Exigence 2 : Ne pas utiliser les mots de passe ni les paramètres de sécurité fournis par défaut par les éditeurs de logiciels
Les exigences détaillées de la présente section sont pertinentes pour HCL Commerce. Examinez chaque point avec soin.
2.1 Modifiez toujours les valeurs par défaut fournies par le fournisseur et supprimez ou désactivez les comptes par défaut inutiles avant d'installer un système sur le réseau.
Cela s'applique à TOUS les mots de passe par défaut, y compris, sans toutefois s'y limiter, à ceux utilisés par les systèmes d'exploitation, les logiciels fournissant des services de sécurité et des comptes d'applications et système, les terminaux de point de vente (POS), les chaînes communautaires Simple Network Management Protocol (SNMP), etc.
En plus de modifier les mots de passe par défaut, nous vous recommandons de ne pas utiliser de noms d'ID par défaut pour les comptes d'administrateur. Par exemple, n'utilisez pas wcsadmin, webadmin, root ou db2admin pour les ID d'utilisateur. Le compte d'administrateur est créé lorsque vous créez l'instance.
Pour information sur la modification des mots de passe, voir HCL Commerce.
2.1.1 Pour les environnements sans fil connectés à l'environnement de données des titulaires de carte ou la transmission des données des titulaires de carte, modifiez TOUS les paramètres par défauts du prestataire de services sans fil lors de l'installation, y compris, mais sans s'y limiter, les clés de chiffrement sans fil, les mots de passe et les chaînes de communauté SNMP par défaut..
HCL Commerce ne dépendent pas du fait que votre réseau soit sans fil ou non, et n'en est pas conscient. Si votre réseau interne est sans fil, assurez-vous d'avoir pris suffisamment de mesures pour renforcer votre réseau sans fil contre les menaces de sécurité.
Le renforcement est une procédure par laquelle vous renforcez la sécurité sur le serveur en désactivant les services et les ports inutiles, ce qui rend plus difficile l'accès au système par des fonctions inutilisés. Selon votre système d'exploitation, de nombreuses instructions de renforcement sont disponibles sur Internet.
2.2 Elaborez des normes de configuration pour tous les composants du système. Vérifiez que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes de renforcement du système communément acceptées par le secteur..
Développez une procédure définie pour vous assurer que les serveurs sur lesquels HCL Commerce s'exécutent suivent une configuration de sécurité et un plan de test cohérents.
2.2.1 Mettez en œuvre une seule fonction principale par serveur afin d'empêcher que des fonctions nécessitant différents niveaux de sécurité coexistent sur le même serveur. (Par exemple, les serveurs Web, les serveurs de base de données et les DNS doivent être implémentés sur des serveurs distincts.) Remarque : lors de l'utilisation de technologies de virtualisation, implémentez une seule fonction principale par composant du système virtuel.
2.2.2 Activez uniquement les services, protocoles, daemons, etc. nécessaires au fonctionnement du système.
Avant d'installer un logiciel HCL Commerce, renforcez le système d'exploitation. Le renforcement est une procédure par laquelle vous renforcez la sécurité sur le serveur en désactivant les services et les ports inutiles, ce qui rend plus difficile l'accès au système par des fonctions inutilisés. Selon votre système d'exploitation, de nombreuses instructions de renforcement sont disponibles sur Internet.
Pour votre référence, www.cisecurity.org est un site populaire pour télécharger des références de sécurité et des outils pour de nombreux systèmes d'exploitation différents.
2.2.4 Configurez les paramètres de sécurité du système pour éviter toute utilisation abusive.
HCL Commerce a fourni un ensemble de fonctionnalités de sécurité améliorées documentées ici : Considérations sur la sécurité du site
2.2.5 Supprimez toutes les fonctionnalités inutiles, telles que les scripts, pilotes, fonctions, sous-systèmes, systèmes de fichiers et serveurs Web inutiles.
HCL Commerce contient un vaste ensemble de fonctionnalités qui peuvent être activées et désactivées de manière selon vos besoins.
2.3 Chiffrez tous les accès administratifs qui ne relèvent pas de la console à l'aide d'une cryptographie forte. Utilisez des technologies telles que SSH, VPN ou SSL/TLS pour la gestion Web et d'autres accès administratifs qui ne relèvent pas de la console.
SSL est utilisé pour le Management Center, la console d'administration et HCL Commerce Accelerator. Reportez-vous au site Web suivant pour obtenir une liste des ports utilisés :Aide-mémoire sur les ID utilisateur, les mots de passe et les adresses Web
Les ports d'accès administratif ne doivent pas être disponibles en dehors du pare-feu. Vous devez exiger des utilisateurs distants qu'ils utilisent une technologie telle que VPN pour accéder à leur réseau avant d'accéder à toute fonction administrative HCL Commerce.
2.4 Tenez un inventaire des composants système entrant dans le champ d'application de la norme PCI DSS.
Le commerçant est chargé de conserver un stock des composants du système qui entrent dans le champ d'application pour PCI DSS.
2.5 Veillez à ce que les politiques de sécurité et les procédures opérationnelles de gestion des valeurs par défaut des fournisseurs et des autres paramètres de sécurité soient documentées, utilisées et connues par toutes les parties concernées.
Le commerçant est responsable de la documentation et de la communication des politiques de sécurité et des procédures opérationnelles adressée à toutes les parties concernées.
2.6 Les fournisseurs d'hébergement partagé doivent protéger l'environnement hébergé et les données de titulaires de cartes de chaque entité. Ces fournisseurs doivent satisfaire à des exigences précises, telles que celles détaillées à l'annexe A : Exigences PCI DSS supplémentaires pour les fournisseurs d'hébergement partagé.
Bien que cette exigence ne s'applique pas directement HCL Commerce à, si vous utilisez HCL Commerce comme un environnement d'hébergement, les responsabilités supplémentaires d'un fournisseur d'hébergement vous incombent.