Exigence 7 : Restreindre l'accès aux données des titulaires de carte en fonction de ce que l'entreprise doit savoir

Les exigences détaillées de la présente section sont pertinentes pour HCL Commerce. Examinez chaque point avec soin.

7.1 Limiter l'accès aux composants du système et aux données des titulaires de carte aux seules personnes dont le travail nécessite un tel accès.
  • 7.1.1 Définir les besoins d'accès pour chaque rôle, notamment :
    • Composants système et ressources de données auxquels chaque rôle doit accéder pour sa fonction
    • Niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.
  • 7.1.2 Limiter l'accès aux ID utilisateurs privilégiés au minimum de privilèges nécessaires à l'exercice des responsabilités professionnelles.
  • 7.1.3 Attribuer l'accès en fonction de la classification et de la fonction de chaque membre du personnel.
  • 7.1.4 Exiger une approbation documentée par les parties autorisées spécifiant les privilèges requis.

HCL Commerce dispose d'un mécanisme de contrôle d'accès extrêmement puissant, flexible et personnalisable. Ce mécanisme automatisé attribue des privilèges basés sur le ou les rôles attribués à l'ID utilisateur. Pour vous conformer au point 7.1.3, assurez-vous qu'un formulaire d'autorisation est requis pour tous les accès. WebSphere Commerce ne fournit pas ce formulaire.

Pour une vue d'ensemble complète du contrôle d'accès, voir :

Comprendre le contrôle d'accès

7.2 Mettre en place un système de contrôle d'accès aux composants du système qui limite l'accès en fonction du besoin de savoir de l'utilisateur et qui est réglé sur "tout refuser", sauf autorisation spécifique. Ce système de contrôle d'accès doit comprendre les éléments suivants :
  • 7.2.1 Couverture de tous les composants du système
  • 7.2.2 Attribution de privilèges à des personnes en fonction de la classification et de la fonction du poste
  • 7.2.3 Paramètre "tout refuser" par défaut

Le gestionnaire des stratégies est le composant de contrôle d'accès qui détermine si l'utilisateur actuel est ou non autorisé à exécuter l'action spécifiée sur la ressource indiquée, en fonction de son rôle. Les ID utilisateur qui ne se voient pas attribuer un poste se voient refuser tous les accès par défaut, sauf si vous modifiez les stratégies de contrôle d'accès par défaut.

Les stratégies de contrôle d'accès sont spécifiées au format XML. Lors de la création d'une instance, les stratégies et les groupes de stratégies par défaut sont chargés dans les tables de base de données appropriées. Lorsque HCL Commerce Application Server est démarré, les informations relatives au contrôle d'accès sont placées en mémoire cache afin que le gestionnaire des stratégies de contrôle d'accès puisse vérifier rapidement l'autorisation d'un utilisateur lorsqu'il est invité à le faire.

Application du contrôle d'accès

7.3 Veiller à ce que les stratégies de sécurité et les procédures opérationnelles visant à restreindre l'accès aux données des titulaires de carte soient documentées, utilisées et connues par toutes les parties concernées.

Le commerçant est responsable de la documentation et de la communication des politiques de sécurité et des procédures opérationnelles adressée à toutes les parties concernées.