jeudi 16 avril 2015

#PCIDSS et les boîtes noires #PJLRenseignement

Le projet de loi #PJLRenseignement actuellement débattu que nous avons le plaisir (ou pas) de suivre en ce moment ouvre une question de fond typique de la problématique de #Scoping #PCIDSS pour conformité d'une entité au standard PCIDSS en vigueur.

Disclaimer : Je ne suis pas qsa donc mon avis est ... mon avis :-) ... mon avis de citoyenne intéressée par les lois que nos représentants proposent en notre nom (spécialement quand celles-ci ont des effets importants sur la protection de notre vie privée) et de consultante en SSI passionnée par le standard PCIDSS et par ses effets "contaminants" sur le niveau de sécurité général d'une entité souhaitant s'y conformer.

Préambule

Rappelons-nous tout d'abord que le standard PCIDSS en version 3.1 publié le 15 avril 2015 statue en introduction (page 5) :

PCI DSS comprises a minimum set of requirements for protecting account data, and may be enhanced by additional controls and practices to further mitigate risks, as well as local, regional and sector laws and regulations. Additionally, legislation or regulatory requirements may require specific protection of personal information or other data elements (for example, cardholder name). PCI DSS does not supersede local or regional laws, government regulations, or other legal requirements.

Ce soucis de conformité du standard PCIDSS aux lois et réglementations locales en vigueur ne doit pas être occulté. Il ne viendrait pas a l'idée (soupir) de conserver en France des enregistrements de vidéo-protection trois mois "online" et un an "offline" si la déclaration simplifiée CNIL qui leurs correspond fixe un délai maximal d'un mois.

#PCIDSS et les boîtes noires #PJLRenseignement


Parlons maintenant de ces fameuses boîtes noires et mettons-nous à la place d'un commerçant ou d'un PSP avec les hypothèses suivantes :

  • la boîte noire voit transiter les données carte en clair (ou dispose des clés de déchiffrement à la volée - ce que je trouve totalement improbable) => catégorie 1, elle est dans le CDE et nous devrons prouver qu'elle n'en affecte pas la sécurité. Soit elle est certifiée (facile) soit nous avons un mot du medecin^Wministre pour crier "perchée" au QSA.
  • la boîte noire voit transiter les flux chiffrés et est opérée par un tiers ne disposant pas en "business as usual" des clés de déchiffrement => soit catégorie 2, soit catégorie 3. Si je pose l'hypothèse probable que cette boîte noire est située chez votre opérateur ou votre hébergeur en cœur de réseau ou en direct sur un point de transit, c'est qu'elle est forcément localisée après hop+1 des pare-feu assurant la segmentation de votre scope donc elle est catégorie 3 tant qu'elle n'affecte pas la sécurité du CDE ou d'un composant catégorie 2 et tant qu'elle ne dispose pas des clés de déchiffrement et nous sommes tranquilles.
Et si d'aventure, la clé de déchiffrement était demandée ? Et bien, vous le gérez déjà lorsque vous répondez â une réquisition judiciaire et votre QSA est déjà d'accord avec vous non ?

Et vous ? Qu'en pensez-vous ?


Jess - @JessicaGallante