S'attaquer à PCI Data Security Standard dans HCL Commerce

Les sujets suivants traitent de chacune des exigences détaillées qui se rapportent à HCL Commerce. Certaines des exigences sont directement liées au logiciel HCL Commerce. D'autres exigences n'ont aucun rapport avec le logiciel HCL Commerce ou s'y rapportent indirectement. Par exemple, les exigences indirectes peuvent affecter votre utilisation des fonctions de sécurité du système d'exploitation pour sécuriser les fichiers HCL Commerce.

Pour chaque exigence qui affecte directement HCL Commerce, l'exigence est réimprimée en italique et traitée point par point. Dans certains cas, il s'agit d'une explication ou d'une confirmation que l'exigence est respectée. Dans d'autres cas, vous devez activer ou désactiver les fonctions.

Pour plusieurs des exigences qui sont liées uniquement à la conformité PCI (et non à WebSphere Commerce), vous êtes renvoyé directement à PCI DSS pour plus de détails. Veillez à suivre le rythme rapide de l'évolution des exigences en matière de sécurité.

Conseil : Chacun des numéros de section de cette section correspond à la numérotation des sous-sections du document PCI DSS.

Corrections et modifications requises pour la conformité PCI

En outre, il est recommandé d'appliquer des correctifs de sécurité comme indiqué dans les HCL Commerce Security Bulletins.

Vous pouvez vous abonner aux notifications de bulletin de sécurité à l'aide de votre IBMid :

Accédez à My notifications.
Recherchez et abonnez-vous aux notifications pour votre produit HCL Commerce. Par exemple, HCL Commerce Enterprise.
Sélectionnez Options > Modifier.
Assurez-vous que le type de document Bulletin de sécurité est sélectionné.
Remarque : Tous les types de documents sont sélectionnés par défaut.
Cliquez sur Soumettre.

Résumé des actions de configuration spécifiques requises dans votre implémentation HCL Commerce

Bien qu'il soit recommandé de lire chacune des sections d'exigence pour bien comprendre comment HCL Commerce traite la norme PCI-DSS, la liste suivante résume les modifications que vous devez apporter à une installation HCL Commerce typique l'aide de paramètres par défaut. Lisez attentivement chaque page pour comprendre comment effectuer les modifications.

Exigence 1 : Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de carte
- Assurez-vous d'implémenter HCL Commerce dans une configuration à 3 niveaux.
Exigence 3 : Protéger les données stockées des titulaires de carte
- Utilisez DBclean périodiquement.
- Utilisez Key Locator Framework pour stocker la clé de chiffrement du commerçant.
- Modifiez votre clé de chiffrement du commerçant au besoin, et au moins chaque année.
- Modifiez le nombre par défaut de chiffres de texte brut qui s'affichent dans le numéro de compte 5 à 4.
Exigence 4 : Chiffrer la transmission des données des titulaires de carte sur les réseaux publics ouverts
- Désactivez le chiffrement SSLv2 sur votre serveur Web.
Exigence 6 : Développer et maintenir des systèmes et des applications sécurisés
- Assurez-vous que les pages d'erreur de votre magasin n'affichent pas les suivis de pile, ni de façon visible, ni dans la source de la page.
Exigence 10 : Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte
- Pour vous conformer à la norme PCI-DSS, vous devez activer l'audit métier pour le composant des commandes.
- Pour vous conformer à la norme PCI-DSS, vous devez activer l'audit DB2 ou Oracle pour la table BUSAUDIT.

Remarque : Ce résumé n'inclut pas les modifications que vous devez apporter aux opérations de votre site. Examinez attentivement chaque section des exigences pour obtenir des détails sur les opérations et les procédures que vous devez remplir en relation avec l'utilisation de HCL Commerce. Par exemple, examinez quotidiennement les journaux d'audit de votre entreprise ou utilisez des outils de suppression sécurisés pour supprimer les actifs de chiffrement.