Exigence 10 : Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte

Les exigences détaillées de la présente section sont pertinentes pour HCL Commerce. Examinez chaque point avec soin.

10.1 Mettre en œuvre des pistes d'audit pour relier tous les accès aux composants du système à chaque utilisateur individuel.

Tous les accès aux composants système doivent se faire par le biais d'ID individuels émis par un administrateur réseau.

10.2 Mettre en œuvre des pistes d'audit automatisées pour tous les composants du système afin de reconstituer les événements suivants :

L'audit métier de HCL Commerce enregistre les informations relatives à l'exécution de la logique applicative telles que l'instruction, le bean de données, le service Web, la requête, la réponse, le contexte de l'instruction et d'autres informations.

L'audit métier d'un niveau de détail approprié au PCI-DSS n'est pas activé par défaut. Pour vous conformer à PCI-DSS, vous devez activer l'audit métier pour le composant des commandes, en suivant les étapes suivantes :
  1. Ouvrez le fichier workspace_dir/WC/xml/config/BusinessAuditDataCapture.xml dans un éditeur de texte.
  2. Recherchez l'élément XML suivant :
    <EventType name="ORD" enabled="false"
eventFactory="com.ibm.commerce.event.businessaudit.eventfactory.BusinessAuditCommandExecutionAdminEventFactory">
  3. Modifiez enabled="false" en enabled="true".
  4. Sauvegardez vos modifications.
A faire : Sauvegardez la table BUSAUDIT avant de démarrer le serveur pour vous assurer que la piste d'audit est archivée.
Pour en savoir plus sur l'audit métier, consultez les sujets suivants :

10.2.1 Tous les utilisateurs individuels accèdent aux données des titulaires de carte

Une fois que vous avez activé le système HCL Commerce pour effectuer un audit métier, le système est défini pour auditer un grand ensemble de commandes, notamment toutes les commandes qui accèdent aux données des titulaires de carte.

Vous pouvez définir les instructions à soumettre à l'audit (telles que vos propres commandes personnalisées) en configurant le fichier BusinessAuditDataCapture.xml qui détermine les instructions devant être soumises à l'audit et les paramètres à capturer pendant un audit. Vous pouvez activer les instructions désactivées et ajouter ou supprimer des instructions.

Pour configurer l'audit métier :

Configuration d'un audit métier

10.2.2 Toutes les mesures prises par toute personne ayant des privilèges administratifs ou administratifs

Lorsque vous affichez le rapport d'audit métier, vous pouvez filtrer le rapport par LogonID, ce qui vous permet de voir tous les événements (en cours d'audit) pour un utilisateur particulier.

10.2.3 Accès à toutes les traces d'audit

Si vous modifiez un paramètre dans la piste d'audit, il est détectable. La colonne BUSAUDIT.SIGNATURE (qui est un hachage des paramètres) ne correspond pas aux paramètres.

En outre, vous devez surveiller la table BUSAUDIT afin d'éviter toute altération des données qu'elle contient. Pour vérifier la table BUSAUDIT, exécutez les instructions suivantes : 
CREATE AUDIT POLICY SENSITIVEDATAPOLICY
    CATEGORIES EXECUTE STATUS BOTH ERROR TYPE AUDIT
COMMIT

AUDIT TABLE BUSAUDIT USING POLICY SENSITIVEDATAPOLICY
COMMIT
OracleOracle auditing. Pour auditer la table BUSAUDIT, exécutez les instructions Oracle suivantes :
AUDIT SELECT, INSERT, DELETE
ON BUSAUDIT
BY ACCESS
WHENEVER SUCCESSFUL

10.2.4 Tentatives d'accès logiques non valides

Les tentatives d'accès logique non valides peuvent être enregistrées en activant la journalisation d'accès.

Il est recommandé de définir la valeur logAllRequests sur "false" pour des raisons de performance. Cela permettra de s'assurer que seules les requêtes entraînant des violations d'accès sont journalisées. Pour activer de journalisation des accès :

Activation de la journalisation des accès

10.2.5 Utilisation des mécanismes d'identification et d'authentification et leurs modifications ( y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges) et tous les changements, ajouts ou suppressions de comptes ayant des privilèges racine ou administratifs

HCL Commerce les mécanismes d'identification et d'authentification utilisent des commandes et peuvent donc être enregistrés avec l'audit métier.

10.2.6 Initialisation, arrêt ou mise en pause des journaux d'audit

HCL Commerce n'initialise pas les journaux d'audit. Cela ne peut être fait que par un administrateur de base de données. Reportez-vous aux instructions de 10.2.3 pour plus de détails sur l'initialisation du journal d'audit.

10.2.7 Création et suppression d'objets de niveau système

Toute création et suppression d'objets métier est effectuée par des commandes, et donc enregistrée dans l'audit métier.

10.3 Enregistrer au moins les entrées suivantes de piste d'audit pour tous les composants système de chaque événement :

La fonction d'audit commercial enregistre les entrées de la formation d'audit décrites dans les paragraphes suivants.

10.3.1 Identification utilisateur

LogonID est enregistré.

10.3.2 Type d'événement

Le type d'événement est enregistré. Ce paramètre est configurable en le mappant à un ensemble de commandes qui sont appelées.

10.3.3 Date et heure

La date et l'heure sont enregistrées.

10.3.4 Indication de réussite ou d'échec

La valeur de la zone BUSAUDIT.OCCURENCE indique s'il s'agit d'une sortie réussie ou d'une exception. Chaque commande dispose de deux enregistrements d'audit, un pour la tentative et l'autre pour le résultat. La colonne dispose d'une valeur pour indiquer une exception. Les valeurs OCCURENCE possibles sont les suivantes :

EXIT = 0 ;

EXCEPTION = 1 ;

ENTRY = 2 ;

EXECUTION = 3 ;

10.3.5 Origine de l'événement

Le nom de la classe de commande est enregistré.

10.3.6 Identité ou nom des données, composants système ou ressource affectés.

Le type d'événement peut être configuré pour capturer des données spécifiques (par exemple, OrderID). En outre, les paramètres de la commande sont enregistrés.

10.4 Grâce à la technologie de synchronisation du temps, synchronisez toutes les horloges et les heures critiques du système et vérifiez que les opérations suivantes sont implémentées pour l'acquisition, la distribution et le stockage du temps.
Remarque : Network Time Protocol (NTP) est un exemple de technologie de synchronisation de temps.

10.4.1 Les systèmes critiques disposent d'une heure correcte et cohérente.

10.4.2 Les données temporelles sont protégées.

10.4.3 Les paramètres temporels sont envoyés par des sources temporelles acceptées par le secteur.

Vérifiez que les horloges du système d'exploitation de tous vos serveurs HCL Commerce sont synchronisées et protégées par une technologie de synchronisation temporelle acceptée par le secteur, telle que NTP.

10.5 Sécuriser les pistes d'audit afin qu'elles ne puissent pas être modifiées

10.5.1 Limiter l'affichage des pistes d'audit aux personnes ayant des besoins liés au travail

Les pistes d'audit sont sécurisées dans la base de données HCL Commerce et sont authentifiées, qu'elles soient accessibles directement via la base de données ou via la console d'administration HCL Commerce.

10.5.2 Protéger les dossiers de piste d'audit contre les modifications non autorisées

Les pistes d'audit sont protégées, car elles sont stockées dans la base de données HCL Commerce.

En outre, si vous modifiez un paramètre dans la piste d'audit, il est détectable. La signature ne correspond pas aux paramètres.

10.5.3 Sauvegarder rapidement les fichiers de piste d'audit dans un serveur ou un média de journal centralisé difficile à modifier

Votre administrateur de base de données doit déjà effectuer des sauvegardes de base de données régulières.

10.5.4 Ecrire des journaux pour les technologies externes sur un serveur de journaux ou un périphérique multimédia sécurisé, centralisé et interne.

Le choix des réseaux câblés ou sans fil n'a pas d'importance pour HCL Commerce.

10.5.5 Utiliser un logiciel de surveillance de l'intégrité des fichiers ou de détection des changements pour vous assurer que les données journal existantes ne peuvent pas être modifiées sans générer d'alertes (même si l'ajout de nouvelles données ne doit pas provoquer d'alerte).

Chaque fois que les journaux sont falsifiés (comme déterminé par la zone SIGNATURE), une erreur est générée si la signature ne correspond pas aux paramètres de systemOut.log.

Selon le serveur de base de données que vous utilisez, vous pouvez également configurer des événements personnalisés avec un moniteur d'activité pour vous alerter de tout accès à la table BUSAUDIT. La fonction d'audit métier ne remplit que les instructions INSERT de base de données. Ainsi, toute mise à jour après INSERT serait une preuve de falsification, et n'importe quel administrateur de base de données peut facilement créer un déclencheur pour détecter cela.

10.6 Examiner les journaux et les événements de sécurité pour tous les composants du système afin d'identifier les anomalies ou les activités suspectes.
Remarque : Des outils de récolte, d'analyse et d'alerte des grumes peuvent être utilisés pour répondre à cette exigence.
10.6.1 Examiner au moins quotidiennement ce qui suit :
  • Tous les événements de sécurité
  • Journaux de tous les composants système qui stockent, traitent ou transmettent CHD et/ou TAS, ou qui pourraient avoir une incidence sur la sécurité de CHD et/ou SAD
  • Journaux de tous les composants du système critiques
  • Journaux de tous les serveurs et composants système qui exécutent des fonctions de sécurité (par exemple, pare-feu, systèmes de détection d'intrusion/systèmes de prévention des intrusions - IDS/IPS, serveurs d'authentification, serveurs de redirection de commerce électronique, etc.).

10.6.2 Examiner périodiquement les registres de tous les autres composants du système en fonction des politiques et de la stratégie de gestion des risques de l'organisation, telles que déterminées par l'évaluation annuelle des risques de l'organisation.

10.6.3 Suivre les exceptions et anomalies relevées au cours du processus d'examen.

Pour afficher les rapports d'audit métier, consultez ce sujet :

Visualisation d'un rapport d'audit métier

En plus des journaux d'audit, vous devez consulter vos journaux de serveurs Web (consultez la documentation de votre serveur Web) ou vos journaux WebSphere Application Server.

Pour en savoir plus sur les journaux du serveur d'applications :

Fichiers journaux des serveurs d'applications

10.7 Conserver l'historique des pistes d'audit pendant au moins un an, avec au minimum trois mois de données immédiatement disponibles pour analyse (par exemple, en ligne, archivées ou restaurables à partir de sauvegarde).

Par défaut, les pistes d'audit métier ne sont pas supprimées de la base de données. Votre administrateur de base de données peut supprimer les entrées de cette table en fonction de votre stratégie de conservation des pistes d'audit.

10.8 Veiller à ce que les stratégies de sécurité et les procédures opérationnelles de surveillance de tous les accès aux ressources du réseau et aux données des titulaires de carte soient documentées, utilisées et connues par toutes les parties concernées.

Le commerçant est responsable de la documentation et de la communication des politiques de sécurité et des procédures opérationnelles adressées à toutes les parties concernées.