Page 23 - Lignes directrices pour l'audit de sécurité des services financiers numériques

P. 23

(continue)

Politique ou
Entité DFS Catégorie Risques et Mesures de contrôle Question de vérification de la sécurité procédure
concernée vulnérabilités
applicable
Fournisseur Authentifi- – Contrôle et suivi C85: Authentifier l'adresse IP, l'appareil et Des mesures de contrôle sont-elles mises en Politique de
de DFS cation insuffisants de l'accès l'horaire de connexion de tous les utilisa- place pour authentifier les utilisateurs bénéfi- contrôle des accès –
des utilisateurs au teurs, agents et commerçants dotés de ciant de privilèges d'accès (par exemple, grâce Gestion des accès
système de DFS (DS: privilèges d'accès qui se connectent au à la vérification de l'adresse IP et de l'horaire des utilisateurs
contrôle des accès) système de DFS. Par exemple, paramétrer de connexion)?
un accès spécifique pour les commerçants
et les agents afin d'interdire l'accès au
système de DFS en dehors de leurs horaires
de travail.
Fournisseur Sécurité des – Contrôle et suivi C86: Les modifications du code doivent Les modifications du code sont-elles testées Acquisition, déve-
de DFS réseaux insuffisants de l'accès être testées dans l'environnement de test et approuvées avant d'entrer dans l'environ- loppement et
des utilisateurs au avec d'entrer dans l'environnement de pro- nement de production (par exemple, avec maintenance des
système de DFS (DS: duction; l'environnement de test doit être l'émission de certificats prouvant que des systèmes d'infor-
contrôle des accès) séparé de l'environnement de production tests d'acceptation utilisateur et des tests mation – Sécurité
physiquement et logiquement. d'acceptation interne ont été menés)? des processus de
développement
et d'assistance
technique
Fournisseur Sécurité des – Contrôle et suivi C87: Afin d'améliorer la sécurité, utiliser un Le fournisseur de DFS a-t-il mis en place un Cryptogra-
de DFS réseaux insuffisants de l'accès appareil fiable et inviolable tel qu'une boîte mécanisme permettant de stocker les clés phie – Mesures
des utilisateurs au noire transactionnelle pour la gestion sécu- cryptographiques de manière sécurisée? de contrôle
système de DFS (DS: risée du processus et le stockage des clés cryptographiques
contrôle des accès) cryptographiques destinées à protéger les
codes PIN, les transactions, les jetons et les
bons de retrait en espèces des utilisateurs.
Fournisseur Contrôle des – Contrôle et suivi C88: Définir des rôles d'utilisateur afin de Le fournisseur de DFS propose-t-il des Politique de
de DFS accès insuffisants de l'accès fixer des droits d'accès en s'appuyant sur le mesures de contrôle des accès fondé sur les contrôle des accès –
des utilisateurs au principe du moindre privilège. rôles? Gestion des accès
système de DFS (DS: des utilisateurs
contrôle des accès)
Fournisseur Contrôle des – Contrôle et suivi C89: Après le départ ou la résiliation Les identifiants de connexion des administra- Politique de
de DFS accès insuffisants de l'accès d'un utilisateur, d'un agent ou d'un com- teurs, des agents et des utilisateurs qui ont contrôle des accès –
des utilisateurs au merçant, les fournisseurs de services de quitté ou résilié le DFS sont-ils désactivés? Gestion des accès
système de DFS (DS: paiement et les tiers doivent désactiver le Les comptes enregistrés sur le système de des utilisateurs
contrôle des accès) compte correspondant. DFS sont-ils désactivés après une période
d'inactivité?
Fournisseur Contrôle des – Contrôle et suivi C90: Fixer un délai d'inactivité au-delà Le fournisseur de DFS a-t-il prévu la désacti- Politique de
de DFS accès insuffisants de l'accès duquel les comptes seront désactivés. vation des comptes d'administrateur après contrôle des accès –
des utilisateurs au une période d'inactivité déterminée? Tous les Gestion des accès
système de DFS (DS: comptes inactifs du personnel interne et des des utilisateurs
contrôle des accès) API sont-ils désactivés?
Fournisseur Détection – Contrôle et suivi C91: Imposer des limitations et des horaires Le fournisseur de DFS a-t-il recours à des Politique de
de DFS des fraudes insuffisants de l'accès de connexion en fonction des rôles au sein mesures de contrôle des accès fondé sur les contrôle des accès –
des utilisateurs au des DFS (on peut par exemple envisager rôles? Gestion des accès
système de DFS (DS: un nombre maximum d'annulations par des utilisateurs
contrôle des accès) session et par jour selon le rôle de titulaire
de compte).
Fournisseur Détection – Contrôle et suivi C92: Limiter, contrôler, surveiller et exa- Un mécanisme est-il mis en place pour exami- Politique de
de DFS des fraudes insuffisants de l'accès miner de manière régulière les privilèges ner les privilèges administratifs? contrôle des accès –
des utilisateurs au d'accès aux systèmes de DFS, notamment Gestion des accès
système de DFS (DS: l'ajout, la modification et la suppression des utilisateurs
contrôle des accès) d'utilisateurs.
Fournisseur Confiden- – Contrôle et suivi C93: Surveiller l'utilisation des API et cryp- Existe-t-il un mécanisme permettant d'assurer Politique de sécurité
de DFS tialité insuffisants de l'accès ter l'ensemble des données partagées avec le suivi des données partagées par l'intermé- des communica-
des utilisateurs au des tiers; prévoir des procédures et des diaire des API? tions – Gestion de la
système de DFS (DS: mesures de contrôle en matière de gestion sécurité des réseaux
contrôle des accès) des données, par exemple en signant Existe-t-il des mesures de contrôle permettant
des accords de non-divulgation avec les de prévenir les fuites de données?
fournisseurs de services de paiement, afin
d'éviter les fuites d'informations ou de
données.

Lignes directrices pour l’audit de sécurité des services financiers numériques 21

18 19 20 21 22 23 24 25 26 27 28