Ce que la DIA WikiLeaks de la CIA a en commun avec la conformité PCI

mars 14 2017

Dans les dernières nouvelles, WikiLeaks a exposé un énorme volume de documents de la CIA. Les journalistes et les blogueurs auront évidemment une journée de champ avec cela et le grand public sera spectateurs d’un autre drame en cours. De notre point de vue, heureusement, on dirait que WikiLeaks a l’intention de travailler avec les fournisseurs pour réparer les vulnérabilités qui, espérons-vous, épargnent tout le monde à partir d’une galerie de tir de l’exploitation zéro jour.

WikiLeaks Et Conformité PCI

Nous étions, comme beaucoup d’entre vous, curieux. Nous nous demandions quelles choses utiles pourraient être tirées de cela. En particulier, comment les guides PCI DSS, PA-DSS, PIN et P2PE pourraient-ils tenir compte des orientations de la CIA? Ce que nous avons trouvé intéressant, c’est qu’après avoir jeté les métiers de l’espionnage comme des erreurs d’orientation, de mauvaise attribution et des techniques ultra-furtives, ce qui restait pourrait facilement être extrait d’un document de conformité PCI et de pratiques exemplaires:

  • N’utilisez pas de crypto propriétaire
  • Ne pas utiliser de chiffrement obsolète, p. Ex. SHA1
  • Ne comptez pas uniquement sur SSL / TLS
  • N’écrivez pas de texte en clair sur le disque
  • Ne conservez pas les données en mémoire plus longtemps que nécessaire
  • Utiliser le chiffrement de bout en bout
  • Compresser les données avant le cryptage
  • Utiliser des bibliothèques cryptographiques normalisées
  • Utilisez un cryptage fort comme AES 256 dans un mode opérationnel approprié
  • Utilisez des HMAC et des hachages forts, par ex. SHA-256 ou mieux
  • Utiliser les HMAC et non les hachages pour l’intégrité
  • Utilisez une gestion des clés fortes
  • N’utilisez pas de chiffrement asymétrique pour le cryptage de données en vrac
  • Utiliser un chiffrement asymétrique pour échanger des clés secrètes
  • Utilisez une bonne source d’entropie pour la génération de clés
  • Ne pas réutiliser les clés à des fins différentes
  • N’utilisez pas de clés associées
  • Supprimer les données du disque en toute sécurité
  • Faire des tests en fonction des exigences des meilleures pratiques
  • Effectuer des tests sur toutes les variantes de programme prises en charge

Apprendre Encore Plus

_______________________________________________________________
Devenir PCI Compliant peut être difficile, alors pourquoi ne pas laisser Control Gap vous guider. Nous sommes la plus importante entreprise de conformité PCI dédiée au Canada. Contactez-nous dès aujourd’hui et découvrez comment nous pouvons vous aider: Obtenez une conformité PCI. Rester compatible PCI.

×

Contact

×

PCI Pilot™ sera disponible bientôt!

Notre très attendu outil en ligne sera lancé très bientôt pour accélérer et simplifier le processus de réponse au SAQ.

Inscrivez-vous dès aujourd’hui et soyez parmi les premiers à être informés lorsque PCI Pilot™ sera en ligne!