients:

• L'outil est destiné aux entreprises et n'est peut-être pas la meilleure option pour les laboratoires à domicile ou les petits réseaux.

SolarWinds Patch Manager est disponible en téléchargement avec un essai gratuit de 30 jours.

SolarWinds Patch Manager Téléchargez un essai GRATUIT de 30 jours

Outils de gestion des informations et des événements sur la sécurité

Gestion des informations de sécurité et des événements ( SIEM ) propose deux méthodes de suivi qui vous permettent de suivre l'activité sur votre système. Il s'agit de la surveillance des fichiers journaux et de l'examen de l'activité qui transite sur votre réseau.

La protection des fichiers journaux est particulièrement importante pour la conformité PCI DSS. Vous devez être en mesure de démontrer un suivi complet de tous événements d'accès aux données . Ceux-ci doivent être enregistrés dans des fichiers journaux, mais les pirates informatiques qui souhaitent détruire ou voler vos données le savent et suppriment ou modifient ces fichiers. Les outils SIEM sauvegardent les fichiers journaux, vérifient les modifications et restaurent les versions d'origine. Ils vous permettent également de rechercher dans tous les journaux d'événements des enregistrements pertinents, car le nombre d'enregistrements d'événements produits par tout système peut être écrasant. Logiciel SIEM suit également le trafic réseau à la recherche d'activités suspectes.

4. Gestionnaire d'événements de sécurité SolarWinds(ESSAI GRATUIT)

LeGestionnaire d’événements de sécurité SolarWindssécurise les fichiers journaux, déclenchant des alertes lorsqu’une falsification est détectée. Vous pouvez regarder les messages du journal en direct dans le tableau de bord et lire les données des fichiers vers un analyseur. L'outil est livré avec rapports pré-écrits qui prouvent la conformité PCI DSS.

Le gestionnaire d'événements de sécurité s'exécute sur Serveur Windows mais peut collecter les messages de journal de n'importe quel système d'exploitation et est également capable de gérer le stockage des fichiers journaux sur une clé USB. Il est également capable de automatiser les réponses à une intrusion détectée . Ces mesures incluent la possibilité de suspendre ou de bloquer l'accès à des adresses spécifiques, d'arrêter des programmes et des processus, de désactiver des comptes d'utilisateurs et de bloquer les périphériques de stockage USB.

Avantages:

• Outil axé sur l'entreprise avec un grand nombre d'intégrations différentes
• Peut détecter et arrêter rapidement les tentatives d'accès non autorisées, protégeant ainsi les données sensibles
• Les modèles permettent aux administrateurs de commencer à utiliser SEM avec peu de personnalisation nécessaire
• L'outil d'analyse historique aide à détecter les comportements anormaux, permettant ainsi aux administrateurs système de gagner du temps en lisant entre les lignes.

Les inconvénients:

• SolarWinds Security Event Manager est un produit de sécurité avancé conçu pour les professionnels de l'informatique et nécessite du temps pour être pleinement appris.

Le Security Event Manager est un outil payant adapté aux grands réseaux. Vous pouvez le vérifier lors d’un essai gratuit de 30 jours.

SolarWinds Security Event Manager Téléchargez un essai GRATUIT de 30 jours

5. Analyseur ManageEngine EventLog (ESSAI GRATUIT)

LeAnalyseur de journaux d'événements ManageEnginesuit les messages Syslog et recherche toute activité anormale sur les réseaux en utilisant des procédures SNMP. Le visualiseur de données est capable d'opérer sur à la fois des données en direct et des messages archivés avec des opérations de données, telles que des utilitaires de tri, de recherche, de filtrage et de regroupement.

L'outil protège les fichiers journaux par compression et cryptage, imposant une authentification pour l'accès au contenu. Il surveille également les sommes de contrôle sur les fichiers journaux, générant des alertes lorsqu'elles changent. L'EventLog Analyzer inclut un audit de conformité pour le PCI DSS . Il dispose également de processus et de rapports qui vous aideront à vous conformer aux normes FISMA et HIPAA.

Avantages:

• Tableaux de bord personnalisables qui fonctionnent parfaitement pour les centres d'exploitation réseau
• Utilise la détection des anomalies pour aider les techniciens dans leurs opérations quotidiennes
• Prend en charge la surveillance de l'intégrité des fichiers qui peut servir de système d'alerte précoce en cas de ransomware, de vol de données et de violations de conformité.
• Les fonctionnalités d'audit des journaux médico-légaux permettent aux administrateurs d'exécuter des rapports d'audit préconfigurés pour garantir la conformité.

Les inconvénients:

• L'exploration complète de la plateforme ManageEngine peut prendre du temps, ce qui nécessite un investissement de temps décent

Le logiciel fonctionne sous Windows ou Linux et vous pouvez l'obtenir avec un essai gratuit de 30 jours.

ManageEngine EventLog Analyzer Téléchargez un essai GRATUIT de 30 jours

Systèmes de prévention des intrusions

Les systèmes de prévention des intrusions sont très similaires aux systèmes SIEM. Ils enregistrent les modèles de trafic standard sur un réseau, puis recherchent les variations par rapport à cette référence. Ils examinent également le comportement des paquets qui passent et recherchent des identifiants dans les en-têtes des paquets pour détecter les signes d'avertissement. La principale caractéristique d’un système IPS est qu’il détecte non seulement les intrusions, mais qu’il prend également des mesures automatisées pour arrêter cette activité. Comme expliqué ci-dessus, OSSEC dispose de capacités de prévention des intrusions. Voici deux autres outils IPS que nous recommandons :

6. OSSEC

OSSEC est un système gratuit de détection d'intrusion basé sur l'hôte qui propose une analyse des fichiers journaux et un traitement des messages de journal en direct. Cet outil dispose d’un excellent moteur analytique, mais d’un front-end épouvantable. Cependant, il existe de nombreux outils gratuits de visualisation de données compatibles avec OSSEC, tels que Journal gris , Splunk , et Kibana .

Ce système appartient à Tendance Micro , qui est une importante entreprise de cybersécurité. Le logiciel s'installe sur les fenêtres , Linux , Unix , et MacOS . Il est capable de collecter les messages de journalisation du réseau provenant de n'importe quel système d'exploitation, quel que soit celui sur lequel il est installé.

L'outil archive les fichiers journaux chaque fois qu'ils sont modifiés, ce qui permet de revenir en arrière en cas d'interférence. Il utilise une base de règles pour détecter les comportements anormaux sur le réseau. Les fonctions de surveillance des journaux d'OSSEC répondent aux exigences de Exigence PCI DSS 10 et les fonctionnalités d'application de l'intégrité des fichiers de l'outil sont conformes aux sections 10.5.5 et 11.5 de la norme PCI DSS.

Avantages:

• Peut être utilisé sur une large gamme de systèmes d'exploitation, Linux, Windows, Unix et Mac
• Peut fonctionner comme une combinaison SIEM et HIDS
• L'interface est facile à personnaliser et hautement visuelle
• Les modèles créés par la communauté permettent aux administrateurs de démarrer rapidement

Les inconvénients:

• Nécessite des outils secondaires comme Graylog et Kibana pour une analyse plus approfondie
• La version open source manque de support payant

7. Splunk Entreprise

Splunk est un analyseur de trafic réseau en versions gratuite et payante. Les versions supérieures, Splunk Enterprise et Nuage Splunk inclure des capacités IPS. Les éditions inférieures sont Splunk Free et Splunk Light. Les procédures de détection de l'outil incluent la surveillance du trafic réseau et l'analyse des fichiers journaux. La méthode de détection recherche les anomalies, qui sont des modèles de comportement inattendu.

Pour bénéficier d'une détection des anomalies basée sur l'IA et de systèmes de prévention automatisés puissants avec Splunk, vous devez le compléter avec le Sécurité d'entreprise Splunk module complémentaire, disponible sur un essai gratuit de sept jours . Symantec a choisi de conclure un accord avec Splunk afin d'intégrer Splunk Enterprise dans ses produits de sécurité et d'acquérir des capacités de conformité PCI DSS.

Avantages:

• Peut utiliser l'analyse du comportement pour détecter les menaces qui ne sont pas découvertes via les journaux
• Excellente interface utilisateur, très visuelle avec des options de personnalisation faciles
• Priorisation facile des événements
• Conçu pour aider les grandes entreprises à garder une longueur d'avance sur les exigences de conformité
• Disponible pour Linux et Windows

Les inconvénients:

• Le prix n'est pas transparent, nécessite un devis du fournisseur
• Plus adapté aux grandes entreprises
• A une courbe d'apprentissage abrupte par rapport à des outils similaires

Splunk Enterprise s'installe sur Windows ou Linux. Vous pouvez l'obtenir un essai gratuit de 60 jours . Si vous préférez l'édition Cloud, vous pouvez y accéder sur un essai gratuit de 15 jours .

Systèmes anti-malware

Les menaces de logiciels malveillants visant les informations client et les données de transactions par carte conservées sur votre système se concentrent autant sur l'endommagement ou la suppression des données que sur leur vol. Spyware et chevaux de Troie d'accès à distance (RAT) aide les pirates à voler vos données, tandis que les ransomwares et les logiciels malveillants destructeurs supprimeront ou brouilleront vos données pour les rendre inutilisables. L'installation d'un anti-malware sur votre système est Exigence 5 de la norme PCI DSS .

8. Protection et réponse des points finaux Malwarebytes

Malwarebytes a été validé comme fournissant Exigence PCI DSS 5 protection des données. La société ne classe pas son produit, Malwarebytes Endpoint Protection, comme un système antivirus. Au lieu de cela, il l’appelle un « remplacement d'antivirus ». Le système fonctionne sur les fenêtres et fonctionne de manière très similaire à un réseau IPS, sauf que son domaine est un poste de travail. Plutôt que de s'appuyer sur une base de données de menaces comme un antivirus traditionnel, le logiciel recherche des signatures d'anomalies dans les processus exécutés sur l'ordinateur. Il met ensuite en œuvre des procédures de remédiation automatisées pour supprimer la menace.

Le logiciel est capable de détecter les activités irrégulières effectuées par les utilisateurs autorisés – un signe de identifiants volés . Il protège contre les ransomwares en enregistrant des sauvegardes des fichiers modifiés afin que tous puissent être restaurés s'ils sont cryptés de manière malveillante.

Avantages:

• Fournit une protection complète des points finaux sans taxer les ressources locales
• Peut détecter les logiciels publicitaires et les nagwares ainsi que les menaces légitimes
• Offre une analyse de conformité PCI DSS

Les inconvénients:

• Ce serait bien de donner plus de contrôle à certains groupes pour modifier certains paramètres sur la machine locale

9. Trend Micro Sécurité pour Mac

Trend Micro est la société propriétaire d'OSSEC. Il classe Security for Mac comme un produit destiné aux utilisateurs à domicile. Cependant, le système est entièrement conforme pour Exigence PCI DSS 5 , c'est donc également un bon choix pour les entreprises.

En plus de bloquer les virus, il protège votre navigateur contre toute une série d’attaques Internet et empêche les logiciels intrus de prendre le contrôle de la caméra et du microphone de votre Mac. Le système de détection est basé sur l’IA, ce qui signifie qu’il est capable de bloquer les nouveaux virus. Il comprend également la protection des e-mails et la gestion des mots de passe.

Avantages:

• Analyse de conformité PCI native pour Mac OS
• Facile à utiliser, même pour les utilisateurs non techniques
• Offre une protection intégrée contre les ransomwares

Les inconvénients:

• Le système de balisage de recherche permettant de bloquer certains sites peut être facilement contourné

Comme son nom l'indique, ce logiciel fonctionne sur Mac. Cependant, un produit plus sécurisé, appelé Sécurité maximale est disponible pour Windows, Mac OS, iOS et Android. Ce package peut être acheté avec une licence de 10 appareils.

Protection de l’environnement des données des titulaires de cartes

L'exigence 1 de la norme PCI DSS exige que vous définissiez votre Environnement des données des titulaires de cartes . Cela signifie tous les équipements et processus qui traitent les données des titulaires de carte et les éléments informatiques qui soutiennent cette infrastructure. Vous devez dessiner un diagramme de l'environnement des données du titulaire de la carte de ce système.

Une astuce pour retrouver tous ces détails est de commencer par l’emplacement où les données du titulaire de la carte sont stockées, puis de suivre tous les logiciels qui les ont stockées à cet endroit. Vous devez ensuite examiner les services et le matériel qui ont pris en charge le processus qui a placé les données à cet endroit. Voici deux outils que vous pouvez utiliser pour retracer les données des titulaires de carte.

10. ManageEngine Endpoint DLP Plus (ESSAI GRATUIT)

ManageEngine Endpoint DLP Plusest un système d’application de politiques pour la protection des données. Il recherche les données sensibles sur les points de terminaison, puis catégorise ces instances. Le service peut être personnalisé pour répondre à des exigences spécifiques, telles que celles de la norme PCI DSS. Ceci est mis en œuvre en sélectionnant un modèle de politique. Le système DLP suit ensuite les activités des utilisateurs sur ces magasins de données et contrôle les mouvements des fichiers qui les contiennent.

Avantages:

• Identification et catégorisation des données sensibles
• Prévention des menaces internes
• Contrôles d'accès aux données

Les inconvénients:

• Pas d'édition cloud

ManageEngine Endpoint DLP Plus est proposé dans une édition gratuite limitée à la surveillance de 25 appareils. La version payante s'appelle l'édition Professionnelle et elle peut suivre tous les ordinateurs d'un réseau – elle peut également surveiller plusieurs sites dans une seule console. Le logiciel fonctionne sur Windows Server et vous pouvez l'évaluer lors d'un essai gratuit de 30 jours.

ManageEngine Endpoint DLP Plus Téléchargez la version d'essai GRATUITE de 30 jours

11. MOUTARDE

SENF est le chercheur de numéros sensibles. Il a été développé par le bureau de sécurité de l’information de l’Université du Texas à Austin et son utilisation est gratuite. Le logiciel est écrit en Java et fonctionne sous Windows, Linux, Mac OS et Unix. Il recherchera dans tout l'appareil les numéros sensibles qui y sont stockés, y compris les numéros de carte de crédit et les numéros de sécurité sociale. Le logiciel était disponible sur un référentiel GitHub mais a été supprimé depuis la première publication de cet article.

Avantages:

• Prend en charge les fonctionnalités multiplateformes sur Windows, Linux et Mac OS
• Est facile à lancer et ne sollicite pas les ressources du système

Les inconvénients:

• Assez limité dans ce qu'il peut faire de manière proactive
• Par rapport aux outils plus récents, SENF est obsolète en termes de fonctionnalités
• A été supprimé de GitHub, peut être difficile à trouver

12. PowerGREP

PowerGREP recherche dans les fichiers d'un ordinateur les formats de données spécifiés. Vous pouvez utiliser cette fonctionnalité pour rechercher des numéros de carte de crédit et établir tous les emplacements où sont conservées les données des titulaires de carte. L'outil peut rechercher dans tous les types de fichiers, y compris le texte, les fichiers binaires et les fichiers compressés.

Avantages:

• Méthodes de numérisation hautement détaillées et personnalisables
• Vous permet de prévisualiser les données découvertes pour exclure rapidement les faux positifs
• Peut analyser des fichiers compressés

Les inconvénients:

• Les filtres Regex peuvent être déroutants à utiliser
• L'interface peut être bruyante, ce qui rend difficile la recherche de certaines fonctionnalités

PowerGREP est un outil payant, mais les fournisseurs proposent une garantie de remboursement de trois mois .

Surveillance de sécurité sans fil

13. OuvrirWIPS-NG

OpenWIPS-NG est créé par les mêmes personnes qui ont produit Langue Aircrack , qui est un outil de hacker célèbre. C'est un gratuit IPS sans fil pour Linux . Le système comporte trois modules : un capteur , un serveur , et une interface . Le capteur est un renifleur de paquets qui transmet le trafic réseau au serveur, où l'analyse du trafic est effectuée.

Le capteur est également capable d'injecter du trafic dans des canaux ou de modifier le trafic sans fil qui passe. Cette action peut être commandée automatiquement lorsque le serveur détecte une intrusion. Il peut également être lancé manuellement. L'utilisateur accède aux flux de données via le troisième élément du package, qui est l'interface.

Avantages:

• Outil entièrement gratuit
• Effectue une analyse du trafic en direct et peut réanalyser le trafic capturé
• Les informations du tableau de bord par défaut sont informatives

Les inconvénients:

• Uniquement disponible pour Linux
• A une courbe d'apprentissage plus abrupte que les autres outils

14. Aruba RFProtect

Aruba RFProtect est un IPS sans fil. La société Aruba est une division de Hewlett-Packard et elle produit des équipements de réseau, y compris des points d'accès sans fil. Aruba RFProtect fonctionne à partir du point d'accès. Le programme analyse tous les canaux à la recherche de transmissions anormales et empêche également les modifications non autorisées de la configuration du point d'accès.

L'outil contient mesures de défense pour verrouiller les transmissions provenant d'adresses IP qui semblent être engagées dans des activités malveillantes. Il comprend un module d'audit et de reporting conforme aux PCI DSS et peut également être adapté aux exigences de reporting de conformité HIPAA, DoD 8100.2 et GLBA.

Avantages:

• Peut détecter automatiquement des anomalies telles que des points d'accès malveillants ou des attaques de désautorisation
• Peut bloquer automatiquement les adresses IP malveillantes sur un réseau
• Les analyses de reporting et d'audit sont préconfigurées pour PCI DSS

Les inconvénients:

• Les prix ne sont pas transparents, vous devez contacter l'équipe commerciale

Casiers de protection par mot de passe

Si vous souhaitez être considéré comme conforme à la norme PCI DSS, les gestionnaires de mots de passe ne sont pas une option – ils constituent une exigence de la norme. Créer des mots de passe longs composés de caractères aléatoires et les stocker pour les réutiliser car ils sont impossibles à mémoriser crée une sécurité supplémentaire pour le réseau. D’une part, les utilisateurs ne sont pas en mesure de divulguer les mots de passe dont ils ne peuvent pas se souvenir et les procédures d’accès au gestionnaire de mots de passe créent une barrière supplémentaire entre le monde extérieur et vos ressources. Voici deux systèmes de protection par mot de passe que nous recommandons :

15. Mot de passe KeepPass sécurisé

Le système de mot de passe a un Interface graphique qui répertorie tous les mots de passe stockés dans sa base de données interne. La base de données est verrouillée par AES ou Deux Poisson cryptage et vous devez créer un mot de passe pour accéder à l'interface. Une fois démarré, le programme s'exécutera en arrière-plan et remplira pour vous tous les mots de passe sur les écrans de l'ordinateur. Il dispose également d’un générateur de mots de passe puissant.

Avantages:

• Entièrement gratuit et facile à utiliser, idéal pour les utilisateurs finaux
• Utilise des méthodes de cryptage très puissantes qui résistent aux attaques par force brute
• Peut être exécuté à partir d'une clé USB

Les inconvénients:

• L'interface semble un peu datée et peut devenir encombrée lors de la gestion de centaines d'informations d'identification

C'est un gratuit système de protection par mot de passe pour Windows, Linux, Mac OS et Unix. Il existe également une version qui peut être exécutée à partir d'une clé USB.

16. Mot de passe Gorille

Ce casier distribue les mots de passe via le presse-papiers, vous devrez donc coller les mots de passe dans chaque site et application que vous visitez. Les mots de passe sont protégés par SHA256 et la base de données entière est cryptée par Deux Poisson . Le programme comprend un générateur de mots de passe qui fournit des chaînes aléatoires impossibles à mémoriser pour chaque mot de passe.

Avantages:

• Disponible pour Windows, Linux et Mac OS
• Comprend un générateur de mot de passe sécurisé
• Peut spécifier une certaine politique de mot de passe pour générer des informations d'identification à partir de

Les inconvénients:

• Je dois coller manuellement les mots de passe, les nouveaux gestionnaires prennent en charge la saisie automatique
• L'interface est assez limitée

Le mot de passe Gorilla en est un autre gratuit gestionnaire de mots de passe disponible pour Windows, Linux, Mac OS et Unix. Il existe également une version autonome qui fonctionnera à partir d'une clé USB.

Systèmes de surveillance de réseau

Bien que les systèmes de surveillance du réseau ne soient pas spécifiquement exigés par les exigences de la norme PCI DSS, la sécurité d'un système ne peut être garantie que par la stabilité. Vous devrez garder un œil sur les performances du réseau, car une défaillance partielle peut réduire l'efficacité des systèmes de sécurité détaillés ci-dessus. Voici deux systèmes de surveillance de réseau que nous recommandons.

17. Moniteur de performances du réseau SolarWinds(ESSAI GRATUIT)

LeMoniteur de performances du réseau SolarWindsest un moniteur réseau leader qui utilise SNMP procédures pour garder un contrôle constant sur l’état des périphériques réseau. L'équipement surveillé est capable d'envoyer un message d'alerte au moniteur lorsque des conditions d'urgence surviennent. Le moniteur est capable de protéger les systèmes sans fil et les virtualisations ainsi que les réseaux locaux standard. L'outil découvre automatiquement tous les périphériques réseau et génère une carte topologique du réseau.

Avantages:

• Conçu dans un souci d'évolutivité et d'entreprise, il peut prendre en charge des milliers d'appareils sur plusieurs réseaux locaux.
• Les tableaux de bord intuitifs fournissent des rapports de santé en un coup d'œil ainsi que des mesures plus granulaires
• Peut prendre en charge les environnements WAN et plusieurs configurations VPN
• La configuration du tableau de bord utilise de simples widgets glisser-déposer pour une personnalisation facile
• Les alertes permettent aux administrateurs système de gérer leur réseau local de manière plus proactive que la plupart des autres produits

Les inconvénients:

• Il s'agit d'un outil d'entreprise, et probablement pas le mieux adapté aux réseaux domestiques ou aux très petits réseaux locaux.

L’Analyseur de performances réseau SolarWinds s’installe sur Serveur Windows et vous pouvez bénéficier d'un essai gratuit de 30 jours de ce logiciel.

SolarWinds Network Performance Monitor Téléchargez un essai GRATUIT de 30 jours

18. Moniteur réseau Paessler PRTG

Moniteur réseau PRTG de Paesslerest un moniteur unifié de réseau, de serveur et d'applications qui contient une large collection de «  capteurs ». Chaque capteur est un moniteur individuel et vous choisissez lequel de la vaste bibliothèque de capteurs vous souhaitez activer. Le système s'installe sur Serveur Windows et son utilisation est gratuite si vous n'activez que jusqu'à 100 capteurs. Le moniteur utilise des procédures SNMP pour surveiller les réseaux locaux, les réseaux sans fil et les virtualisations.

Avantages:

• Prend en charge la surveillance LAN et WAN sur plusieurs réseaux
• Les capteurs peuvent être configurés pour des SLA d'application spécifiques afin de contribuer à garantir la conformité.
• Utilise un certain nombre de visualisations différentes pour aider à tenir les équipes et les administrateurs informés des performances du réseau
• Fournit jusqu'à 100 capteurs entièrement gratuits, idéal pour les petites entreprises

Les inconvénients:

• Possède de nombreuses fonctionnalités et options de personnalisation différentes, nécessite du temps pour explorer pleinement toutes les options et fonctionnalités

Vous pouvez bénéficier d’un essai gratuit de 30 jours du moniteur réseau PRTG de Paessler.

Paessler PRTG Network Monitor Téléchargez un essai GRATUIT de 30 jours

Gestion de la configuration

Les intrus peuvent accéder plus largement à votre réseau s’ils sont capables de modifier les paramètres de vos périphériques réseau, à savoir vos commutateurs et routeurs. Créer une configuration standard pour vos appareils, les sauvegarder et les installer sur de nouveaux appareils vous aide à être conforme aux Exigence PCI DSS 6 . Voici nos deux recommandations.

19. Gestionnaire de configuration réseau ManageEngine

Le gestionnaire de configuration réseau est capable de gérer configurations pour les commutateurs , routeurs , et pare-feu . Le service sauvegarde la configuration, puis surveille toute modification apportée à la configuration de vos appareils, en réinstallant l'image d'origine si des modifications non autorisées se produisent. Le système enregistre toutes les modifications et actions et produit des rapports d'audit pour faciliter la conformité PCI DSS.

Avantages:

• Disponible pour les systèmes Windows, Mac et Linux
• Découverte en continu des actifs grâce à la découverte automatique
• Peut immédiatement alerter lorsque des modifications sont apportées
• Organise soigneusement les réseaux, les appareils et l'infrastructure pour prendre en charge une utilisation multi-sites

Les inconvénients:

• Est une plate-forme de surveillance à service complet qui peut prendre du temps pour explorer pleinement toutes les options disponibles

Tu peux recevoir un essai de 30 jours du gestionnaire de configuration réseau ManageEngine.

20. Gestionnaire de configuration réseau SolarWinds(ESSAI GRATUIT)

LeGestionnaire de configuration réseau SolarWindss'intègre à SolarWinds Network Performance Monitor. Son module de reporting contribue à Conformité PCI DSS . Lors de l'installation, l'outil analyse le réseau, enregistre tous les commutateurs, routeurs et pare-feu et sauvegarde leurs configurations. Les modifications de configuration ultérieures doivent être apportées via l'interface du gestionnaire car elle écrasera toutes les modifications directes par son image stockée.

L'outil effectue des contrôles réguliers auprès du Base de données nationale de vulnérabilité Cisco et met à jour le firmware chaque fois que nécessaire. Il possède également de fortes capacités lors de l'interface avec le Appliance de sécurité adaptative Cisco pare-feu.

Avantages:

• Les rapports aident à résoudre les problèmes de conformité
• Peut découvrir automatiquement de nouveaux appareils sur le réseau et fournir des rapports de santé modèles pour des informations immédiates lors de l'installation
• Offre une gestion de la configuration, permettant aux équipes de sauvegarder et de restaurer rapidement les modifications pouvant avoir un impact sur les performances.
• Peut surveiller les paramètres pour détecter les modifications non autorisées et les équipes ou gestionnaires spécifiques
• Offre un tableau de bord personnalisable proposant une multitude d'options différentes pour visualiser les performances du réseau.

Les inconvénients:

• Non conçu pour les réseaux domestiques, il s'agit d'un outil d'entreprise conçu pour les administrateurs système et les techniciens réseau.

L'outil s'installe sur Windows Server et vous pouvez l'obtenir avec un essai gratuit de 30 jours.

SolarWinds Network Configuration Manager Téléchargez un essai GRATUIT de 30 jours

FAQ sur la conformité PCI DSS

Qu’est-ce que la conformité PCI DSS ?

PCI DSS signifie Norme de sécurité des données de l'industrie des cartes de paiement. Il s'agit d'un ensemble de directives que toute entreprise doit suivre si elle gère les paiements par carte de crédit ou de débit. Les règles ne s'appliquent qu'aux États-Unis. Cependant, la nature mondiale du commerce électronique signifie que les sites Web gérés par des entreprises dans d'autres pays pourraient devoir se conformer à la norme PCI DSS. L'objectif principal de ces règles est que les informations personnelles identifiables (PII), les détails du compte bancaire et les données de carte doivent être protégés autant que possible contre le vol, l'utilisation abusive ou l'altération.

La conformité PCI DSS est-elle obligatoire ?

PCI DSS est une norme industrielle et non une loi. La conformité est un impératif commercial et est généralement inscrite dans les contrats de service des banques et des systèmes de compensation des paiements. Le non-respect de cette règle entraînerait la suspension du compte du commerçant et il lui serait impossible d'accepter les paiements par carte.

Qui doit se conformer à la norme PCI DSS ?

Si vous ne savez pas si votre entreprise doit se conformer à la norme PCI DSS, consultez les contrats que vous avez conclus avec votre service de traitement des paiements. C’est là que PCI DSS est pertinent et si l’accord mentionne la norme, vous risquez de perdre votre compte si vous ne prenez pas de mesures pour protéger les informations personnelles et les données bancaires des clients.