ÉTUDE DE CAS

Classification contextuelle, protection des données et conformité PCI DSS

À propos du client

Une société multinationale de services bancaires et financiers, comptant plus de 50 000 employés dans le monde, était soumise à un large éventail d’exigences réglementaires, auxquelles s’ajoutaient les lois Sarbanes-Oxley (SOX) et Gramm-Leach-Bliley Act (GLBA), les normes de sécurité de l’industrie des cartes de paiement (PCI DSS) et d’autres réglementations internationales. 

Bien que les exigences varient d’un cas à l’autre, elles sont toutes axées sur la protection de l’information. L’actualité récente concernant les violations de données et le vol d’informations sur les cartes de crédit a clairement montré que la sécurité devait être une priorité. Cette organisation a décidé qu’elle devait améliorer la protection des données de ses clients détenteurs de cartes de crédit.

Le défi commercial

Avec plus de 50 millions de clients titulaires de cartes de crédit dans le monde, l’entreprise était soumise aux normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS), qui exigent que les informations sensibles relatives aux cartes de crédit soient contrôlées et protégées.

Les informations relatives aux cartes de crédit comprennent le nom, l’adresse, le numéro de sécurité sociale et le numéro de compte principal (PAN) du titulaire du compte. La plupart des employés de la banque doivent être empêchés de consulter ces données sensibles. Cependant, certains employés avaient besoin d’accéder aux numéros de sécurité sociale, tandis que d’autres n’avaient besoin que d’accéder aux numéros de compte principal. D’autres, encore, ont besoin d’accéder aux deux. . 

SECTEUR

  • Services financiers

ENVIRONMENT

  • 12,000 postes de travail Windows 
  • Secteur réglementé
  • Base mondiale de clients et d’employés

DÉFI

  • Données relatives à plus de 50 millions de titulaires de cartes de crédit 
  • Conformité PCI DSS, SOX, GLBA 
  • Périphériques de stockage amovibles requis
  • Masquer certaines données tout en laissant d’autres données visibles
  • Classification automatique des données via l’inspection de contenu

RÉSULTATS

  • Visibilité sur l’emplacement et l’utilisation de toutes les informations réglementées par la norme PCI DSS 
  • Classification des données en fonction du contexte et du contenu 
  • Conformité aux exigences PCI DSS en matière de chiffrement PAN en fonction de l’utilisation des données
  • Prise en charge des périphériques amovibles avec chiffrement automatique sur les périphériques ne faisant pas partie de l’entreprise
  • Classifier rapidement et facilement les données existantes 
VERSION PDF

L’entreprise avait besoin d’une solution permettant à chaque groupe d’employés d’accéder aux données appropriées à partir de leurs postes de travail en utilisant leur réseau local, un VPN ou des terminaux clients légers. Les normes PCI DSS autorisent le stockage du PAN, mais uniquement s’il est chiffré. L’entreprise souhaitait également un meilleur contrôle des dispositifs de stockage amovibles, tels que les clés USB, afin d’inclure le chiffrement automatique et d’imposer l’utilisation exclusive de clés préalablement autorisées.

 

Facteurs clés de succès

  • Démontrer et documenter la conformité réglementaire
  • Identification, classification et chiffrement automatiques des données
  • Accès granulaire aux données en fonction des rôles au sein de l’organisatio
  • L’administrateur peut sauvegarder les fichiers de données sensibles, mais pas les déchiffrer. 

La solution 

Grâce à la solution Digital Guardian® de Fortra™, l’établissement bancaire a pu identifier les processus et les applications clés. Ils ont choisi d’utiliser une classification automatisée des données basée à la fois sur le contexte et sur le contenu.

La connaissance des données contextuelles permet de classer les données en comprenant les informations relatives au fichier de données ou à l’e-mail. Digital Guardian permet une connaissance approfondie du contexte et tient compte de variables telles que l’application utilisée pour créer les données, la personne qui a créé/édité les données, le lieu de stockage/le référentiel ou encore l’expéditeur, le destinataire ou l’objet de l’e-mail. La technologie d’inspection du contenu de Digital Guardian scrute directement les données pour identifier les informations confidentielles dans plus de 300 formats de données et 90 langues. Dans ce cas, l’objectif était d’identifier les numéros de sécurité sociale, le PAN et d’autres informations personnelles. 

Types de données que nous protégeons  
 

Banque

  • Données à caractère personnel (PII)
  • Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)

Assurance

  • Informations de santé protégées (PHI)
  • Données à caractère personnel (PII)
  • Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)

Marchés financiers

  • Données à caractère personnel (PII)
  • Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)
     
EN SAVOIR PLUS

Une fois la classification des données réglée, les agentsDigital Guardian déployés sur les postes de travail peuvent surveiller toutes les actions des utilisateurs et appliquer des contrôles. Digital Guardian a permis à la banque de chiffrer automatiquement les fichiers sensibles lorsqu’ils sont déplacés vers des serveurs de fichiers du réseau ou copiés sur des disques amovibles. Les administrateurs système pouvaient toujours effectuer des sauvegardes et d’autres opérations de maintenance, mais n’étaient pas en mesure de déchiffrer les données sensibles.

Les résultats

Digital Guardian a fourni une visibilité complète sur l’emplacement et l’utilisation de toutes les informations soumises à la norme PCI DSS. Les agents ont classifié les données, en ligne et hors ligne, et ont veillé à ce que les politiques soient appliquées au moyen des contrôles appropriés. 

En reconnaissant et en appliquant des politiques à différents types de dispositifs, Digital Guardian a permis l’utilisation d’appareils externes à l’entreprise en chiffrant automatiquement les données sensibles qui y sont stockées. Ces fichiers ne pouvaient être déchiffrés que sur les postes de travail utilisant Digital Guardian. L’enregistrement complet des informations par Digital Guardian a permis d’obtenir une visibilité légale complète pour l’établissement des rapports
 

À propos de Digital Guardian 

VASTE CLIENTÈLE  

  • Plus de 600 clients dans le monde 
  • Industries desservies : Services aux entreprises, éducation, énergie, services financiers, gouvernement, santé, industrie manufacturière, commerce de détail, technologie
  • Utilisé par 7 des 10 principaux détenteurs de brevets 
     

DÉCOUVERTE ET CLASSIFICATION

  • Stockage de données localement, au niveau du poste de travail, du réseau ou du cloud 
  • Classification du contenu, du contexte et des utilisateurs 
  • Classification automatisée ou manuelle 
  • Plus de 300 types de données, plus de 90 langues 

ÉDUQUER ET APPLIQUER 

  • Journaux de logs, prompt, demande de justification 
  • Auto-chiffrement, quarantaine, déplacement, blocage 

 

ANALYSES EXPLOITABLES 

  • Visibilité des événements au niveau du système, de l’utilisateur et des données
  • Filtres pré-établis pour réduire les informations superflues 
  • Gestion des incidents par glisser-déposer 
  • Résolution des problèmes par clic droit en temps réel 
     

SOUTIEN AU SYSTÈME D’EXPLOITATION 

  • Visibilité, analyse et contrôle complets sur plusieurs systèmes d’exploitation 
  • Mac 
  • Windows 
  • Linux 

DÉPLOIEMEN

  • On-Prem'
  • SaaS 
  • Managed Service

Découvrez comment Digital Guardian peut protéger les données sensibles et les actifs critiques de votre organisation.

PLANIFIER UNE DÉMO       DEMANDER UN DEVIS