Sécurisation des transactions financières à la périphérie :

Utilisation des routeurs Robustel dans les applications conformes à la norme PCI DSS

Livre blanc – Résumé

Résumé

Chaque point de vente (POS) est responsable de la protection des données sensibles des titulaires de cartes. Le non-respect de la norme PCI DSS (Payment Card Industry Data Security Standard) peut entraîner de lourdes amendes, nuire à la réputation et même entraîner la perte de la capacité à traiter les paiements par carte de crédit .

Les routeurs Robustel, lorsqu'ils sont correctement configurés et surveillés, offrent les capacités de sécurité nécessaires pour répondre aux exigences PCI DSS. Grâce à des fonctionnalités telles que les VLAN, les pare-feu statiques, le filtrage IP/MAC, les VPN, la journalisation des événements et la gestion à distance basée sur RCMS, Robustel garantit aux détaillants et aux fournisseurs de services la protection des données des clients, la réduction des risques et le maintien de la conformité dans divers environnements de déploiement, des magasins de détail et restaurants aux distributeurs automatiques de billets et points de vente temporaires.

Ce que vous apprendrez
  • Le rôle de la norme PCI DSS et pourquoi la conformité est obligatoire pour toute entreprise traitant des données de cartes de crédit.
  • Les exigences fondamentales de la norme PCI DSS, notamment les règles de pare-feu, l'authentification forte, le chiffrement, la gestion des vulnérabilités et la surveillance continue.
  • Pourquoi il n'existe pas de « routeur conforme à la norme PCI » et comment la conformité dépend de l'ensemble de l'écosystème de paiement.
  • Comment les routeurs Robustel contribuent à la conformité grâce à des fonctionnalités de sécurité avancées telles que la segmentation VLAN, le pare-feu et les communications cryptées.
  • Mesures pratiques pour la configuration et la surveillance, notamment les politiques en matière de mots de passe, la configuration du pare-feu, l'isolation VLAN et la journalisation externe.

Introduction

Les entreprises de point de vente (POS) sont soumises à des exigences strictes en matière de protection des informations sensibles des clients et des entreprises. Les institutions financières exigent que toute entreprise qui stocke, traite ou transmet des informations relatives aux cartes de crédit se conforme à la norme PCI-DSS (Payment Card Industry, Data Security Standards).

Les entreprises qui ne se conforment pas à ces règles s'exposent à des amendes, à des poursuites judiciaires et peuvent même se voir interdire le traitement des cartes de crédit. Pire encore, les entreprises victimes d'une violation peuvent se retrouver à la une des journaux, ce qui peut nuire considérablement à leur réputation auprès de leurs clients, partenaires et actionnaires.

Lorsqu'ils sont correctement configurés, surveillés et entretenus, les appareils Robustel répondent aux exigences de la norme PCI-DSS 3.0. Les fonctionnalités activées comprennent le VLAN, le pare-feu avec état, le filtrage MAC/IP/URL, l'authentification/le chiffrement, la journalisation des événements, les alertes d'événements, la synchronisation horaire et la gestion de la configuration/mise à niveau à partir de la plateforme RCMS.

Robustel est spécialisée dans les solutions de connectivité réseau pour le marché des points de vente au détail. Nos produits sont largement déployés dans plusieurs segments de points de vente au détail qui traitent les transactions par carte de crédit, notamment :

  • Magasins de détail
  • Restaurants et bars
  • Magasins de proximité
  • Cafés
  • Kiosques
  • distributeurs automatiques de billets
  • Lieux de service
  • Lieux de divertissement et de loisirs
  • Événements spéciaux
  • Emplacements temporaires des distributeurs automatiques

Normes de sécurité PCI

Aperçu

Les normes de sécurité PCI (Payment Card Industry) ont pour objectif de protéger les données des titulaires de cartes. Elles sont élaborées et publiées par le PCI Security Standards Council (SSC), qui regroupe des centaines d'acteurs du secteur ayant un intérêt direct à réduire les vulnérabilités dans l'écosystème du traitement des cartes.

Le PCI-SSC a été fondé par les cinq marques mondiales de paiement suivantes :

  • American Express
  • Services financiers Discovery
  • JCB International
  • MasterCard International
  • Visa, Inc.
Portée

Le PCI SSC publie les normes suivantes :

Normes de sécurité des données PCI (DSS) : s'appliquent à toute entité qui stocke, traite et/ou transmet des données de titulaires de cartes. La norme couvre les composants techniques et opérationnels inclus dans les données des titulaires de cartes ou liés à celles-ci. Si une entreprise accepte ou traite des cartes de paiement, elle doit se conformer à la norme PCI DSS.

Exigences de sécurité des transactions par code PIN (PTS) : s'appliquent aux fabricants qui développent des terminaux de saisie de code PIN (numéro d'identification personnel) utilisés pour les transactions financières par carte de paiement.

Normes de sécurité des données des applications de paiement (PA-DSS) : s'appliquent aux développeurs de logiciels et aux intégrateurs d'applications qui stockent, traitent ou transmettent les données des titulaires de cartes dans le cadre d'une autorisation ou d'un règlement.

Chiffrement point à point (P2PE) : s'applique aux commerçants afin de réduire la portée de leur environnement de données de titulaires de cartes et les évaluations PCI DSS annuelles.

Conformité

Les commerçants qui traitent des transactions par carte de crédit sont tenus de se conformer à la norme PCI-DSS. La « conformité PCI » est obtenue lorsque le commerçant démontre avec succès (via des audits externes ou une auto-certification) que l'ensemble de son système et de ses processus est conforme aux 12 exigences de la norme PCI-DSS.

Exigences

La version 3.0 de la norme PCI-DSS a été publiée en novembre 2013. La norme PCI-DSS fournit une base de référence en matière d'exigences techniques et opérationnelles conçues pour protéger les données des titulaires de cartes. La norme PCI-DSS s'articule autour des objectifs et exigences généraux suivants :

Objectifs

Exigences

Construire et maintenir un réseau et des systèmes sécurisés
  • Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes ;
  • N'utilisez pas les paramètres par défaut fournis par le fournisseur pour les mots de passe système et autres paramètres de sécurité.

N'utilisez pas les paramètres par défaut fournis par le fournisseur pour les mots de passe système et autres paramètres de sécurité.
  • Protéger les données enregistrées des titulaires de carte ;
  • Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts.

Maintenir un programme de gestion des vulnérabilités
  • Protégez tous les systèmes contre les logiciels malveillants et mettez régulièrement à jour les logiciels ou programmes antivirus.
  • Développer et maintenir des systèmes et des applications sécurisés.

Mettre en œuvre des mesures de contrôle d'accès rigoureuses
  • Limiter l'accès aux données des titulaires de carte aux besoins professionnels
  • Identifier et authentifier l'accès aux composants du système
  • Limite l'accès physique aux données des titulaires de cartes.

Surveillez et testez régulièrement les réseaux
  • Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes
  • Testez régulièrement les systèmes et processus de sécurité.

Maintenir une politique de sécurité de l'information
  • Maintenir une politique qui traite de la sécurité de l'information pour tout le personnel.
Certification

Bien que les normes soient définies par le PCI SSC, chaque établissement financier émetteur de cartes de paiement dispose de son propre programme de conformité. En général, la conformité peut être certifiée par le commerçant au moyen d'un questionnaire d'auto-évaluation (SAQ) ou par un évaluateur qualifié tel qu'un QSA (Qualified Security Assessor) ou un ASV (Approved Scanning Vendor).

Il incombe au commerçant de déterminer, en collaboration avec l'institution financière émettrice de la carte de paiement, le type de certification requis.

Recommandations de Robustel pour la conformité PCI

Aperçu

Le PCI SSC ne publie aucune norme de certification pour les équipements réseau autres que les terminaux de saisie de code PIN. Par conséquent, il n'existe pas de « routeur conforme à la norme PCI ».

Pour être « conforme à la norme PCI », le commerçant doit vérifier que l'ensemble de son système (terminaux de point de vente, périphériques réseau, serveurs, applications, politiques et procédures) est conforme à la norme PCI-DSS 3.0. Dans le cadre de cet effort global, le commerçant doit vérifier que son équipement réseau (y compris les appareils Robustel) est correctement configuré et géré afin de garantir la conformité globale à la norme PCI-DSS.

Robustel ne peut contrôler la manière dont un utilisateur final configure et gère un routeur Robustel. De même, Robustel n'a aucun contrôle sur les autres appareils, serveurs et applications qui composent un système de paiement par carte de bout en bout. Ainsi, la conformité PCI ne peut être obtenue que par le commerçant dans le contexte de l'ensemble de son système. Le commerçant est également responsable de l'obtention de la certification de son système de bout en bout auprès d'un QSA (Qualified Security Assessor) ou d'un ASV (Approved Scanning Vendor).

Les appareils Robustel sont utilisés dans plusieurs systèmes conformes à la norme PCI. Cette section présente un résumé des fonctionnalités et capacités Robustel qui ont été utilisées par d'autres clients pour les aider à atteindre la conformité PCI pour leurs systèmes de bout en bout.

Implémentation de référence

L'implémentation de référence suivante représente une topologie raisonnablement complexe qui comprend :

  • Accès Ethernet pour les appareils POS
  • Accès Ethernet et Wi-Fi pour les ordinateurs et imprimantes des employés
  • Accès Ethernet et Wi-Fi pour d'autres appareils
  • Accès Wi-Fi pour les clients.
Recommandations

Wi-Fi : cette interface peut être protégée par un pare-feu et segmentée comme n'importe quelle interface Ethernet ou PPP. La sécurité WPA/WPA2/WEP et le filtrage des adresses MAC sont également pris en charge.

Cellulaire : l'instance PPP cellulaire apparaît comme une interface WAN et peut être protégée par un pare-feu et segmentée selon les besoins. Les interfaces peuvent également être configurées pour ne pas autoriser les connexions de gestion.

  1. Configurez le routeur avec le micrologiciel approprié.
  2. Modifier les mots de passe par défaut
  3. Verrouillez les points d'entrée du routeur
  4. Configurer le pare-feu
  5. Configurez différents segments de réseau pour différents appareils à l'aide de VLAN.
  6. Configurez le segment Wi-Fi, qui est différent de l'appareil POS.
  7. Créer une connectivité WAN sécurisée
  8. Configurer la communication avec un serveur SysLog externe
  9. Configurer la communication avec un serveur de temps externe
  10. Surveillez l'utilisation des appareils avec RCMS

Produits Robustel recommandés pour les applications PCI DSS

R2010

Page produit R2010

R2011

Page produit R2011

R1510

Page produit R1510

R1520

Page produit R1520

R3000

Page produit R3000

R3000-Lite

Page produit R3000-Lite

Devenez partenaire de Robustel : Compliance Forward IoT

La conformité PCI ne se limite pas à la technologie : elle consiste à garantir la sécurité de chaque couche de votre système de paiement. Les routeurs Robustel, associés à notre expertise et à nos déploiements éprouvés dans les environnements de vente au détail, bancaires et de services, vous donnent la confiance nécessaire pour protéger les données des titulaires de cartes tout en assurant la fluidité des opérations. Collaborez dès aujourd'hui avec Robustel pour renforcer votre stratégie de conformité PCI et sécuriser chaque transaction.