Exigence 8 : Identifier et authentifier l'accès aux composants du système

Les exigences détaillées de la présente section sont pertinentes pour HCL Commerce. Examinez chaque point avec soin.

8.1 Définir et mettre en œuvre des politiques et des procédures visant à assurer une bonne gestion de l'identification des utilisateurs pour les utilisateurs et les administrateurs non consommateurs sur tous les composants du système comme suit :

8.1.1 Attribuer à tous les utilisateurs un ID unique avant de leur permettre d'accéder aux composants du système ou aux données des titulaires de carte.

Chaque utilisateur dans HCL Commerce dispose d'un ID utilisateur unique. Pour créer un utilisateur, voir :Création d'un utilisateur

Remarque : Ne partagez pas d'ID administratifs tels que wcsadmin. Créez un utilisateur distinct pour chaque administrateur, tout utilisateur impliqué dans le traitement des paiements ou tout utilisateur ayant accès aux données des titulaires de carte.

8.1.2 Contrôler l'ajout, la suppression et la modification des ID utilisateur, des informations d'identification et d'autres objets d'identification.

Toutes les modifications apportées aux ID utilisateur sont effectuées dans la console d'administration de l'organisation, qui est contrôlée par l'authentification par mot de passe et les autorisations basées sur les rôles.

Pour plus d'informations :

Console d'administration d'organisation

8.1.3 Révoquer immédiatement l'accès pour tous les utilisateurs non autorisés.

Une fois qu'un compte est désactivé, l'utilisateur ne peut plus se connecter à l'application HCL Commerce. Vous devez vous assurer que l'accès au système d'exploitation et l'accès au réseau de l'utilisateur sont également révoqués

8.1.4 Supprimer/désactiver les comptes d'utilisateurs inactifs au moins tous les 90 jours.

Vous pouvez supprimer les comptes d'utilisateurs inactifs ou désactivés tous les 90 jours à l'aide de l'utilitaire dbclean. Vous devez créer une planification pour cela avec votre administrateur de base de données.

Pour plus d'informations sur l'utilitaire dbclean :

Script de commande d'utilitaire de nettoyage de base de données

8.1.5 Gérer les ID utilisés par les fournisseurs pour accéder aux composants du système, les prendre en charge ou les entretenir via un accès à distance comme suit :
  • Activé uniquement pendant la période nécessaire et désactivé lorsqu'il n'est pas utilisé.
  • Surveillé lorsqu'il est utilisé.

HCL Commerce n'active ni ne prend en charge l'accès à distance. Si vous choisissez d'activer l'accès à distance à votre réseau, vous devez implémenter l'authentification à deux facteurs.

8.1.6 Limiter les tentatives d'accès répétées en verrouillant l'ID de l'utilisateur après pas plus de six tentatives.

Le seuil de blocage par défaut pour les administrateurs est de 3 tentatives tandis que, pour les clients, il est de 6 tentatives. Pour plus d'informations sur les stratégies de compte par défaut :

Stratégie de sécurité de compte par défaut

8.1.7 Définir la durée du blocage à un minimum de 30 minutes ou jusqu'à ce que l'administrateur autorise l'ID utilisateur.

Le blocage dans HCL Commerce se poursuit jusqu'à ce qu'un administrateur réactive le compte.

8.1.8 Si une session est inactive depuis plus de 15 minutes, demandez à l'utilisateur de s'authentifier à nouveau pour réactiver le terminal ou la session.

HCL Commerce dispose d'une fonction de délai d'attente de connexion, qui est activée par défaut. Si vous devez réactiver cette fonction :

Configuration du délai d'expiration basé sur les cookies

8.2 En plus d'attribuer un ID unique, assurer une gestion adéquate de l'authentification des utilisateurs pour les utilisateurs et les administrateurs non consommateurs sur tous les composants du système en utilisant au moins l'une des méthodes suivantes pour authentifier tous les utilisateurs :

  • Quelque chose que vous savez, comme un mot de passe ou une phrase de passe
  • Quelque chose que vous avez, comme un dispositif de jeton ou une carte à puce
  • Quelque chose que vous êtes, comme une biométrie.

HCL Commerce les utilisateurs sont authentifiés avec un mot de passe.

8.2.1 A l'aide d'une cryptographie solide, rendre toutes les informations d'identification d'authentification (telles que les phrases/mots de passe) illisibles pendant la transmission et le stockage sur tous les composants du système.

Les mots de passe sont stockés dans la base de données à l'aide d'un hachage à sens unique, puis chiffrés. Les mots de passe sont chiffrés lors de la transmission sur HTTP à l'aide de SSL. Pour configurer l'e-mail Réinitialisation du mot de passe afin qu'il contienne un code de validation au lieu d'un mot de passe en texte brut temporaire, procédez comme suit : Configuration de Réinitialiser le mot de passe pour utiliser des codes de validation longs.

8.2.2 Vérifier l'identité de l'utilisateur avant de modifier les informations d'identification d'authentification, par exemple, effectuer des réinitialisations de mot de passe, fournir de nouveaux jetons ou générer de nouvelles clés.

Les réinitialisations de mot de passe sont envoyées au compte de messagerie que l'utilisateur a renseigné lors de l'inscription. Les clients sont tenus de répondre à une confirmation d'identité envoyée lors de l'inscription.

8.2.3 Les phrases/mots de passe doivent répondre aux critères suivants :
  • Exiger une longueur minimale d'au moins sept caractères.
  • Contenir à la fois des caractères numériques et alphabétiques.
Alternativement, les phrases/mots de passe doivent avoir une complexité et une force au moins équivalentes aux paramètres spécifiés ci-dessus.

Assurez-vous que la stratégie de mot de passe dans laquelle vous utilisez HCL Commerce nécessite au moins sept caractères. Les administrateurs sont tenus d'utiliser des mots de passe de huit caractères par défaut. Les mots de passe WebSphere Commerce doivent contenir des caractères numériques et alphabétiques.

Pour plus d'informations, voir Stratégie de sécurité de compte par défaut.

8.2.4 Modifier les phrases/mots de passe de passe des utilisateurs au moins tous les 90 jours.

Assurez-vous que la stratégie de mot de passe dans laquelle vous utilisez HCL Commerce nécessite un changement de mot de passe tous les 90 jours. Les administrateurs sont tenus de changer leur mot de passe tous les 90 jours par défaut. Pour plus d'informations, voir Stratégie de sécurité de compte par défaut.

8.2.5 Ne pas permettre à une personne de soumettre un nouveau mot de passe ou une nouvelle phrase de passe identique à l'un des quatre derniers mots de passe/à l'une des quatre dernières phrases de passe expressions qu'il a utilisés.

HCL Commerce ne vous permet pas de soumettre un nouveau mot de passe identique à l'un des quatre derniers mots de passe qu'il a utilisés.

Si vous utilisez un mécanisme d'authentification personnalisé tel que LDAP, vous devez le tester pour assurer la conformité.

8.2.6 Définir les phrases/mots de passe pour une première utilisation et lors de la réinitialisation d'une valeur unique pour chaque utilisateur, et les modifier immédiatement après la première utilisation.

Le compte d'administrateur HCL Commerce doit être modifié immédiatement après la première utilisation.

8.3 Intégrer l'authentification à deux facteurs pour l'accès réseau distant provenant de l'extérieur du réseau par le personnel (y compris les utilisateurs et les administrateurs) et tous les tiers (y compris l'accès des fournisseurs pour le support ou la maintenance).
Remarque : L'authentification à deux facteurs exige que deux des trois méthodes d'authentification (voir l'exigence 8.2 pour consulter les descriptions des méthodes d'authentification) soient utilisées pour l'authentification. L'utilisation d'un facteur deux fois (par exemple, en utilisant deux mots de passe distincts) n'est pas considérée comme une authentification à deux facteurs.

Parmi les exemples de technologies à deux facteurs, citons l'authentification à distance et le service d'appel (RADIUS) avec des jetons ; le système de contrôle d'accès par le contrôleur d'accès au terminal (TACACS) avec jetons; et d'autres technologies qui facilitent l'authentification à deux facteurs.

HCL Commerce n'active ni ne prend en charge l'accès à distance. Si vous choisissez d'activer l'accès à distance à votre réseau, vous devez implémenter l'authentification à deux facteurs.

Important : Tous les revendeurs ou intégrateurs avec qui vous faites affaire doivent utiliser et implémenter des fonctions de sécurité d'accès à distance. Voici quelques exemples de fonctions de sécurité d'accès à distance :
  • Modifier les paramètres par défaut du logiciel d'accès distant (par exemple, modifier les mots de passe par défaut et utiliser des mots de passe uniques pour chaque client).
  • Autoriser les connexions uniquement à partir d'adresses IP/MAC spécifiques (connues).
  • Utiliser une authentification forte et des mots de passe complexes pour les connexions, conformément aux exigences PCI DSS.
  • Activer la transmission de données chiffrées conformément aux exigences PCI DSS.
  • Activer le blocage de compte après un certain nombre de tentatives de connexion ratées conformément aux exigences PCI DSS.
  • Configurez le système afin qu'un utilisateur distant doive établir une connexion VPN (Virtual Private Network) via un pare-feu avant que l'accès ne soit autorisé.
  • Activer la fonction de journalisation.
  • Restreindre l'accès aux mots de passe des clients au personnel de revendeur/intégrateur autorisé.
  • Etablissez les mots de passe des clients conformément aux exigences PCI DSS.

8.4 Documenter et communiquer les procédures et les stratégies d'authentification pour tous les utilisateurs, y compris : Conseils sur la sélection d'informations d'identification d'authentification forte Conseils pour la façon dont les utilisateurs doivent protéger leurs informations d'identification d'authentification Instructions indiquant de ne pas réutiliser les mots de passe précédemment utilisés Instructions pour changer les mots de passe si l'on soupçonne que le mot de passe pourrait être compromis.

Le commerçant est responsable de la documentation et de la communication des politiques de sécurité et des procédures opérationnelles adressée à toutes les parties concernées.

8.5 Ne pas utiliser pas d'ID, de mots de passe ou une autre méthode d'authentification de groupe, partagés ou génériques comme suit :
  • Les ID utilisateur génériques sont désactivés ou supprimés.
  • Les ID utilisateur partagés n'existent pas pour l'administration du système et d'autres fonctions critiques.
  • Les ID utilisateur partagés et génériques ne sont pas utilisés pour administrer les composants système.

Ne partagez pas l'accès aux comptes d'administrateur dans HCL Commerce. Créez un nouveau compte pour chaque administrateur. Par défaut, les ID utilisateur HCL Commerce ne peuvent pas être connectés plusieurs fois en même temps.

La gestion des mots de passe dans HCL Commerce est traitée par le biais des stratégies de compte.

La stratégie de compte par défaut pour les clients et les administrateurs est décrite ici :

Stratégie de sécurité de compte par défaut

Autres sujets utiles :

8.5.1 Exigences supplémentaires pour les prestataires de services : Les prestataires de services ayant un accès à distance aux locaux des clients (par exemple, pour le support des systèmes ou des serveurs POS) doivent utiliser des informations d'identification d'authentification uniques (comme une phrase/un mot de passe) pour chaque client.
Remarque : Cette exigence n'est pas destinée à s'appliquer aux fournisseurs d'hébergement partagé qui accèdent à leur propre environnement d'hébergement, où sont hébergés plusieurs environnements clients.

L'exigence 8.5.1 est une meilleure pratique jusqu'au 30 juin 2015, date après laquelle elle devient une exigence.

Les fournisseurs ne doivent jamais avoir besoin de comptes d'administration dans HCL Commerce. Vérifiez que les comptes du système d'exploitation utilisés par les fournisseurs sont désactivés lorsqu'ils ne sont pas utilisés.

8.6 Lorsque d'autres mécanismes d'authentification sont utilisés (par exemple, des jetons de sécurité physiques ou logiques, des cartes à puce, des certificats, etc.), l'utilisation de ces mécanismes doit être attribuée comme suit : Les mécanismes d'authentification doivent être attribués à un compte individuel et ne doivent pas être partagés entre plusieurs comptes. Des contrôles physiques et/ou logiques doivent être en place pour s'assurer que seul le compte prévu peut utiliser ce mécanisme pour y accéder.

HCL Commerce ne prend pas en charge ces mécanismes d'authentification par défaut. Il incombe au fournisseur de s'assurer que seul le compte prévu peut utiliser le mécanisme d'authentification pour y accéder.

8.7 Tout accès à une base de données contenant des données sur les titulaires de carte (y compris l'accès par les applications, les administrateurs et tous les autres utilisateurs) est limité comme suit :
  • Tous les accès des utilisateurs aux bases de données, ainsi que toutes les requêtes et toutes les actions des utilisateurs sur les bases de données se font par des méthodes programmatiques.
  • Seuls les administrateurs de base de données ont la possibilité d'accéder directement aux bases de données ou de les interroger.
  • Les ID d'application pour les applications de base de données ne peuvent être utilisés que par les applications (et non par des utilisateurs individuels ou d'autres processus non liés à une application).

Tous les accès à la base de données HCL Commerce sont authentifiés.

8.8 Veiller à ce que les stratégies de sécurité et les procédures opérationnelles pour l'identification et l'authentification soient documentées, utilisées et connues par toutes les parties concernées.

C'est une responsabilité du commerçant.