Accueil > Termes et conditions

Termes et conditions

Introduction

Le présent document de politique englobe tous les aspects de la sécurité entourant les renseignements confidentiels de l’entreprise et doit être distribué à l’ensemble des employés. Tous les employés de l’entreprise doivent lire ce document dans son intégralité et signer le formulaire confirmant qu’ils on entièrement lu et compris cette politique. Ce document sera révisé et mis à jour par la direction sur une base annuelle ou lorsque jugé pertinent pour comprendre les normes de sécurité nouvellement élaborées et ajoutées à la politique et distribuées à nouveau à l’ensemble des employés et ses agents contractuels, le cas échéant.

Politique de sécurité des renseignements

Groupe Trân Fusion gère des renseignements de titulaire de carte au quotidien. Les renseignements sensibles doivent avoir des mesures de protection adéquates en place pour protéger les données et la confidentialité des titulaires de carte, pour assurer la conformité envers divers règlements et pour préserver l’avenir de l’organisation.

Groupe Trân Fusion s’engage à respecter la confidentialité de l’ensemble de ses clients et à protéger toutes les données concernant les clients de tiers. À cette fin, la direction s’est engagée à maintenir un environnement sécurisé dans lequel seront traités les renseignements de titulaire de carte de manière à ce que nous puissions tenir promesse.

Les employés qui gèrent des données sensibles de titulaire de carte doivent s’assurer

  • De gérer les renseignements de l’entreprise et de titulaire de carte de manière convenable en fonction de leur caractère sensible et de leur classification ;
  • Restreindre l’usage des renseignements de Groupe Trân Fusion et les systèmes de télécommunication et assurer qu’il n’interfère avec votre rendement au travail ;
  • Groupe Trân Fusion se réserve le droit de surveiller, d’accéder, de réviser, de vérifier, de copier, de stocker ou de supprimer toute communication électronique, tout équipement, système et trafic réseau à toute fin ;
  • N’utilisez pas le courriel, Internet et les autres ressources de l’entreprise pour vous engager dans une action offensive, menaçante, discriminatoire, diffamatoire, pornographique, obscène, harcelante ou illégale ;
  • Ne divulguez jamais de renseignements personnels, à moins d’y être autorisé ;
  • Protégez les renseignements de titulaire de carte sensibles ;
  • Conservez les mots de passe et les comptes en toute sécurité ;
  • Demandez l’approbation de la direction avant d’établir tout nouveau matériel informatique ou logiciel, des connexions avec des tiers, etc. ;
  • N’installez pas de logiciel ou de matériel informatique non autorisé, notamment des modems ou un accès sans fil, à moins d’avoir expressément été autorisé par la direction ;
  • Laissez toujours les bureaux libres de données de titulaire de carte sensibles et verrouillez les écrans d’ordinateur lorsqu’ils sont sans surveillance ;
  • Les incidents liés à la sécurité des renseignements doivent être signalés, sans délai, à la personne responsable de la réponse aux incidents à l’échelle locale. Assurez-vous de savoir de qui il s’agit.

Nous avons tous la responsabilité de nous assurer que les systèmes et les données de notre entreprise sont protégés de tout accès non autorisé et d’usage inapproprié. Si vous avez des doutes concernant n’importe laquelle des politiques détaillées aux présentes, demandez des conseils et des directives à votre gestionnaire hiérarchique.

1. Sécurité réseau

Un diagramme de réseau global est conservé et révisé chaque année. Il fournit un aperçu détaillé de l’environnement de titulaire de carte (CDE) et affiche au minimum ses connexions entrantes et sortantes. Il doit également illustrer les éléments essentiels au sein du CDE, comme les dispositifs de point de vente, les bases de données, les serveurs Web, etc., et tout autre composant de paiement nécessaire, le cas échéant.

En outre, une analyse devrait être effectuée par un fournisseur de balayage approuvé par le PCI SSC (ASV), s’il y a lieu. Les conclusions de ces analyses doivent être conservées pendant 18 mois.

2. Politique d’utilisation acceptable

Les intentions de la direction de publier une politique d’utilisation acceptable consistent à ne pas imposer de restrictions contraires à la culture d’ouverture, de confiance et d’intégrité établie de Groupe Trân Fusion. La direction s’est engagée à protéger les employés, partenaires et l’entreprise contre toutes les actions illégales ou dommageables prises par des personnes, que ce soit sciemment ou non. Groupe Trân Fusion tiendra à jour une liste approuvée des technologies et dispositifs et du personnel ayant accès à de tels dispositifs, tel que détaillée à l’Annexe B.

  • Il incombe aux employés d’exercer un bon jugement en regard du caractère raisonnable de l’usage personnel.
  • Les employés doivent prendre toutes les mesures nécessaires pour prévenir l’accès non autorisé aux données confidentielles, notamment les données de titulaire de carte.
  • Veuillez garder les mots de passe sécurisés et ne partagez pas de comptes. Les utilisateurs autorisés sont responsables de la sécurité de leurs mots de passe et de leurs comptes.
  • Tous les ordinateurs de bureau, ordinateurs portatifs et postes de travail doivent être sécurisés avec un économiseur d’écran doté d’une fonctionnalité d’activation automatique.
  • Tous les PDV et les dispositifs de saisie de PIN doivent être adéquatement protégés et sécurisés de manière à ne pas pouvoir être trafiqués ni altérés.
  • La liste des dispositifs de l’Annexe B sera régulièrement mise en jour en cas de modification, d’ajout ou de mise hors service. Un inventaire des dispositifs aura lieu régulièrement, et des inspections seront effectuées pour repérer toute altération ou substitution.
  • Les utilisateurs devront avoir été formés à repérer les comportements suspects pouvant révéler une tentative d’altération ou de substitution. Tout comportement suspect sera signalé.
  • Puisque les renseignements contenus dans les ordinateurs portatifs sont particulièrement vulnérables, une attention particulière est nécessaire.
  • Les affichages que font les employés à partir d’une adresse de courriel de l’entreprise vers des groupes de discussion doivent contenir une dénégation de responsabilité indiquant que les opinions exprimées leur sont propres et qu’elles ne sont pas nécessairement celles de Groupe Trân Fusion, à moins que l’affichage n’ait été fait dans le cadre d’activités professionnelles.
  • Les employés doivent être très prudents lorsqu’ils ouvrent des pièces jointes de courriels reçus d’expéditeurs inconnus puisque ces dernières peuvent contenir des virus, des bombes électroniques ou des codes de cheval de Troie.

3. Protection des données stockées

  • Toutes les données de titulaire de carte sensibles stockées et gérées par Groupe Trân Fusion et ses employés doivent être protégées de manière sécurisée contre toute utilisation interdite et ce, en tout temps. Toutes les données de carte sensibles dont Groupe Trân Fusion n’a plus besoin pour des motifs commerciaux doivent être éliminées de manière sécurisée et à ne pas être récupérables.
  • S’il n’y a pas de besoin spécifique d’utiliser le numéro de compte permanent (NCP), il doit être masqué lors de son affichage.
  • Il faut s’abstenir d’envoyer des NCP non protégés comme indiqué plus haut vers un réseau externe par le moyen de technologies de messages vers des utilisateurs finaux comme le dialogue en direct, ICQ, etc.

Il est strictement interdit de stocker :

  1. Le contenu d’une bande de carte magnétique (données de suivi) sur tout support ou autrement.
  2. La valeur de vérification de carte ou le code de vérification de carte (les trois ou quatre chiffres figurant sur la plage de signature au dos de la carte de paiement) sur tout support ou autrement.
  3. Le PIN ou le bloc PIN encodé, en aucune circonstance.

4. Classification des renseignements

Les données et les supports qui contiennent des données doivent toujours être étiquetés de manière à indiquer leur niveau de sensibilité :

  • Les données confidentielles peuvent comprendre des fonds de renseignements pour lesquels il existe des exigences juridiques visant à prévenir la divulgation, ou des sanctions financières pour toute divulgation, ou de données qui entraîneraient de sérieux préjudices à Groupe Trân Fusion si elles étaient divulguées ou modifiées. Les données confidentielles comprennent les données de titulaire de carte.
  • Les données pour usage interne peuvent comprendre des renseignements que le titulaire des données considère comme devant être protégées pour en éviter toute divulgation non autorisée.
  • Les données publiques sont des renseignements qui peuvent être diffusés librement.

5. Accès aux données de titulaire de carte sensibles

Tout accès aux données de titulaire de carte sensibles doit être contrôlé et autorisé. Toutes les fonctions professionnelles qui nécessitent un accès aux données de titulaire de carte doivent être clairement définies.

  • Tout affichage de données de titulaire de carte doit être restreint au minimum aux six premiers chiffres et aux quatre derniers chiffres des données de titulaire de carte.
  • L’accès aux renseignements de titulaire de carte sensibles comme le numéro de compte principal (NCP), les renseignements personnels et les données de l’entreprise doit être restreint aux employés qui ont le besoin légitime de consulter de tels renseignements.
  • Aucun autre employé ne devrait avoir accès à ces données confidentielles, à moins d’avoir un véritable besoin commercial.
  • Si des données de titulaire de carte sont partagées avec un fournisseur de services (tiers), une liste des fournisseurs de services doit donc être tenue à jour comme détaillé à l’Annexe C.
  • Groupe Trân Fusion s’assurera de conclure une entente écrite comprenant qu’une reconnaissance est mise en place de manière à ce que le fournisseur de services soit responsable des données de titulaire de carte en sa possession.
  • Groupe Trân Fusion s’assurera qu’il y a un processus établi, notamment la diligence raisonnable, avant de s’engager avec un fournisseur de services.
  • L’entreprise aura un processus en place pour surveiller l’état de conformité envers la PCI DSS du fournisseur de services.

6. Sécurité physique

L’accès aux renseignements sensibles, tant au format sur support papier ou souple doit être physiquement restreint pour prévenir à toutes les personnes non autorisées d’obtenir des données sensibles.

  • Un support se définit comme tout document papier imprimé ou rédigé à la main, télécopie reçue, bande de sauvegarde, disque dur d’ordinateur, etc.
  • Un support contenant des renseignements de titulaire de carte sensibles doit être manipulé et distribué de manière sécurisée par des personnes de confiance.
  • Les visiteurs doivent toujours être accompagnés par un employé de confiance dans des zones où se trouvent des renseignements de titulaire de carte sensibles.
  • Des procédures doivent être mises en place pour aider l’ensemble du personnel à distinguer facilement les employés des visiteurs, particulièrement dans les zones où des données de titulaire de carte sont accessibles. Le terme « employé » fait référence aux employés et au personnel à temps plein et à temps partiel ainsi qu’aux consultants qui sont « résidents » sur les lieux de Groupe Trân Fusion. Un « visiteur » se définit comme un fournisseur, l’invité d’un employé, du personnel de service, ou quiconque doit pénétrer en personne sur les lieux pour une courte durée, habituellement pas plus d’une journée.
  • Il faut conserver une liste des dispositifs qui acceptent les données de carte de paiement.
  • Cette liste doit indiquer la marque, le modèle et l’emplacement de chaque dispositif.
  • Elle doit aussi mentionner son numéro de série ou un identifiant unique.
  • La liste doit être mise à jour à chaque ajout, suppression ou déplacement d’un dispositif.
  • Les surfaces des dispositifs de point de vente font l’objet d’une inspection régulière visant à détecter les altérations ou les substitutions.
  • Le personnel qui les utilise doit être formé à leur manipulation.
  • Le personnel qui utilise les appareils doit vérifier l’identité de tout membre du personnel qui se présente pour les réparer ou les entretenir, en installer de nouveaux ou les remplacer.
  • Le personnel qui utilise les appareils doit être formé à signaler au personnel concerné tout comportement suspect et tout signe d’altération. Les lieux de Groupe Trân Fusion. Un « visiteur » se définit comme un fournisseur, l’invité d’un employé, du personnel de service, ou quiconque doit pénétrer sur les lieux pour une courte durée, habituellement pas plus d’une journée.
  • Un contrôle rigoureux doit être exercé quant à la distribution à l’externe ou à l’interne de tout support contenant des données de titulaire de carte et doit ce contrôle doit être approuvé par la direction.
  • Un contrôle rigoureux doit également être exercé quant au stockage et à l’accessibilité du support.
  • Tous les ordinateurs dans lesquels sont stockées des données de titulaire de carte doivent être munis d’un économiseur d’écran protégé par mot de passe activé pour en prévenir l’utilisation non autorisée.

7. Protection des données en transit

Toutes les données de titulaire de carte doivent être protégées de manière sécurisée lorsqu’elles doivent être transportées de manière physique ou électronique.

  • Les données de titulaire de carte (PAN, données de suivi, etc.) ne doivent jamais être envoyées par courriel sur Internet, par clavardage instantané ou au moyen de toute autre technologie destinée à un utilisateur final.
  • S’il y a un motif commercial d’envoyer des données de titulaire de carte par courriel ou par tout autre moyen, cela doit alors se faire après en avoir obtenu l’autorisation et au moyen d’un mécanisme de cryptage puissant (c.-à-d., cryptage AES, PGP, IPSEC, etc.).
  • Le transport de supports contenant des données de titulaire de carte sensibles à un autre endroit doit être autorisé par la direction, inscrit dans un journal et inventorié avant de quitter les lieux. Seuls les services de messagerie peuvent être utilisés pour le transport de tels supports. L’état de la l’expédition doit être surveillé jusqu’à la livraison au nouvel emplacement.

8. Élimination des données stockées

  • Toutes les données doivent être éliminées de manière sécurisée lorsque Groupe Trân Fusion n’en a plus besoin, peu importe le support ou le type d’application sur lequel elles sont stockées.
  • Un processus automatique doit être en place pour supprimer de manière permanente les données en ligne qui ne servent plus.
  • Toutes les copies papier de données de titulaire de carte doivent être détruites manuellement lorsqu’elles ne sont plus utiles pour des motifs commerciaux valides et justifiés. Un processus trimestriel doit être en place pour confirmer que les données de titulaire de carte sous une autre forme qu’électronique ont été éliminées de manière appropriée et en temps opportun.
  • Groupe Trân Fusion devra avoir prévu des procédures de destruction pour le matériel au format papier. Ces procédures permettront de veiller à ce que le matériel au format papier soit coupé en travers, déchiqueté, incinéré ou désintégré de manière à ne pas pouvoir être reconstitué.
  • Groupe Trân Fusion devra avoir des procédures documentées pour la destruction des supports électroniques. Ces procédures comprendront :
    • Toutes les données de titulaire de carte sur support électronique doivent être rendues irrécupérables lorsque supprimées, p. ex., par la démagnétisation le nettoyage électronique au moyen de procédés de suppression sécurisés de grade militaire ou par la destruction matérielle du support ;
    • Si des programmes de nettoyage sécurisés sont utilisés, la procédure doit être définie selon les normes acceptées dans l’industrie, suivies d’une suppression sécurisée.
  • Tous les renseignements de titulaire de carte en attente de destruction doivent être conservés dans des récipients de stockage clairement identifiés « Pour déchiquetage » et l’accès à ces récipients doit être restreint.

9. Sensibilisation à la sécurité et procédures

Les politiques et procédures décrites ci-dessous doivent être comprises dans les pratiques de l’entreprise pour maintenir un niveau élevé de sensibilisation à la sécurité. La protection des données sensibles nécessite une formation régulière de l’ensemble des employés et entrepreneurs.

  • Veuillez effectuer une révision des procédures de manutention des renseignements sensibles et organiser des réunions périodiques sur la sensibilisation à la sécurité pour inclure ces procédures dans les pratiques quotidiennes de l’entreprise.
  • Distribuez ce document de politique de sécurité à tous les employés de l’entreprise pour qu’ils le lisent. Il incombe à tous les employés de confirmer qu’ils comprennent le contenu de ce document de politique de sécurité en signant un formulaire d’attestation (voir l’Annexe A).
  • Tous les employés qui manipulent des renseignements sensibles seront soumis à des vérifications des antécédents (comme des vérifications de casier judiciaire et de dossier de crédit, dans les limites permises par la loi locale) avant d’entrer en poste à l’entreprise.
  • Tous les tiers ayant accès à des numéros de compte de carte de crédit sont tenus par contrat de se conformer à la norme de sécurité liée aux cartes (PCI/DSS).
  • Les politiques de sécurité de l’entreprise doivent être révisées tous les ans et mises à jour au besoin.

10. Plan de réponse aux incidents de sécurité concernant les cartes de crédit (PCI)

  • L’équipe de réponse aux incidents de sécurité PCI de Groupe Trân Fusion (l’équipe de réponse PCI) est constituée du responsable de la sécurité des renseignements et des services aux commerçants. Le plan de réponse aux incidents de sécurité PCI de Groupe Trân Fusion est le suivant :
    1. Chaque service est tenu de déclarer les incidents au responsable de la sécurité des renseignements (de préférence) ou à un autre membre de l’équipe de réponse PCI.
    2. Le membre de l’équipe qui reçoit le rapport en informe l’équipe de réponse PCI.
    3. L’équipe de réponse PCI enquête sur l’incident et aide le service potentiellement compromis à limiter l’exposition des données de titulaire de carte et à réduire les risques associés.
    4. L’équipe de réponse PCI résout le problème à la satisfaction de toutes les parties concernées (associations et organisations de traitement de carte de crédit, etc.), notamment en leur soumettant un rapport sur l’incident et les conclusions au besoin.
    5. L’équipe de réponse PCI détermine s’il convient de mettre à jour les politiques et les procédés pour éviter que l’incident se reproduise, et s’il faut prévoir d’autres mesures de protection dans l’environnement ou l’institution où a eu lieu l’incident.

L’équipe de réponse aux incidents de sécurité PCI de Groupe Trân Fusion (ou son équivalent dans votre organisation) :

  • DPI
  • Directeur des communications
  • Responsable de la conformité
  • Conseiller juridique
  • Responsable de la sécurité des renseignements
  • Services du recouvrement et aux commerçants
  • Gestionnaire des risques

Procédures de réponse aux incidents de sécurité PCI :

  • Tout service qui a des raisons de soupçonner l’existence d’une brèche dans un compte, des données de titulaire de carte ou des systèmes associés avec l’environnement PCI en général doit en informer l’équipe de réponse aux incidents de sécurité PCI de Groupe Trân Fusion. Une fois informée de la compromission, l’équipe de réponse PCI, en collaboration avec d’autres membres désignés du personnel, déploie le plan de réponse aux incidents de sécurité PCI pour assister les autres services et renforcer leurs propres plans de réponse.

Avis de réponse aux incidents

Membres de l’escalade (ou équivalent dans votre organisation) :

  • Escalade – Premier niveau :
  • Officier principal de la sécurité des renseignements
  • Contrôleur
  • Directeur principal de projet pour le crédit et le recouvrement et le conseiller juridique des services aux commerçants
  • Gestionnaire des risques
  • Directeur des communications de Groupe Trân Fusion

Escalade – Deuxième niveau :

  • Président de Groupe Trân Fusion
  • Cabinet exécutif
  • Audit interne
  • Membres auxiliaires, au besoin

Contacts externes (au besoin)

  • Fournisseurs de cartes aux marchands
  • Marques
  • Fournisseur de services Internet (le cas échéant)
  • Fournisseur de services Internet de l’intrus (le cas échéant)
  • Fournisseurs de communication (locales et longue distance)
  • Partenaires commerciaux
  • Société d’assurance
  • Équipe de réponse externe, le cas échéant (CERT Coordination Center 1, etc.)
  • Autorités policières locales, le cas échéant

En cas de compromission de système, l’équipe de réponse PCI et les personnes désignées :

  1. veillent à isoler le ou les systèmes compromis du réseau ;
  2. rassemblent, examinent et analysent les journaux et les renseignements associés provenant des mesures de protection centrales et locales ainsi que des contrôles de sécurité ;
  3. procèdent à une analyse du système compromis ;
  4. contactent des entités et des services internes et externes, le cas échéant ;
  5. mettent les analyses judiciaires et des journaux à la disposition des services policiers ou du personnel de sécurité de l’industrie des cartes de crédit, le cas échéant ;
  6. aident les membres du personnel policier et de l’industrie des cartes de crédit dans leur enquête, y compris lors des poursuites.

Les sociétés de cartes de crédit se sont dotées chacune de règles que l’équipe de réponse se doit de respecter lors de la déclaration de brèches de données de titulaire de carte présumées ou confirmées. Ces exigences sont détaillées plus bas.

Avis de réponses aux incidents associés à des systèmes de carte

  1. Dans l’éventualité d’un soupçon de brèche de sécurité, veuillez aviser le responsable de la sécurité des renseignements, ou votre gestionnaire hiérarchique, dans les plus brefs délais.
  2. Le responsable de la sécurité mènera une enquête initiale de la brèche de sécurité soupçonnée.
  3. Sur confirmation de l’occurrence d’une brèche de sécurité, le responsable de la sécurité avisera la direction et commencera à en informer toutes les parties concernées qui pourraient être touchées par une telle compromission.

 Étapes pour carte VISA

Si la compromission de la sécurité des données met en cause des numéros de compte de carte de crédit, vous devez mettre la procédure suivante en œuvre :

  • Éteindre tous les systèmes et les procédés impliqués dans la brèche pour en limiter l’étendue et prévenir toute autre exposition.
  • Alerter les parties touchées et les autorités comme la banque du commerçant (votre banque), le contrôle des fraudes Visa et la police.
  • Fournir des détails concernant l’ensemble des numéros de carte compromis ou potentiellement compromis au Contrôle des fraudes Visa dans un délai de 24 heures.
  • Pour obtenir de plus amples renseignements, visitez le : http://usa.visa.com/business/accepting_visa/ops_risk_management/cisp_if_ compromised.html

Modèle de rapport d’incident avec carte Visa

Ce rapport doit être envoyé à VISA dans les 14 jours suivant le premier signalement de l’incident à VISA. Pour remplir le rapport d’incident, il faut respecter les normes et les procédures suivantes concernant le contenu. Le rapport d’incident doit être envoyé de façon sécurisée à VISA et à la banque du commerçant. Visa lui attribuera la classification VISA Secret*.

  1. Sommaire exécutif
    1. Inclut un aperçu de l’incident
    2. Indique le degré de RISQUE (Élevé, Moyen, Faible)
    3. Mentionne si la compromission est maîtrisée
  2. Contexte
  3. Première analyse
  4. Procédures d’enquête
    1. Inclut les outils d’investigation informatiques utilisés lors de l’enquête
  5. Conclusions
    1. Nombre de comptes vulnérables, magasins compromis
    2. Type de données de compte courant un risque
    3. Mentionne TOUS les systèmes analysés Comprend:
      1. Noms du système de noms de domaine (DNS)
      2. Adresses Internet Protocol (IP)
      3. Version du système d’exploitation (OS)
      4. Fonction du ou des systèmes
    4. Mentionner TOUS les systèmes compromis Comprend:
      1. Noms du DNS
      2. Adresses IP
      3. Version de l’OS
      4. Fonction du ou des systèmes
    5. Durée de la compromission
    6. Données exportées par l’intrus
    7. Établir le mode et la source de compromission
    8. Vérifier tous les emplacements potentiels de bases de données pour s’assurer qu’aucune donnée de CVV2, de piste 1 ou de piste 2 n’y est stockée, encodée ou non
    9. Le cas échéant, examiner la sécurité de terminal VisaNet pour déterminer les risques
  6. Action en cas d’entité compromise
  7. Recommandations
  8. Personnes-ressources de l’entité et évaluateur de la sécurité chargé de l’enquête

*Cette classification s’applique aux renseignements commerciaux les plus sensibles et est destinée
à être utilisée au sein de VISA. Une divulgation non autorisée pourrait nuire gravement à VISA, à
ses employés, aux banques membres, à ses partenaires commerciaux et à la marque.

Étapes pour carte MasterCard :

  1. Dans les 24 heures suivant un évènement compromettant un compte, informez l’équipe responsable des comptes compromis de MasterCard par téléphone au 1-636-722-4100.
  2. Envoyez-lui une déclaration écrite détaillée (décrivant également les circonstances contributives) par courriel sécurisé à l’adresse compromised_account_team@mastercard.com.
  3. Remettez une liste complète des numéros de comptes compromis au service de contrôle des fraudes envers les détaillants de MasterCard.
  4. Dans les 72 heures après avoir appris la compromission potentielle, mandatez une société de sécurité des données approuvée par MasterCard pour évaluer la vulnérabilité des données compromises et des systèmes associés (comme une évaluation judiciaire détaillée).
  5. Remettez chaque semaine à MasterCard des rapports d’étape écrits qui traitent de questions et de problèmes ouverts, jusqu’à ce que l’audit soit terminé à la satisfaction de MasterCard.
  6. Produisez rapidement une liste à jour des numéros de comptes compromis, potentiels ou connus, la documentation supplémentaire et tout autre renseignement pouvant être demandé par MasterCard.
  7. Envoyez les conclusions de l’ensemble des audits et des enquêtes dans les délais prévus au service de contrôle des fraudes envers les détaillants de MasterCard, et continuez à lutter contre l’exposition ou à appliquer les recommandations jusqu’à ce que la situation soit résolue à la satisfaction de MasterCard.

Après avoir reçu les détails des données des comptes et la liste des numéros des comptes compromis, MasterCard :

  1. identifiera les sociétés émettrices des comptes potentiellement compromis et les regroupera sous le même identifiant de membre parent ;
  2. distribuera les données des numéros des comptes aux sociétés émettrices respectives.

Les employés de l’entreprise doivent signaler tous les problèmes de sécurité au responsable de la sécurité. Le rôle du responsable de la sécurité consiste à communiquer efficacement l’ensemble des politiques et procédures liées à la sécurité aux employés de l’entreprise et aux entrepreneurs. En outre, ce responsable de la sécurité doit superviser les horaires des séances de formation en sécurité, contrôler et faire applique les politiques de sécurité décrites dans ce document et lors des séances de formation et enfin, superviser la mise en œuvre du plan de réponse aux incidents dans l’éventualité où des données sensibles seraient compromises.

Étapes pour Discover

  1. Dans les 24 heures suivant la compromission d’un compte, avertissez le service de prévention des fraudes de Discover au 800-347-3102.
  2. Rédigez une description détaillée des faits incluant les circonstances contributives.
  3. Préparez une liste de tous les numéros de comptes compromis connus.
  1. Demandez à Discover les autres dispositions à respecter dans cette situation.

Étapes pour American Express

  1. Dans les 24 heures suivant la compromission d’un compte, avertissez le service aux commerçant d’American Express aux États-Unis, au 800-528-5200.
  2. Rédigez une description détaillée des faits incluant les circonstances contributives.
  3. Préparez une liste de tous les numéros de comptes compromis connus.
  4. Demandez à American Express les autres dispositions à respecter dans cette situation.

11. Politique relative au transfert de renseignements sensibles

  • Toutes les entreprises de tierce partie prodiguant des services essentiels à Groupe Trân Fusion doivent fournir une entente convenue sur les niveaux de service.
  • Toutes les entreprises de tierce partie fournissant des services d’hébergement doivent se conformer à la politique sur la sécurité physique et le contrôle de l’accès de l’entreprise.
  • Toutes les entreprises de tierce partie qui ont accès aux renseignements de titulaire de carte doivent
    1. Respecter les exigences PCI DSS en matière de sécurité.
    2. Reconnaître leur responsabilité quant à la sécurité des données de titulaire de carte.
    3. Reconnaître que les données de titulaire de carte doivent uniquement être utilisées pour aider à conclure une transaction, appuyer un programme de fidélité, fournir un service de contrôle de la fraude ou pour des usages spécifiquement requis par la loi.
    4. Avoir des dispositions appropriées pour la continuité des affaires dans l’éventualité d’une interruption, d’un désastre ou d’une majeure.
    5. Fournir leur entière collaboration et accès pour mener un examen approfondi de la sécurité à la suite d’une intrusion à un représentant de l’industrie des cartes de paiement, ou à un tiers approuvé par l’industrie des cartes de paiement.

12. Gestion de l’accès utilisateur

  • L’accès à Groupe Trân Fusion est contrôlé au moyen d’un processus d’enregistrement de l’utilisateur formel commençant par un avis formel des RH ou d’un gestionnaire hiérarchique.
  • Chaque utilisateur est identifié par un ID utilisateur unique de manière à ce que les utilisateurs puissent être liés à leurs actes et tenus responsables de ceux-ci. L’utilisation d’un groupe d’ID est uniquement permis lorsque convenable pour les travaux menés.
  • Il y existe un niveau d’accès standard; d’autres services peuvent être accédés lorsque les RH ou des cadres hiérarchiques l’ont spécifiquement autorisé.
  • La fonction professionnelle de l’utilisateur permet de décider le niveau d’accès que l’employé a aux données de titulaire de carte.
  • Une demande de service peut être faite par écrit (par courriel ou copie papier) par le gestionnaire hiérarchique du nouvel employé ou par les RH. La demande est au format libre, mais elle doit indiquer :
    • le nom de la personne qui présente la demande ;
    • le titre de poste des nouveaux employés et leur groupe de travail ;
    • la date d’entrée en fonction ;
    • les services requis (les services par défaut sont : MS Outlook, MS Office et l’accès Internet).
  • Chaque utilisateur se verra remettre une copie de son formulaire de nouvel utilisateur pour fournir une attestation écrite de ses droits d’accès, signé par un représentant des TI après la procédure d’induction. L’utilisateur signe le formulaire, indiquant qu’il comprend les conditions d’accès.
  • L’accès à l’ensemble des systèmes de Groupe Trân Fusion est fourni par les TI et peut uniquement débuter une fois les procédures appropriées complétées.
  • Dès qu’une personne quitte son emploi au sein de Groupe Trân Fusion, ses ouvertures de session sont immédiatement révoquées.
  • Dans le cadre du processus de fin d’emploi de l’employé (des cadres hiérarchiques dans le cas d’entrepreneurs), les RH informeront les opérations des TI de toutes les personnes qui quittent ainsi que de leur date de départ.

13. Politique de contrôle de l’accès

  • Des systèmes de contrôle de l’accès protègent les intérêts de tous les utilisateurs des systèmes informatiques de Groupe Trân Fusion en ménageant un environnement de travail sécuritaire, sécurisé et facilement accessible.
  • Groupe Trân Fusion fournira à tous les employés et autres utilisateurs les renseignements dont ils ont besoin pour effectuer leurs tâches de la manière la plus efficace et rentable possible.
  • En règle générale, les identifiants génériques ou de groupe ne sont pas autorisés. Ils peuvent toutefois être accordés dans des cas exceptionnels s’il existe des contrôles suffisants pour l’accès.
  • L’attribution de droits (p. ex., administrateur local, administrateur de domaine, super-utilisateur, accès root) doit être limitée et contrôlée, et toute autorisation doit être accordée conjointement par le propriétaire de système et le service des TI. Pour éviter de faire courir des risques à la confidentialité, les équipes techniques s’abstiendront d’accorder des droits à des équipes complètes.
  • Les droits d’accès seront accordés selon les principes de moindre privilège et du besoin de connaître.
  • Même si les mécanismes techniques de protection de la sécurité font défaut ou sont inexistants, chaque utilisateur doit s’efforcer de maintenir le degré de sécurité correspondant à la classification des données.
  • Les utilisateurs qui décident de stocker des renseignements sur des supports numériques ou des mémoires ou encore de maintenir une base de données distincte doivent d’abord vérifier si la classification des données les y autorise.
  • Les utilisateurs sont tenus de signaler les cas de non-conformité à l’OPSI de Groupe Trân Fusion.
  • L’accès aux ressources et services des TI de Groupe Trân Fusion est accordé par le biais d’un compte Active Directory unique et d’un mot de passe complexe.
  • Aucun accès aux ressources et services des TI de Groupe Trân Fusion ne sera accordé avant l’authentification et l’autorisation d’un compte Windows Active Directory d’un utilisateur de Groupe Trân Fusion.
  • La délivrance du mot de passe, les dispositions concernant sa force, son changement et son contrôle seront gérés par des procédés formels. La longueur du mot de passe, sa complexité et ses délais d’expiration seront contrôlés par des objets des stratégies de groupe Active Directory de Windows.
  • L’accès aux renseignements confidentiels, à diffusion restreinte et protégés sera limité aux personnes autorisées dont les responsabilités le justifient, sur décision du propriétaire des données ou de son représentant désigné. Les demandes d’attribution, de changement ou de révocation de l’accès doivent se faire par écrit.
  • Les utilisateurs doivent prendre connaissance des politiques, normes et directives de Groupe Trân Fusion concernant l’utilisation acceptable des réseaux et des systèmes, et ils doivent s’y conformer.
  • L’accès des utilisateurs à distance sera soumis à l’autorisation des services des TI, qui l’accordera conformément à la politique d’accès à distance et à la politique de sécurité de l’information. Tout accès externe non contrôlé à des périphériques ou systèmes réseau doit strictement être interdit.
  • L’accès aux données est contrôlé de façons diverses et adapté à la classification des données décrite dans la politique de gestion de la sécurité de l’information.
  • Les méthodes de contrôle des données comprennent les droits d’ouverture de session, les autorisations de Windows et NTFS, les droits associés aux comptes des utilisateurs, les droits d’accès au serveur et au poste de travail, les autorisations de pare-feu, les droits d’authentification intranet/extranet d’IIS, les droits de base de données SQL, les réseaux isolés et les autres méthodes au besoin.
  • Un examen officiel de l’accès des utilisateurs sera effectué à intervalles réguliers par les propriétaires du système et des données, en collaboration avec les services des TI. L’examen sera consigné et les services des TI devront le signer pour autoriser le maintien des droits d’accès des utilisateurs.