PCI DSS tire son nom de l’institution qui l’a créé: le Industrie des cartes de paiement association. L’organisation a une division, appelée Conseil des normes de sécurité de l’industrie des cartes de paiement, qui commande et parraine des normes pour aider à protéger l’industrie financière et ses clients. La partie «DSS» du nom de la norme signifie Normes de sécurité des données.
PCI DSS n’est pas appliqué par la loi. Cependant, c’est une exigence de Visa, Mastercard, American Express, Discover et JCB, donc si vous ne vous y conformez pas, vous ne pourrez pas traiter les paiements par carte des clients de ces systèmes. La protection des informations personnelles des clients est une exigence légale forte de la Règlement général sur la protection des données (RGPD), qui est appliqué dans l’ensemble de l’Union européenne (UE).
Si vous n’avez pas le temps de lire l’intégralité du message, voici notre liste des 20 meilleurs outils de conformité PCI DSS:
- SolarWinds Access Rights Manager (ESSAI GRATUIT) Surveille les implémentations Active Directory, y compris les autorisations Exchange Server et SharePoint. Fonctionne sur Windows Server.
- ManageEngine ADAudit Plus (ESSAI GRATUIT) Produit des rapports prouvant la conformité aux normes PCI DSS et autres normes de sécurité des données.
- Gestionnaire d’événements de sécurité SolarWinds (ESSAI GRATUIT) Surveille l’accès aux journaux et la transmission des données pour détecter les tentatives d’accès non autorisées aux données.
- ManageEngine EventLog Analyzer (ESSAI GRATUIT) Gestionnaire Syslog qui comprend des audits et des rapports de conformité PCI DSS pré-écrits, ainsi que des audits HIPAA et FISMA.
- OSSEC Un outil d’analyse de journaux très respecté, open source et gratuit à utiliser. Il manque une interface utilisateur.
- Splunk Enterprise Un analyseur de trafic en direct qui s’exécute sur Windows ou Linux. Disponible en versions gratuite et payante.
- Protection et réponse de Malwarebytes Endpoint Un système anti-malware certifié PCI DSS Exigence 5. Fonctionne sur Windows.
- Trend Micro Security pour Mac Fournit la conformité certifiée PCI DSS Exigence 5 et fonctionne sur Mac OS.
- SENF Un localisateur de données sensibles gratuit qui fonctionne sous Windows, Linux, Mac OS et Unix.
- PowerGREP Un localisateur de données sensible avec une garantie de remboursement de 3 mois.
- OpenWIPS-NG Un système de prévention des intrusions pour les réseaux sans fil. Cet utilitaire est gratuit à utiliser et à installer sous Linux.
- Aruba RFProtect Un système de prévention des intrusions sans fil conforme aux spécifications PCI DSS.
- KeePass Password Safe Un système de protection par mot de passe gratuit pour Windows, Linux, Mac OS, Linux et les clés USB.
- Mot de passe Gorilla Un protecteur de mot de passe largement utilisé pour Windows, Linux, Mac OS et Unix.
- Moniteur de performances réseau SolarWinds (ESSAI GRATUIT) Le meilleur moniteur de performances réseau avec des routines basées sur SNMP qui s’exécute sur Windows Server.
- Moniteur de performances réseau Paessler PRTG Un moniteur tout-en-un qui couvre les réseaux, les serveurs et les applications. Fonctionne sur Windows Server.
- SolarWinds Patch Manager (ESSAI GRATUIT) Maintient le logiciel à jour afin de fermer les exploits. Fonctionne sur Windows Server et est compatible PCI DSS.
- Système d’exploitation Automox et correctifs tiers Un gestionnaire de correctifs basé sur le cloud qui atteint les appareils fonctionnant sous Windows, Mac OS et Linux.
- ManageEngine Network Configuration Manager Cet outil protège les commutateurs, les routeurs et les pare-feu contre les modifications de configuration non autorisées.
- Gestionnaire de configuration réseau SolarWinds (ESSAI GRATUIT) Un gestionnaire de configuration compatible avec PCI DSS et s’intègre à d’autres outils de gestion d’infrastructure SolarWinds.
L’introduction de mesures de protection des données est une bonne idée. Il protégera les informations sensibles de votre entreprise et garantira que vous ne serez pas poursuivi par des clients ou des employés pour divulgation de données.
Il existe de nombreuses catégories d’outils de sécurité dont vous aurez besoin pour renforcer la sécurité de votre système afin de protéger les données des clients et les informations sur les transactions par carte. Ceux-ci sont:
- Gestion des droits d’accès
- Outils de gestion des informations et des événements de sécurité
- Systèmes de prévention des intrusions
- Systèmes anti-malware
- Protection de l’environnement des données des titulaires de carte
- Surveillance de la sécurité sans fil
- Casiers de protection par mot de passe
- Systèmes de surveillance de réseau
- Gestion des correctifs logiciels
- Gestion de la configuration
Nous expliquerons chacun de ces types de logiciels et proposerons les deux meilleurs outils dans chaque catégorie.
Gestion des droits d’accès
Vous devez contrôler qui a accès aux données du titulaire de carte. Dans les cas où les opérateurs doivent voir les informations sur les transactions et les clients, pour les remboursements et les demandes des clients, par exemple, vous devez limiter les catégories de données accessibles.
Les noms d’utilisateur et mots de passe des utilisateurs autorisés sont la cible d’un type d’attaque de pirate informatique, appelée «phishing». Cette méthode de piratage incite le personnel à divulguer ses comptes de connexion. Si vous autorisez également l’accès externe à votre réseau, de telles erreurs sur la confidentialité des informations d’identification de l’utilisateur peuvent menacer la sécurité de vos données.
Le logiciel de gestion des droits d’accès vous aidera à suivre les activités des utilisateurs autorisés de l’entreprise et à vous assurer qu’ils ne se livrent pas à des activités non autorisées. Suivi de l’activité des utilisateurs est une exigence de PCI DSS. Vous devez conserver les journaux de chaque session utilisateur à présenter pour tout audit PCI DSS.
Les deux meilleurs systèmes de gestion des droits d’accès que vous devriez examiner sont:
1. Gestionnaire de droits d’accès SolarWinds (ESSAI GRATUIT)
le Gestionnaire de droits d’accès SolarWinds contribue à Conformité PCI DSS. L’outil surveille Active Directory, Exchange Server, SharePoint et les serveurs de fichiers. Il produit des journaux qui détaillent l’utilisateur, le système accédé et les heures d’accès. Le tableau de bord établit un lien vers les informations utilisateur pour vous montrer non seulement le nom d’utilisateur, mais aussi le vrai nom du titulaire du compte.
L’ARM intègre également une fonction de gestion des utilisateurs, y compris un portail en libre-service qui permet aux utilisateurs de vérifier leurs comptes et d’effectuer des tâches d’administration simples, telles que la modification de leurs mots de passe. Cet outil vous donne la possibilité de superviser un grand nombre d’utilisateurs à partir d’un seul tableau de bord. C’est un outil payant qui fonctionne sur Windows Server et vous pouvez l’obtenir avec un essai gratuit de 30 jours.
SolarWinds Access Rights ManagerTéléchargez la version d’essai gratuite de 30 jours
2. ManageEngine ADAudit Plus (ESSAI GRATUIT)
ManageEngine ADAudit Plus est très bon pour mettre en œuvre la conformité PCI DSS et exécuter des rapports d’audit pour prouver automatiquement votre valeur. Cet outil se concentre sur Active Directory, la surveillance et la journalisation de toute modification des autorisations enregistrées dans AD. Il enregistrera les actions des utilisateurs entrant et sortant de différents systèmes. Il suit les modifications apportées aux autorisations d’audit des fichiers et des dossiers, ce qui vous alertera sur l’activité des intrus. Vous pouvez archiver les données d’alerte jusqu’à trois ans et générer des rapports d’audit.
Ce logiciel fonctionne sous Windows et est disponible dans les éditions gratuites et payantes. Vous pouvez obtenir un essai gratuit de 30 jours de l’édition professionnelle.
ManageEngine ADAudit PlusDownload Essai gratuit de 30 jours
Outils de gestion des informations et des événements de sécurité
Informations sur la sécurité et gestion des événements (SIEM) propose deux méthodes de suivi qui vous permettent de suivre l’activité sur votre système. Ce sont la surveillance des fichiers journaux et l’examen de l’activité qui passe le long de votre réseau.
La protection des fichiers journaux est particulièrement importante pour la conformité PCI DSS. Vous devez être en mesure de démontrer un suivi complet de tous événements d’accès aux données. Ceux-ci doivent être enregistrés dans des fichiers journaux, mais les pirates qui veulent détruire ou voler vos données le savent et ils suppriment ou modifient ces fichiers. Les outils SIEM sauvegardent les fichiers journaux pour vérifier les modifications et restaurer les versions originales. Ils vous permettent également de rechercher dans tous les journaux d’événements des enregistrements pertinents, car le nombre d’enregistrements d’événements qu’un système produit peut être écrasant. SIEM suit également le trafic réseau à la recherche d’activités suspectes.
3. Gestionnaire d’événements de sécurité SolarWinds (ESSAI GRATUIT)
le Gestionnaire d’événements de sécurité SolarWinds sécurise les fichiers journaux et déclenche des alertes en cas de détection de falsification. Vous pouvez regarder les messages du journal en direct dans le tableau de bord et lire les données des fichiers vers un analyseur. L’outil est livré avec rapports pré-écrits qui prouvent la conformité PCI DSS.
Le gestionnaire d’événements de sécurité s’exécute sur Windows Server mais peut collecter des messages de journal à partir de n’importe quel système d’exploitation et est également capable de gérer le stockage des fichiers journaux sur une clé USB. Il est également capable de automatiser les réponses à une intrusion détectée. Ces mesures incluent la possibilité de suspendre ou de bloquer l’accès à des adresses spécifiques, d’arrêter des programmes et des processus, de désactiver les comptes d’utilisateurs et de bloquer les périphériques de stockage USB.
Le Security Event Manager est un outil payant adapté aux grands réseaux. Vous pouvez le vérifier sur un essai gratuit de 30 jours.
SolarWinds Security Event ManagerTéléchargez la version d’essai gratuite de 30 jours
4. ManageEngine EventLog Analyzer (ESSAI GRATUIT)
le ManageEngine EventLog Analyzer suit les messages Syslog et recherche une activité anormale sur les réseaux en utilisant des procédures SNMP. La visionneuse de données peut fonctionner sur à la fois des données en direct et des messages déposés avec des opérations de données, telles que des utilitaires de tri, de recherche, de filtrage et de regroupement.
L’outil protège les fichiers journaux avec la compression et le chiffrement, imposant une authentification sur l’accès au contenu. Il surveille également les sommes de contrôle sur les fichiers journaux, générant des alertes en cas de changement. EventLog Analyzer comprend un audit de conformité pour le PCI DSS. Il dispose également de processus et de rapports qui vous aideront à vous conformer aux normes FISMA et HIPAA.
Le logiciel fonctionne sous Windows ou Linux et vous pouvez l’obtenir avec un essai gratuit de 30 jours.
ManageEngine EventLog AnalyzerTéléchargez la version d’essai gratuite de 30 jours
Systèmes de prévention des intrusions
Les systèmes de prévention des intrusions sont très similaires aux systèmes SIEM. Ils enregistrent les modèles de trafic standard sur un réseau, puis recherchent les variations de cette ligne de base. Ils examinent également le comportement des paquets qui passent et recherchent des identificateurs dans les en-têtes de paquets pour détecter les signes d’avertissement. La principale caractéristique d’un système IPS est qu’il détecte non seulement les intrusions mais prend également des mesures automatisées pour arrêter cette activité. Comme expliqué ci-dessus, OSSEC possède des capacités de prévention des intrusions. Voici deux autres outils IPS que nous recommandons:
5. OSSEC
OSSEC est un système gratuit de détection d’intrusion basé sur l’hôte qui propose une analyse des fichiers journaux et un traitement des messages de journaux en direct. Cet outil a un excellent moteur d’analyse, mais un front-end terrible. Cependant, il existe de nombreux outils gratuits de visualisation des données compatibles avec OSSEC, tels que Graylog, Splunk, et Kibana.
Ce système appartient à Trend Micro, qui est une entreprise de cybersécurité de premier plan. Le logiciel s’installe sur les fenêtres, Linux, Unix, et Mac OS. Il est capable de collecter des messages de journal du réseau provenant de n’importe quel système d’exploitation, peu importe sur lequel il est installé.
L’outil archive les fichiers journaux chaque fois qu’ils sont modifiés, ce qui permet de revenir en arrière en cas d’interférence. Il utilise une base de règles pour détecter les comportements anormaux sur le réseau. Les fonctions de surveillance des journaux d’OSSEC répondent aux exigences de Exigence PCI DSS 10 et les fonctionnalités d’application de l’intégrité des fichiers de l’outil sont conformes aux sections PCI DSS 10.5.5 et 11.5.
6. Splunk Enterprise
Splunk est un analyseur de trafic réseau en versions gratuite et payante. Les versions supérieures, Splunk Enterprise et Splunk Cloud incluent des capacités IPS. Les éditions inférieures sont Splunk Free et Splunk Light. Les procédures de détection de l’outil incluent la surveillance du trafic réseau et l’analyse des fichiers journaux. La méthode de détection recherche les anomalies, qui sont des modèles de comportement inattendu.
Pour obtenir une détection d’anomalies basée sur l’IA et de solides systèmes de prévention automatisés avec Splunk, vous devez le compléter avec le Splunk Enterprise Security module complémentaire, qui est disponible sur un essai gratuit de sept jours. Symantec a choisi de conclure un accord avec Splunk afin d’intégrer Splunk Enterprise dans ses produits de sécurité et de bénéficier des capacités de conformité PCI DSS.
Splunk Enterprise s’installe sur Windows ou Linux. Vous pouvez l’obtenir avec un essai gratuit de 60 jours. Si vous préférez l’édition Cloud, vous pouvez y accéder sur un essai gratuit de 15 jours.
Systèmes anti-malware
Les menaces de logiciels malveillants contre les informations client et les données de transaction par carte détenues sur votre système se concentrent sur l’endommagement ou la suppression de données autant que sur leur vol.. Spyware et chevaux de Troie d’accès à distance (RAT) aide les pirates à voler vos données, tandis que les ransomwares et les malwares destructeurs suppriment ou brouillent vos données pour les rendre inutilisables. L’installation d’anti-malware sur votre système est Exigence 5 de PCI DSS.
7. Protection et réponse de Malwarebytes Endpoint
Malwarebytes a été validé comme fournissant Exigence PCI DSS 5 protection des données. La société ne classe pas son produit, Malwarebytes Endpoint Protection, comme un système antivirus. Au lieu de cela, il l’appelle un «remplacement antivirus.”Le système fonctionne les fenêtres et fonctionne de manière très similaire à un IPS réseau, sauf que son domaine est un poste de travail. Plutôt que de s’appuyer sur une base de données de menaces comme un AV traditionnel, le logiciel recherche les signatures d’anomalies dans les processus en cours d’exécution sur l’ordinateur. Il met ensuite en œuvre des procédures de correction automatisées pour éliminer la menace.
Le logiciel est capable de détecter une activité irrégulière effectuée par des utilisateurs autorisés – un signe de informations d’identification volées. Il protège contre les ransomwares en enregistrant les sauvegardes des fichiers modifiés afin que tous puissent être restaurés s’ils sont cryptés par malveillance.
8. Trend Micro Security pour Mac
Trend Micro est la société propriétaire d’OSSEC. Il classe Security for Mac comme un produit pour les utilisateurs à domicile. Cependant, le système est entièrement conforme Exigence PCI DSS 5, c’est donc aussi un bon choix pour les entreprises.
En plus de bloquer les virus, il protège votre navigateur contre une série d’attaques Internet et empêche les logiciels intrus de prendre le contrôle de la caméra et du microphone de votre Mac. Le système de détection est basé sur l’IA, ce qui signifie qu’il est capable de bloquer de nouveaux virus. Il comprend également la protection des e-mails et la gestion des mots de passe.
Comme son nom l’indique, ce logiciel fonctionne sur Mac. Cependant, un produit de sécurité supérieure, appelé sécurité maximale, est disponible pour Windows, Mac OS, iOS et Android. Ce package peut être acheté avec une licence de 10 appareils.
Protection de l’environnement des données des titulaires de carte
L’exigence 1 de PCI DSS attend de vous que vous définissiez votre Environnement de données des titulaires de carte. Cela signifie tous les équipements et processus qui traitent les données des titulaires de carte et les éléments informatiques qui prennent en charge cette infrastructure. Vous devez dessiner un diagramme d’environnement de données de titulaire de carte de ce système.
Une astuce pour retrouver tous ces détails consiste à commencer par l’emplacement où les données du titulaire de la carte sont stockées, puis à suivre tous les logiciels qui les ont stockés. Vous devez ensuite examiner les services et le matériel qui ont pris en charge le processus qui y a placé les données. Voici deux outils que vous pouvez utiliser pour suivre les données des titulaires de carte.
9. SENF
SENF est le Finder Number sensible. Il a été développé par l’Université du Texas au bureau de la sécurité de l’information d’Austin et il est gratuit. Le logiciel est écrit en Java et fonctionne sous Windows, Linux, Mac OS et Unix. Il recherchera dans tout l’appareil les numéros sensibles qui y sont stockés, y compris les numéros de carte de crédit et les numéros de sécurité sociale. Le logiciel est disponible à partir d’un référentiel GitHub.
10. PowerGREP
PowerGREP est un outil payant, mais les fournisseurs proposent une garantie de remboursement de trois mois. Il recherche dans les fichiers d’un ordinateur les formats de données spécifiés. Vous pouvez utiliser cette fonction pour rechercher des numéros de carte de crédit et établir tous les emplacements où les données du titulaire de carte sont conservées. L’outil peut rechercher dans tous les types de fichiers, y compris du texte, des fichiers binaires et des fichiers compressés.
Surveillance de la sécurité sans fil
11. OpenWIPS-NG
OpenWIPS-NG est fabriqué par les mêmes personnes qui ont produit Aircrack-NG, qui est un outil de piratage célèbre. C’est un gratuit IPS sans fil pour Linux. Le système comprend trois modules: un capteur, un serveur, et une interface. Le capteur est un renifleur de paquets qui transmet le trafic réseau au serveur, où l’analyse du trafic est effectuée.
Le capteur est également capable d’injecter du trafic dans les canaux ou de modifier le trafic sans fil qui passe. Cette action peut être commandée automatiquement lorsque le serveur détecte une intrusion. Il peut également être lancé manuellement. L’utilisateur accède aux flux de données via le troisième élément du package, qui est l’interface.
12. Aruba RFProtect
Aruba RFProtect est un IPS sans fil. La société Aruba est une division de Hewlett Packard et elle produit des équipements de réseau, y compris des points d’accès sans fil. Aruba RFProtect fonctionne à partir de l’AP. Le programme scanne tous les canaux pour les transmissions anormales et il empêche également les changements non autorisés à la configuration de l’AP.
L’outil contient mesures de défense pour bloquer les transmissions des adresses IP qui semblent être impliquées dans des activités malveillantes. Il comprend un module d’audit et de reporting conforme aux PCI DSS et peut également être adapté aux exigences de reporting de conformité HIPAA, DoD 8100.2 et GLBA.
Casiers de protection par mot de passe
Si vous souhaitez être qualifié de conforme PCI DSS, les gestionnaires de mots de passe ne sont pas une option – ils sont une exigence de la norme. La création de mots de passe longs composés de caractères aléatoires et leur stockage pour réutilisation car ils sont impossibles à retenir créent une sécurité supplémentaire pour le réseau. D’une part, les utilisateurs ne sont pas en mesure de divulguer des mots de passe dont on ne peut se souvenir et les procédures d’accès au gestionnaire de mots de passe placent une barrière supplémentaire entre le monde extérieur et vos ressources. Voici deux systèmes de protection par mot de passe que nous recommandons:
13. KeePass Password Safe
C’est un gratuit système de protection par mot de passe pour Windows, Linux, Mac OS et Unix. Il existe également une version qui peut être exécutée à partir d’une clé USB.
Le système de mot de passe a un Interface GUI qui répertorie tous les mots de passe stockés dans sa base de données interne. La base de données est verrouillée par AES ou Deux Poisson le cryptage et vous devez créer un mot de passe pour accéder à l’interface. Une fois démarré, le programme s’exécutera en arrière-plan et remplira pour vous tous les mots de passe dans les écrans de l’ordinateur. Il dispose également d’un puissant générateur de mots de passe.
14. Mot de passe Gorilla
Password Gorilla est un autre gratuit gestionnaire de mots de passe disponible pour Windows, Linux, Mac OS et Unix. Il existe également une version autonome qui fonctionnera à partir d’une clé USB.
Ce casier distribue des mots de passe via le presse-papiers, vous devrez donc coller des mots de passe dans chaque site et application que vous visitez. Les mots de passe sont protégés par SHA256 et la base de données entière est cryptée par Deux Poisson. Le programme comprend un générateur de mot de passe qui fournit des chaînes aléatoires impossibles à retenir pour chaque mot de passe.
Systèmes de surveillance de réseau
Bien que les systèmes de surveillance de réseau ne soient pas spécifiquement exigés par les exigences de PCI DSS, la sécurité d’un système ne peut être garantie que par la stabilité. Vous devrez surveiller les performances du réseau car une défaillance partielle peut réduire l’efficacité des systèmes de sécurité détaillés ci-dessus. Voici deux systèmes de surveillance de réseau que nous recommandons.
15. SolarWinds Network Performance Monitor (ESSAI GRATUIT)
le Moniteur de performances réseau SolarWinds est un moniteur réseau de premier plan qui utilise SNMP des procédures permettant de contrôler en permanence les statuts des périphériques réseau. L’équipement surveillé peut envoyer un message d’alerte au moniteur lorsque des conditions d’urgence surviennent. Le moniteur peut protéger les systèmes sans fil et les virtualisations ainsi que les réseaux locaux standard. L’outil découvre automatiquement tous les périphériques réseau et génère une carte de topologie réseau. Le logiciel s’installe sur Windows Server et vous pouvez obtenir un essai gratuit de 30 jours de ce logiciel.
SolarWinds Network Performance MonitorTéléchargez la version d’essai gratuite de 30 jours
16. Moniteur réseau Paessler PRTG (ESSAI GRATUIT)
Moniteur réseau PRTG de Paessler est un moniteur de réseau, de serveur et d’application unifié qui contient une grande collection de “capteurs.«Chaque capteur est un moniteur individuel et vous choisissez lequel parmi la grande bibliothèque de capteurs vous souhaitez activer. Le système s’installe sur Windows Server et est libre d’utilisation si vous n’activez que jusqu’à 100 capteurs. Le moniteur utilise des procédures SNMP pour surveiller les réseaux locaux, les réseaux sans fil et les virtualisations. Vous pouvez obtenir un essai gratuit de 30 jours de ce système.
Moniteur réseau Paessler PRTGTéléchargez la version d’essai gratuite de 30 jours
Gestion des correctifs logiciels
L’absence de mise à jour du logiciel d’application crée une faille de sécurité. De nombreuses mises à jour de logiciels ne sont produites que lorsqu’une nouvelle vulnérabilité des systèmes existants est découverte. Les éditeurs de logiciels qui fournissent ces programmes écrivent rapidement des mises à jour pour mettre fin à l’exploit. Il est très difficile de maintenir tous les logiciels à jour, donc les outils automatisés de gestion des correctifs aident à maintenir un réseau sécurisé et conforme avec Exigence PCI DSS 6. Voici deux gestionnaires de correctifs que nous recommandons.
17. SolarWinds Patch Manager (ESSAI GRATUIT)
le SolarWinds Patch Manager fonctionne sur Windows Server et intègre Microsoft WSUS gestion des correctifs et SCCM. Il s’agit d’un système de gestion des vulnérabilités qui enregistre tous les logiciels en cours d’exécution sur votre site et garde une alerte pour toutes les mises à jour disponibles pour ces packages. Le tableau de bord répertorie les correctifs disponibles et les déploiera automatiquement après approbation. Le système produit également rapports d’audit pour aider à montrer la conformité avec PCI DSS. Il est disponible en téléchargement sur un essai gratuit de 30 jours.
SolarWinds Patch ManagerTéléchargez la version d’essai gratuite de 30 jours
18. Système d’exploitation Automox et correctifs tiers
Ce gestionnaire de correctifs fonctionne à partir de le nuage. Il crée un inventaire de tous vos logiciels sur site et reste en contact avec les éditeurs de logiciels pour obtenir des listes de disponibilité des correctifs pour chacun. Le service peut fournir des mises à jour pour les logiciels exécutés sur les fenêtres, Mac OS, et Linux et il mettra également à jour le système d’exploitation. Vous pouvez obtenir un essai gratuit de 15 jours de ce logiciel.
Gestion de la configuration
Les intrus peuvent obtenir un accès plus large à votre réseau s’ils sont capables de modifier les paramètres de vos périphériques réseau, à savoir vos commutateurs et routeurs. Créer une configuration standard pour vos appareils, les sauvegarder et les installer sur de nouveaux appareils vous aide à être conforme à Exigence PCI DSS 6. Voici nos deux recommandations.
19. ManageEngine Network Configuration Manager
Le Network Configuration Manager est capable de gérer configurations pour commutateurs, routeurs, et pare-feu. Le service sauvegarde la configuration, puis surveille les modifications apportées à la configuration de vos appareils, en réinstallant l’image d’origine si des modifications non autorisées se produisent. Le système enregistre toutes les modifications et actions et produit des rapports d’audit pour aider à la conformité PCI DSS. Vous pouvez obtenir un essai de 30 jours de ce logiciel.
20. Gestionnaire de configuration réseau SolarWinds (ESSAI GRATUIT)
le Gestionnaire de configuration réseau SolarWinds s’intègre à SolarWinds Network Performance Monitor. Son module de reporting contribue à Conformité PCI DSS. Lors de l’installation, l’outil analyse le réseau, enregistre tous les commutateurs, routeurs et pare-feu et sauvegarde leurs configurations. Les modifications de configuration ultérieures doivent être effectuées via l’interface du gestionnaire car elle écrasera toutes les modifications directes avec son image stockée.
L’outil effectue des contrôles réguliers avec le Base de données nationale de vulnérabilité de Cisco et met à jour le firmware chaque fois que nécessaire. Il a également de fortes capacités lors de l’interface avec le Appliance de sécurité adaptable Cisco pare-feu.
L’outil s’installe sur Windows Server et vous pouvez l’obtenir avec un essai gratuit de 30 jours.
SolarWinds Network Configuration ManagerTéléchargez la version d’essai gratuite de 30 jours
ensibles des clients et aidera à prévenir les violations de données. PCI DSS est une norme importante pour les entreprises qui traitent des paiements par carte de crédit, car elle est exigée par les principales sociétés de cartes de crédit. Il est également important de se conformer aux exigences légales telles que le RGPD pour protéger les données personnelles des clients. Les outils de conformité PCI DSS mentionnés dans larticle peuvent aider les entreprises à atteindre et à maintenir la conformité. Il est essentiel de prendre des mesures pour protéger les données des clients et de sassurer que les entreprises respectent les normes de sécurité des données.