Politique de sécurité des informations

Contenu

Introduction. 3

Politique de sécurité des informations. 3

  1. Sécurité Internet. 4
  2. Politique d'utilisation acceptable. 4
  3. Protégez les données stockées. 4
  4. Classement des informations. 5
  5. Accès aux données sensibles du titulaire de carte. 5
  6. Sécurité physique. 6
  7. Protégez les données en transit. 6
  8. Élimination des données stockées. sept
  9. Sensibilisation et procédures de sécurité. sept
  10. Plan de réponse aux incidents de sécurité liés aux cartes de crédit (PCI). 8
  11. Politique de transfert d'informations sensibles. 12
  12. Gestion des accès utilisateurs. 12
  13. Politique de contrôle d'accès. 13

Annexe A – Formulaire d'accord de conformité – Accord de conformité aux politiques de sécurité de l'information. 15

Annexe B – Liste des appareils. 16

 

 

 

 

 

 

 

 


 

Introduction

Ce document de politique englobe tous les aspects de la sécurité entourant les informations confidentielles de l'entreprise et doit être distribué à tous les employés de l'entreprise. Tous les employés de l'entreprise doivent lire ce document dans son intégralité et signer le formulaire confirmant qu'ils ont lu et compris pleinement cette politique. Ce document sera examiné et mis à jour par la direction sur une base annuelle ou le cas échéant pour inclure les normes de sécurité nouvellement développées dans la politique et redistribué à tous les employés et sous-traitants, le cas échéant.

Politique de sécurité des informations

 

WhatNaturalsLove.com traite quotidiennement les informations sensibles des titulaires de carte. Les informations sensibles doivent disposer de garanties adéquates pour protéger les données du titulaire de la carte, la confidentialité du titulaire de la carte et pour assurer la conformité aux diverses réglementations, tout en préservant l'avenir de l'organisation.

WhatNaturalsLove.com s'engage à respecter la vie privée de tous ses clients et à protéger les données des clients des tiers. À cette fin, la direction s'engage à maintenir un environnement sécurisé dans lequel traiter les informations des titulaires de carte afin que nous puissions tenir ces promesses.

Les employés qui traitent les données sensibles des titulaires de carte doivent s'assurer :

  • Traiter les informations de l'entreprise et du titulaire de carte d'une manière qui correspond à leur sensibilité et à leur classification ;
  • Limitez l'utilisation personnelle des systèmes d'information et de télécommunication WhatNaturalsLove.com et assurez-vous qu'elle n'interfère pas avec vos performances professionnelles ;
  • com se réserve le droit de surveiller, d'accéder, d'examiner, de vérifier, de copier, de stocker ou de supprimer toute communication électronique, équipement, système et trafic réseau à quelque fin que ce soit ;
  • N'utilisez pas le courrier électronique, Internet et d'autres ressources de la Société pour vous engager dans une action offensante, menaçante, discriminatoire, diffamatoire, calomnieuse, pornographique, obscène, harcelante ou illégale ;
  • Ne divulguez pas d'informations personnelles à moins d'y être autorisé ;
  • Protégez les informations sensibles des titulaires de carte ;
  • Gardez les mots de passe et les comptes sécurisés ;
  • Demander l'approbation de la direction avant d'établir un nouveau logiciel ou matériel, des connexions avec des tiers, etc. ;
  • N'installez pas de logiciel ou de matériel non autorisé, y compris les modems et l'accès sans fil, sauf si vous avez l'approbation explicite de la direction ;
  • Laissez toujours les bureaux à l'écart des données sensibles des titulaires de carte et verrouillez les écrans d'ordinateur lorsqu'ils sont sans surveillance ;
  • Les incidents de sécurité de l'information doivent être signalés, sans délai, à la personne responsable de la réponse aux incidents au niveau local – Veuillez savoir de qui il s'agit.

Nous avons chacun la responsabilité de nous assurer que les systèmes et les données de notre entreprise sont protégés contre les accès non autorisés et les utilisations inappropriées. Si vous n'êtes pas clair sur l'une des politiques détaillées dans les présentes, vous devez demander conseil et orientation à votre supérieur hiérarchique.

 

1. Sécurité du réseau

Un schéma de réseau de haut niveau du réseau est maintenu et révisé sur une base annuelle. Le diagramme de réseau fournit une vue d'ensemble de haut niveau de l'environnement de données de titulaire de carte (CDE), qui montre au minimum les connexions entrantes et sortantes du CDE. Les composants critiques du système au sein du CDE, tels que les dispositifs de point de vente, les bases de données, les serveurs Web, etc., et tout autre composant de paiement nécessaire, le cas échéant, doivent également être illustrés.

En outre, l'ASV doit être effectuée et complétée par un fournisseur de numérisation agréé PCI SSC, le cas échéant. La preuve de ces analyses doit être conservée pendant une période de 18 mois.

 

2. Politique d'utilisation acceptable

 

Les intentions de la direction pour la publication d'une politique d'utilisation acceptable ne sont pas d'imposer des restrictions contraires à la culture établie d'ouverture, de confiance et d'intégrité de WhatNaturalsLove.com. La direction s'engage à protéger les employés, les partenaires et WhatNaturalsLove.com contre les actions illégales ou préjudiciables, sciemment ou inconsciemment par des individus. WhatNaturalsLove.com maintiendra une liste approuvée des technologies et des appareils et du personnel ayant accès à ces appareils, comme indiqué à l'annexe B.

  • Les employés sont responsables d'exercer leur bon jugement concernant le caractère raisonnable de l'utilisation personnelle.
  • Les employés doivent prendre toutes les mesures nécessaires pour empêcher l'accès non autorisé aux données confidentielles, y compris les données du titulaire de la carte.
  • Gardez les mots de passe en sécurité et ne partagez pas les comptes. Les utilisateurs autorisés sont responsables de la sécurité de leurs mots de passe et de leurs comptes.
  • Tous les PC, ordinateurs portables et postes de travail doivent être sécurisés avec un économiseur d'écran protégé par mot de passe avec la fonction d'activation automatique.
  • Tous les dispositifs d'entrée de PDV et de NIP doivent être protégés et sécurisés de manière appropriée afin qu'ils ne puissent pas être falsifiés ou modifiés.
  • La liste des appareils de l'annexe B sera régulièrement mise à jour lorsque des appareils seront modifiés, ajoutés ou mis hors service. Un inventaire des appareils sera régulièrement effectué et les appareils inspectés pour identifier toute altération ou substitution potentielle d'appareils.
  • Les utilisateurs doivent être formés à la capacité d'identifier tout comportement suspect où toute altération ou substitution peut être effectuée. Tout comportement suspect sera signalé en conséquence.
  • Les informations contenues sur les ordinateurs portables étant particulièrement vulnérables, des précautions particulières doivent être prises.
  • Les publications d'employés à partir d'une adresse e-mail de l'entreprise vers des groupes de discussion doivent contenir une clause de non-responsabilité indiquant que les opinions exprimées sont strictement les leurs et pas nécessairement celles de WhatNaturalsLove.com, à moins que la publication ne soit effectuée dans le cadre de fonctions professionnelles.
  • Les employés doivent faire preuve d'une extrême prudence lors de l'ouverture de pièces jointes à des e-mails provenant d'expéditeurs inconnus, qui peuvent contenir des virus, des bombes e-mail ou du code cheval de Troie.

3. Protégez les données stockées 

  • Toutes les données sensibles des titulaires de carte stockées et traitées par WhatNaturalsLove.com et ses employés doivent être protégées en toute sécurité contre toute utilisation non autorisée à tout moment. Toutes les données de carte sensibles qui ne sont plus requises par WhatNaturalsLove.com pour des raisons professionnelles doivent être supprimées de manière sécurisée et irrécupérable.
  • S'il n'y a pas de besoin spécifique de voir le PAN complet (numéro de compte permanent), il doit être masqué lorsqu'il est affiché.
  • Les PAN qui ne sont pas protégés comme indiqué ci-dessus ne doivent pas être envoyés au réseau extérieur via les technologies de messagerie de l'utilisateur final comme les chats, ICQ Messenger, etc.,

Il est strictement interdit de stocker :

  1. Le contenu de la piste magnétique de la carte de paiement (trace des données) sur quelque support que ce soit.
  2. Le CVV/CVC (le numéro à 3 ou 4 chiffres inscrit sur la plage de signature au verso de la carte de paiement) sur quelque support que ce soit.
  3. Le PIN ou le PIN crypté Block en toutes circonstances.

4. Classement des informations

 

Les données et les supports contenant des données doivent toujours être étiquetés pour indiquer le niveau de sensibilité.

  • Les données confidentielles peuvent inclure des actifs informationnels pour lesquels il existe des exigences légales pour empêcher la divulgation ou des sanctions financières en cas de divulgation, ou des données qui causeraient de graves dommages à WhatNaturalsLove.com si elles étaient divulguées ou modifiées. Les données confidentielles incluent les données du titulaire de la carte .
  • Les données à usage interne peuvent inclure des informations que le propriétaire des données estime devoir être protégées pour empêcher toute divulgation non autorisée.
  • Les données publiques sont des informations qui peuvent être librement diffusées.

5. Accès aux données sensibles du titulaire de la carte

Tous les accès aux titulaires de cartes sensibles doivent être contrôlés et autorisés. Toute fonction nécessitant un accès aux données du titulaire de carte doit être clairement définie.

  • Tout affichage du titulaire de la carte doit être limité au minimum aux 6 premiers et aux 4 derniers chiffres des données du titulaire de la carte.
  • L'accès aux informations sensibles des titulaires de carte telles que les PAN, les informations personnelles et les données professionnelles est limité aux employés qui ont un besoin légitime de consulter ces informations.
  • Aucun autre employé ne doit avoir accès à ces données confidentielles à moins qu'il n'en ait un véritable besoin professionnel.
  • Si les données du titulaire de carte sont partagées avec un fournisseur de services ( tiers ), une liste de ces fournisseurs de services sera conservée, comme indiqué à l'annexe C.
  • com s'assurera qu'un accord écrit comprenant une reconnaissance est en place que le fournisseur de services sera responsable des données de titulaire de carte que le fournisseur de services possède.
  • com s'assurera qu'il existe un processus établi, y compris une diligence raisonnable appropriée, avant de s'engager avec un fournisseur de services.
  • com aura mis en place un processus pour surveiller l'état de conformité PCI DSS du fournisseur de services.

 

6. Sécurité physique 

L'accès aux informations sensibles sur support papier et sur support souple doit être physiquement limité pour empêcher les personnes non autorisées d'obtenir des données sensibles.

  • Les supports sont définis comme tout papier imprimé ou manuscrit, télécopies reçues, disquettes, bandes de sauvegarde, disque dur d'ordinateur, etc.
  • Les supports contenant des informations sensibles sur les titulaires de carte doivent être manipulés et distribués de manière sécurisée par des personnes de confiance.
  • Les visiteurs doivent toujours être accompagnés par un employé de confiance lorsqu'ils se trouvent dans des zones contenant des informations sensibles sur les titulaires de carte.
  • Des procédures doivent être en place pour aider tout le personnel à distinguer facilement les employés des visiteurs, en particulier dans les zones où les données des titulaires de carte sont accessibles. « Employé » désigne les employés à temps plein et à temps partiel, les employés et le personnel temporaires et les consultants qui sont « résidents » sur les sites de la Société. Un « visiteur » est défini comme un fournisseur, l'invité d'un employé, le personnel de service ou toute personne qui a besoin d'entrer physiquement dans les locaux pour une courte durée, généralement pas plus d'une journée.
  • Une liste des appareils qui acceptent les données des cartes de paiement doit être maintenue.
  • La liste doit inclure la marque, le modèle et l'emplacement de l'appareil.
  • La liste doit contenir le numéro de série ou un identifiant unique de l'appareil
  • La liste doit être mise à jour lorsque des appareils sont ajoutés, supprimés ou déplacés
  • Les surfaces des appareils PDV sont périodiquement inspectées pour détecter toute altération ou substitution.
  • Le personnel utilisant les appareils doit être formé et conscient de la manipulation des appareils POS
  • Le personnel utilisant les appareils doit vérifier l'identité et=y du personnel tiers prétendant réparer ou exécuter des tâches de maintenance sur les appareils, installer de nouveaux appareils ou remplacer des appareils.
  • Le personnel utilisant les dispositifs doit être formé pour signaler les comportements suspects et les indications d'altération des dispositifs au personnel approprié. Sites WhatNaturalsLove.com. Un « visiteur » est défini comme un fournisseur, l'invité d'un employé, le personnel de service ou toute personne qui doit entrer dans les locaux pour une courte durée, généralement pas plus d'une journée.
  • Un contrôle strict est maintenu sur la distribution externe ou interne de tout support contenant des données de titulaire de carte et doit être approuvé par la direction
  • Un contrôle strict est maintenu sur le stockage et l'accessibilité des médias
  • Tous les ordinateurs qui stockent des données sensibles de titulaire de carte doivent avoir un économiseur d'écran protégé par mot de passe activé pour empêcher toute utilisation non autorisée.

7. Protéger les données en transit 

Toutes les données sensibles des titulaires de carte doivent être protégées en toute sécurité si elles doivent être transportées physiquement ou électroniquement.

 

  • Les données du titulaire de la carte (PAN, données de suivi, etc.) ne doivent jamais être envoyées sur Internet par e-mail, chat instantané ou toute autre technologie d'utilisateur final.
  • S'il existe une justification commerciale pour envoyer des données de titulaire de carte par e-mail ou par tout autre mode, cela doit être fait après autorisation et en utilisant un mécanisme de cryptage fort (c'est-à-dire - cryptage AES, cryptage PGP, IPSEC, etc.).
  • Le transport de supports contenant des données sensibles de titulaire de carte vers un autre lieu doit être autorisé par la direction, consigné et inventorié avant de quitter les lieux. Seuls des services de messagerie sécurisés peuvent être utilisés pour le transport de ces supports. L'état de l'envoi doit être surveillé jusqu'à ce qu'il ait été livré à son nouvel emplacement.

8. Élimination des données stockées

 

  • Toutes les données doivent être éliminées en toute sécurité lorsqu'elles ne sont plus requises par WhatNaturalsLove.com, quel que soit le type de support ou d'application sur lequel elles sont stockées.
  • Un processus automatique doit exister pour supprimer définitivement les données en ligne, lorsqu'elles ne sont plus nécessaires.
  • Toutes les copies papier des données de titulaire de carte doivent être détruites manuellement lorsqu'elles ne sont plus nécessaires pour des raisons commerciales valables et justifiées. Un processus trimestriel doit être en place pour confirmer que toutes les données non électroniques des titulaires de carte ont été éliminées de manière appropriée en temps opportun.
  • WhatNaturalsLove.com aura des procédures pour la destruction des documents papier (papier). Celles-ci exigeront que tous les documents papier soient déchiquetés, incinérés ou réduits en pâte afin qu'ils ne puissent pas être reconstruits.
  • WhatNaturalsLove.com disposera de procédures documentées pour la destruction des supports électroniques. Ceux-ci nécessiteront :
    • Toutes les données de titulaire de carte sur support électronique doivent être rendues irrécupérables lorsqu'elles sont supprimées, par exemple par démagnétisation ou effacées électroniquement à l'aide de processus de suppression sécurisés de niveau militaire ou de destruction physique du support ;
    • Si des programmes d'effacement sécurisés sont utilisés, le processus doit définir les normes acceptées par l'industrie suivies pour la suppression sécurisée.
  • Toutes les informations du titulaire de carte en attente de destruction doivent être conservées dans des conteneurs de stockage verrouillables clairement marqués « À déchiqueter » - l'accès à ces conteneurs doit être restreint.

 

 

9. Sensibilisation à la sécurité et procédures 

Les politiques et procédures décrites ci-dessous doivent être intégrées dans les pratiques de l'entreprise pour maintenir un niveau élevé de sensibilisation à la sécurité. La protection des données sensibles exige une formation régulière de tous les employés et sous-traitants.

  • Examinez les procédures de traitement des informations sensibles et organisez des réunions périodiques de sensibilisation à la sécurité pour intégrer ces procédures dans les pratiques quotidiennes de l'entreprise.
  • Distribuez ce document de politique de sécurité à tous les employés de l'entreprise pour qu'ils le lisent. Il est nécessaire que tous les employés confirment qu'ils comprennent le contenu de ce document de politique de sécurité en signant un formulaire d'accusé de réception (voir l'annexe A).
  • Tous les employés qui traitent des informations sensibles seront soumis à des vérifications d'antécédents (telles que des vérifications de casier judiciaire et de crédit, dans les limites de la législation locale) avant de commencer leur emploi avec WhatNaturalsLove.com.
  • Tous les tiers ayant accès aux numéros de compte de carte de crédit sont contractuellement tenus de se conformer aux normes de sécurité des associations de cartes (PCI/DSS).
  • Les politiques de sécurité de l'entreprise doivent être révisées chaque année et mises à jour au besoin.


10. Plan de réponse aux incidents de sécurité liés aux cartes de crédit (PCI)

  • com L'équipe d'intervention en cas d'incident de sécurité PCI (équipe d'intervention PCI) est composée du responsable de la sécurité de l'information et des services marchands. Le plan de réponse aux incidents de sécurité PCI de WhatNaturalsLove.com est le suivant :

  1. Chaque service doit signaler un incident au responsable de la sécurité de l'information (de préférence) ou à un autre membre de l'équipe d'intervention PCI.
  2. Le membre de l'équipe qui reçoit le rapport informera l'équipe d'intervention PCI de l'incident.
  3. L'équipe d'intervention PCI enquêtera sur l'incident et aidera le service potentiellement compromis à limiter l'exposition des données des titulaires de carte et à atténuer les risques associés à l'incident.
  4. L'équipe d'intervention PCI résoudra le problème à la satisfaction de toutes les parties concernées, y compris en signalant l'incident et les conclusions aux parties appropriées (associations de cartes de crédit, processeurs de cartes de crédit, etc.) si nécessaire.
  5. L'équipe d'intervention PCI déterminera si les politiques et les processus doivent être mis à jour pour éviter un incident similaire à l'avenir, et si des mesures de protection supplémentaires sont nécessaires dans l'environnement où l'incident s'est produit ou pour l'institution.

WhatNaturalsLove.com Équipe de réponse aux incidents de sécurité PCI (ou équivalent dans votre organisation) :

DSI

Directrice de la communication

Agent de conformité

Conseil

Agent de sécurité de l'information

Recouvrements et services marchands

Gestionnaire des risques

Procédures de réponse aux incidents PCI liés à la sécurité de l'information :

  • Un service qui croit raisonnablement qu'il peut avoir une violation de compte, ou une violation des informations du titulaire de la carte ou des systèmes liés à l'environnement PCI en général, doit informer l'équipe de réponse aux incidents PCI de WhatNaturalsLove.com. Après avoir été informée d'une compromission, l'équipe d'intervention PCI, ainsi que d'autres membres du personnel désignés, mettront en œuvre le plan d'intervention en cas d'incident PCI pour aider et compléter les plans d'intervention des départements.

Notification de réponse aux incidents

Membres de l'escalade (ou équivalent dans votre entreprise) :

Escalade - Premier niveau :

Responsable de la sécurité de l'information Contrôleur

Directeur de Projet Exécutif pour le Recouvrement de Crédits et les Services Commerçants Legal Counsel

Gestionnaire des risques

Directeur de la communication WhatNaturalsLove.com

Escalade - Deuxième niveau :

Président de WhatNaturalsLove.com

Cabinet exécutif

Audit interne

Membres auxiliaires au besoin

Contacts externes (au besoin)

Marques de cartes de fournisseurs de commerçants

Fournisseur d'accès Internet (le cas échéant)

Fournisseur de services Internet de l'intrus (le cas échéant) Opérateurs de communication (local et longue distance) Partenaires commerciaux

Compagnie d'assurance

Équipe d'intervention externe, le cas échéant (CERT Coordination Center 1, etc.) Agences d'application de la loi, le cas échéant dans la juridiction locale

En réponse à une compromission des systèmes, l'équipe d'intervention PCI et les personnes désignées :

  1. Assurez-vous que le ou les systèmes compromis sont isolés sur/du réseau.
  2. Recueillir, examiner et analyser les journaux et les informations connexes à partir de diverses sauvegardes et contrôles de sécurité centraux et locaux
  3. Effectuer une analyse médico-légale appropriée du système compromis.
  1. Contacter les départements et entités internes et externes, le cas échéant.
  2. Mettre l'analyse médico-légale et l'analyse des journaux à la disposition des forces de l'ordre appropriées ou du personnel de sécurité de l'industrie des cartes, selon les besoins.
  3. Aider les forces de l'ordre et le personnel de sécurité de l'industrie des cartes dans les processus d'enquête, y compris dans les poursuites.

Les sociétés de cartes de crédit ont des exigences individuelles spécifiques que l'équipe d'intervention doit respecter pour signaler les violations suspectées ou confirmées des données des titulaires de carte. Voir ci-dessous pour ces exigences.

Notifications de réponse aux incidents à divers schémas de cartes

  1. En cas de suspicion d'atteinte à la sécurité, alertez immédiatement le responsable de la sécurité de l'information ou votre supérieur hiérarchique.
  2. L'agent de sécurité mènera une enquête initiale sur la violation présumée de la sécurité.
  3. Dès confirmation qu'une faille de sécurité s'est produite, le responsable de la sécurité alertera la direction et commencera à informer toutes les parties concernées susceptibles d'être affectées par la compromission.

Étapes VISA

Si la compromission de la sécurité des données implique des numéros de compte de carte de crédit, mettez en œuvre la procédure suivante :

  • Arrêtez tous les systèmes ou processus impliqués dans la violation afin d'en limiter l'étendue et d'éviter toute exposition supplémentaire.
  • Alertez toutes les parties et autorités concernées telles que la Merchant Bank (votre banque), Visa Fraud Control et les forces de l'ordre.
  • Fournissez les détails de tous les numéros de carte compromis ou potentiellement compromis au contrôle de la fraude Visa dans les 24 heures.
  • Pour plus d'informations, visitez : http://usa.visa.com/business/accepting_visa/ops_risk_management/cisp_if_compromised.html

Modèle de rapport d'incident de visa

Ce rapport doit être fourni à VISA dans les 14 jours suivant le rapport initial de l'incident à VISA. Le contenu et les normes de rapport suivants doivent être suivis lors de la rédaction du rapport d'incident. Le rapport d'incident doit être distribué en toute sécurité à VISA et Merchant Bank. Visa classera le rapport comme « VISA Secret »*.

  1. Résumé

  1. Inclure un aperçu de l'incident
  2. Inclure le niveau de RISQUE (élevé, moyen, faible)
  3. Déterminer si le compromis a été contenu
  1. Arrière plan
  • Analyse initiale
  1. Procédures d'enquête

  1. Inclure les outils médico-légaux utilisés pendant l'enquête
  1. Résultats
    1. Nombre de comptes à risque, identifiez ces magasins et compromis

  1. Type d'informations de compte à risque
  2. Identifiez TOUS les systèmes analysés. Inclure les éléments suivants:

  • Noms du système de noms de domaine (DNS)

  • Adresses de protocole Internet (IP)

  • Version du système d'exploitation (SE)

  • Fonction du ou des systèmes

  1. Identifiez TOUS les systèmes compromis. Inclure les éléments suivants:

  • Noms DNS

  • Adresses IP

  • Version du système d'exploitation

  • Fonction du ou des systèmes
  1. Délai de compromis

  1. Toutes les données exportées par un intrus
  2. Établir comment et source de compromis
  3. Vérifiez tous les emplacements de base de données potentiels pour vous assurer qu'aucune donnée CVV2, Track 1 ou Track 2 n'est stockée nulle part, qu'elle soit cryptée ou non (par exemple, tables ou bases de données dupliquées ou de sauvegarde, bases de données utilisées dans les environnements de développement, d'étape ou de test, données sur les ingénieurs logiciels machines, etc)
  4. Le cas échéant, examinez la sécurité des terminaux VisaNet et déterminez le risque
  1. Action d'entité compromise
  • Recommandations

  • Contact(s) au sein de l'entité et de l'évaluateur de sécurité effectuant l'enquête

*Cette classification s'applique aux informations commerciales les plus sensibles, qui sont destinées à être utilisées dans VISA. Sa divulgation non autorisée pourrait avoir un impact sérieux et négatif sur VISA, ses employés, ses banques membres, ses partenaires commerciaux et/ou la marque.

Étapes MasterCard :

  1. Dans les 24 heures suivant un événement de compromission de compte, informez l'équipe des comptes compromis de MasterCard par téléphone au 1-636-722-4100.
  2. Fournissez une déclaration écrite détaillée des faits concernant la compromission du compte (y compris les circonstances contributives) par e-mail sécurisé à compromised_account_team@mastercard.com .

  1. Fournissez au service de contrôle de la fraude des commerçants de MasterCard une liste complète de tous les numéros de compte compromis connus.
  2. Dans les 72 heures suivant la connaissance d'un compromis de compte suspecté, engagez les services d'une société de sécurité des données acceptable pour MasterCard pour évaluer la vulnérabilité des données compromises et des systèmes associés (comme une évaluation médico-légale détaillée).

  1. Fournir des rapports d'état écrits hebdomadaires à MasterCard, en abordant les questions et problèmes ouverts jusqu'à ce que l'audit soit terminé à la satisfaction de MasterCard.
  2. Fournissez rapidement des listes mises à jour des numéros de compte compromis potentiels ou connus, des documents supplémentaires et d'autres informations que MasterCard peut demander.

  • Fournir les conclusions de tous les audits et enquêtes au service de contrôle de la fraude des marchands de MasterCard dans les délais requis et continuer à traiter toute exposition ou recommandation en suspens jusqu'à ce qu'elle soit résolue à la satisfaction de MasterCard.

Une fois que MasterCard aura obtenu les détails de la compromission des données de compte et la liste des numéros de compte compromis, MasterCard :

  1. Identifiez les émetteurs des comptes soupçonnés d'avoir été piratés et regroupez tous les comptes connus sous les ID de membre parent respectifs.

  1. Distribuez les données du numéro de compte à ses émetteurs respectifs.

Les employés de WhatNaturalsLove.com devront signaler au responsable de la sécurité tout problème lié à la sécurité. Le rôle de l'agent de sécurité est de communiquer efficacement toutes les politiques et procédures de sécurité aux employés de WhatNaturalsLove.com et aux sous-traitants. En plus de cela, l'agent de sécurité supervisera la planification des sessions de formation à la sécurité, surveillera et appliquera les politiques de sécurité décrites à la fois dans ce document et lors des sessions de formation et enfin, supervisera la mise en place du plan de réponse aux incidents en cas d'incident sensible. compromission des données.

Découvrez les étapes de la carte

  1. Dans les 24 heures suivant un événement de compromission de compte, informez Discover Fraud Prevention au (800) 347-3102
  2. Préparez une déclaration écrite détaillée des faits concernant la compromission du compte, y compris les circonstances contributives
  • Préparez une liste de tous les numéros de compte compromis connus

  1. Obtenir des exigences spécifiques supplémentaires auprès de Discover Card

Étapes American Express

  1. Dans les 24 heures suivant un événement de compromission de compte, informez American Express Merchant Services au (800) 528-5200 aux États-Unis
  2. Préparez une déclaration écrite détaillée des faits concernant la compromission du compte, y compris les circonstances contributives
  • Préparez une liste de tous les numéros de compte compromis connus Obtenez des exigences spécifiques supplémentaires auprès d'American Express

11. Politique de transfert d'informations sensibles

 

  • Toutes les sociétés tierces fournissant des services critiques à WhatNaturalsLove.com doivent fournir un accord de niveau de service convenu.
  • Toutes les sociétés tierces fournissant des installations d'hébergement doivent se conformer à la politique de sécurité physique et de contrôle d'accès de WhatNaturalsLove.com.
  • Toutes les sociétés tierces qui ont accès aux informations du titulaire de la carte doivent
  1. Respectez les exigences de sécurité PCI DSS.
  2. Reconnaître leur responsabilité dans la sécurisation des données du Titulaire de Carte.
  3. Reconnaître que les données du titulaire de la carte ne doivent être utilisées que pour aider à la réalisation d'une transaction, soutenir un programme de fidélité, fournir un service de lutte contre la fraude ou pour des utilisations spécifiquement requises par la loi.
  4. Avoir des dispositions appropriées pour assurer la continuité des activités en cas de perturbation majeure, de catastrophe ou de panne.
  5. Fournir une coopération et un accès complets pour effectuer un examen de sécurité approfondi après une intrusion dans la sécurité par un représentant de l'industrie des cartes de paiement ou un tiers approuvé par l'industrie des cartes de paiement.

12. Gestion de l'accès des utilisateurs

 

  • L'accès à la société est contrôlé par un processus formel d'enregistrement des utilisateurs commençant par une notification formelle des RH ou d'un supérieur hiérarchique.
  • Chaque utilisateur est identifié par un ID utilisateur unique afin que les utilisateurs puissent être liés et rendus responsables de leurs actions. L'utilisation d'identifiants de groupe n'est autorisée que s'ils sont adaptés au travail effectué.
  • Il existe un niveau d'accès standard ; d'autres services sont accessibles sur autorisation expresse des RH/de la hiérarchie.
  • La fonction de l'utilisateur détermine le niveau d'accès de l'employé aux données du titulaire de la carte
  • Une demande de service doit être formulée par écrit (courriel ou copie papier) par le supérieur hiérarchique du nouvel arrivant ou par les RH. La demande est au format libre, mais doit mentionner :

Nom de la personne qui fait la demande ;

Intitulé du poste des nouveaux arrivants et groupe de travail ;

Date de début;

Services requis (les services par défaut sont : MS Outlook, MS Office et accès Internet).

  • Chaque utilisateur recevra une copie de son formulaire de nouvel utilisateur pour fournir une déclaration écrite de ses droits d'accès, signée par un responsable informatique après sa procédure d'intégration. L'utilisateur signe le formulaire indiquant qu'il a pris connaissance des conditions d'accès.
  • L'accès à tous les systèmes WhatNaturalsLove.com est fourni par le service informatique et ne peut être démarré qu'une fois les procédures appropriées terminées.

  • Dès qu'un individu quitte l'emploi de WhatNaturalsLove.com, toutes ses connexions au système doivent être immédiatement révoquées.
  • Dans le cadre du processus de licenciement des employés, les RH (ou les supérieurs hiérarchiques dans le cas des sous-traitants) informeront les opérations informatiques de tous les départs et de leur date de départ.

13. Politique de contrôle d'accès

  • Des systèmes de contrôle d'accès sont en place pour protéger les intérêts de tous les utilisateurs des systèmes informatiques de WhatNaturalsLove.com en fournissant un environnement sûr, sécurisé et facilement accessible dans lequel travailler.
  • com fournira à tous les employés et autres utilisateurs les informations dont ils ont besoin pour s'acquitter de leurs responsabilités de la manière la plus efficace et efficiente possible.
  • Les identifiants génériques ou de groupe ne sont normalement pas autorisés, mais peuvent être accordés dans des circonstances exceptionnelles si suffisamment d'autres contrôles d'accès sont en place.
  • L'attribution des droits privilégiés (par exemple, administrateur local, administrateur de domaine, super-utilisateur, accès root) doit être restreinte et contrôlée, et l'autorisation fournie conjointement par le propriétaire du système et les services informatiques. Les équipes techniques doivent se garder d'accorder des droits de privilège à des équipes entières pour éviter la perte de confidentialité.
  • Les droits d'accès seront accordés selon les principes du moindre privilège et du besoin d'en connaître.
  • Chaque utilisateur doit tenter de maintenir la sécurité des données à son niveau classifié même si les mécanismes de sécurité techniques échouent ou sont absents.
  • Les utilisateurs qui choisissent de placer des informations sur des supports numériques ou des dispositifs de stockage ou de maintenir une base de données distincte ne doivent le faire que si une telle action est en accord avec la classification des données.
  • Les utilisateurs sont tenus de signaler les cas de non-conformité au RSSI de WhatNaturalsLove.com.
  • L'accès aux ressources et services informatiques de WhatNaturalsLove.com sera accordé grâce à la fourniture d'un compte Active Directory unique et d'un mot de passe complexe.
  • Aucun accès aux ressources et services informatiques WhatNaturalsLove.com ne sera fourni sans authentification et autorisation préalables du compte WhatNaturalsLove.com Windows Active Directory d'un utilisateur.
  • L'émission de mots de passe, les exigences de force, le changement et le contrôle seront gérés par des processus formels. La longueur, la complexité et les délais d'expiration des mots de passe seront contrôlés par les objets de stratégie de groupe Windows Active Directory.
  • L'accès aux informations confidentielles, restreintes et protégées sera limité aux personnes autorisées dont les responsabilités professionnelles l'exigent, tel que déterminé par le propriétaire des données ou son représentant désigné. Les demandes d'autorisation d'accès à accorder, modifier ou révoquer doivent être faites par écrit.
  • Les utilisateurs doivent se familiariser avec et respecter les politiques, normes et directives de WhatNaturalsLove.com pour une utilisation appropriée et acceptable des réseaux et des systèmes.
  • L'accès pour les utilisateurs distants est soumis à l'autorisation des services informatiques et est fourni conformément à la politique d'accès à distance et à la politique de sécurité de l'information. Aucun accès externe incontrôlé ne doit être autorisé à un dispositif réseau ou à un système en réseau.
  • L'accès aux données est contrôlé de manière variée et appropriée selon les niveaux de classification des données décrits dans la politique de gestion de la sécurité de l'information.
  • Les méthodes de contrôle d'accès incluent les droits d'accès à la connexion, les autorisations de partage Windows et NTFS, les privilèges de compte d'utilisateur, les droits d'accès au serveur et au poste de travail, les autorisations de pare-feu, les droits d'authentification intranet/extranet IIS, les droits de base de données SQL, les réseaux isolés et d'autres méthodes si nécessaire.
  • Un processus formel doit être mené à intervalles réguliers par les propriétaires du système et les propriétaires des données en collaboration avec les services informatiques pour examiner les droits d'accès des utilisateurs. L'examen doit être enregistré et les services informatiques doivent signer l'examen pour donner l'autorité aux droits d'accès continus des utilisateurs.

 

Annexe A – Formulaire d'accord de conformité Accord de conformité aux politiques de sécurité de l'information

________________________

Nom de l'employé (imprimé)

________________

département

J'accepte de prendre toutes les précautions raisonnables pour assurer que les informations internes de l'entreprise, ou les informations qui ont été confiées à WhatNaturalsLove.com par des tiers tels que des clients, ne seront pas divulguées à des personnes non autorisées. À la fin de mon emploi ou de mon contrat avec WhatNaturalsLove.com, je m'engage à restituer toutes les informations auxquelles j'ai eu accès du fait de mon poste. Je comprends que je ne suis pas autorisé à utiliser des informations sensibles à mes propres fins, et que je ne suis pas libre de fournir ces informations à des tiers sans le consentement écrit exprès du responsable interne qui est le propriétaire désigné des informations.

J'ai accès à une copie des politiques de sécurité de l'information, j'ai lu et compris ces politiques et je comprends leur impact sur mon travail. Comme condition d'emploi continu, j'accepte de respecter les politiques et autres exigences énoncées dans la politique de sécurité de WhatNaturalsLove.com. Je comprends que le non-respect entraînera des mesures disciplinaires pouvant aller jusqu'au licenciement, et peut-être des sanctions pénales et/ou civiles.

J'accepte également de signaler rapidement toutes les violations ou violations présumées des politiques de sécurité de l'information au responsable de la sécurité désigné.

________________________

Signature de l'employé

 

 

________________________

Date

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Annexe B – Liste des appareils

Nom de l'actif/de l'appareil

La description

Propriétaire/utilisateur approuvé

Emplacement

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

Annexe C - Liste des fournisseurs de services

 

Nom du fournisseur de services

Détails du contact

Services fournis

Conforme à la norme PCI DSS

Date de validation PCI DSS