ÉTUDE DE CAS
Classification contextuelle, protection des données et conformité PCI DSS
À propos du client
Une société multinationale de services bancaires et financiers, comptant plus de 50 000 employés dans le monde, était soumise à un large éventail d’exigences réglementaires, auxquelles s’ajoutaient les lois Sarbanes-Oxley (SOX) et Gramm-Leach-Bliley Act (GLBA), les normes de sécurité de l’industrie des cartes de paiement (PCI DSS) et d’autres réglementations internationales.
Bien que les exigences varient d’un cas à l’autre, elles sont toutes axées sur la protection de l’information. L’actualité récente concernant les violations de données et le vol d’informations sur les cartes de crédit a clairement montré que la sécurité devait être une priorité. Cette organisation a décidé qu’elle devait améliorer la protection des données de ses clients détenteurs de cartes de crédit.
Le défi commercial
Avec plus de 50 millions de clients titulaires de cartes de crédit dans le monde, l’entreprise était soumise aux normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS), qui exigent que les informations sensibles relatives aux cartes de crédit soient contrôlées et protégées.
Les informations relatives aux cartes de crédit comprennent le nom, l’adresse, le numéro de sécurité sociale et le numéro de compte principal (PAN) du titulaire du compte. La plupart des employés de la banque doivent être empêchés de consulter ces données sensibles. Cependant, certains employés avaient besoin d’accéder aux numéros de sécurité sociale, tandis que d’autres n’avaient besoin que d’accéder aux numéros de compte principal. D’autres, encore, ont besoin d’accéder aux deux. .
SECTEUR
- Services financiers
ENVIRONMENT
- 12,000 postes de travail Windows
- Secteur réglementé
- Base mondiale de clients et d’employés
DÉFI
- Données relatives à plus de 50 millions de titulaires de cartes de crédit
- Conformité PCI DSS, SOX, GLBA
- Périphériques de stockage amovibles requis
- Masquer certaines données tout en laissant d’autres données visibles
- Classification automatique des données via l’inspection de contenu
RÉSULTATS
- Visibilité sur l’emplacement et l’utilisation de toutes les informations réglementées par la norme PCI DSS
- Classification des données en fonction du contexte et du contenu
- Conformité aux exigences PCI DSS en matière de chiffrement PAN en fonction de l’utilisation des données
- Prise en charge des périphériques amovibles avec chiffrement automatique sur les périphériques ne faisant pas partie de l’entreprise
- Classifier rapidement et facilement les données existantes
L’entreprise avait besoin d’une solution permettant à chaque groupe d’employés d’accéder aux données appropriées à partir de leurs postes de travail en utilisant leur réseau local, un VPN ou des terminaux clients légers. Les normes PCI DSS autorisent le stockage du PAN, mais uniquement s’il est chiffré. L’entreprise souhaitait également un meilleur contrôle des dispositifs de stockage amovibles, tels que les clés USB, afin d’inclure le chiffrement automatique et d’imposer l’utilisation exclusive de clés préalablement autorisées.
Facteurs clés de succès
- Démontrer et documenter la conformité réglementaire
- Identification, classification et chiffrement automatiques des données
- Accès granulaire aux données en fonction des rôles au sein de l’organisatio
- L’administrateur peut sauvegarder les fichiers de données sensibles, mais pas les déchiffrer.
La solution
Grâce à la solution Digital Guardian® de Fortra™, l’établissement bancaire a pu identifier les processus et les applications clés. Ils ont choisi d’utiliser une classification automatisée des données basée à la fois sur le contexte et sur le contenu.
La connaissance des données contextuelles permet de classer les données en comprenant les informations relatives au fichier de données ou à l’e-mail. Digital Guardian permet une connaissance approfondie du contexte et tient compte de variables telles que l’application utilisée pour créer les données, la personne qui a créé/édité les données, le lieu de stockage/le référentiel ou encore l’expéditeur, le destinataire ou l’objet de l’e-mail. La technologie d’inspection du contenu de Digital Guardian scrute directement les données pour identifier les informations confidentielles dans plus de 300 formats de données et 90 langues. Dans ce cas, l’objectif était d’identifier les numéros de sécurité sociale, le PAN et d’autres informations personnelles.
Types de données que nous protégeons
Banque
- Données à caractère personnel (PII)
- Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)
Assurance
- Informations de santé protégées (PHI)
- Données à caractère personnel (PII)
- Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)
Marchés financiers
- Données à caractère personnel (PII)
- Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)
Une fois la classification des données réglée, les agentsDigital Guardian déployés sur les postes de travail peuvent surveiller toutes les actions des utilisateurs et appliquer des contrôles. Digital Guardian a permis à la banque de chiffrer automatiquement les fichiers sensibles lorsqu’ils sont déplacés vers des serveurs de fichiers du réseau ou copiés sur des disques amovibles. Les administrateurs système pouvaient toujours effectuer des sauvegardes et d’autres opérations de maintenance, mais n’étaient pas en mesure de déchiffrer les données sensibles.
Les résultats
Digital Guardian a fourni une visibilité complète sur l’emplacement et l’utilisation de toutes les informations soumises à la norme PCI DSS. Les agents ont classifié les données, en ligne et hors ligne, et ont veillé à ce que les politiques soient appliquées au moyen des contrôles appropriés.
En reconnaissant et en appliquant des politiques à différents types de dispositifs, Digital Guardian a permis l’utilisation d’appareils externes à l’entreprise en chiffrant automatiquement les données sensibles qui y sont stockées. Ces fichiers ne pouvaient être déchiffrés que sur les postes de travail utilisant Digital Guardian. L’enregistrement complet des informations par Digital Guardian a permis d’obtenir une visibilité légale complète pour l’établissement des rapports
À propos de Digital Guardian
VASTE CLIENTÈLE
- Plus de 600 clients dans le monde
- Industries desservies : Services aux entreprises, éducation, énergie, services financiers, gouvernement, santé, industrie manufacturière, commerce de détail, technologie
- Utilisé par 7 des 10 principaux détenteurs de brevets
DÉCOUVERTE ET CLASSIFICATION
- Stockage de données localement, au niveau du poste de travail, du réseau ou du cloud
- Classification du contenu, du contexte et des utilisateurs
- Classification automatisée ou manuelle
- Plus de 300 types de données, plus de 90 langues
ÉDUQUER ET APPLIQUER
- Journaux de logs, prompt, demande de justification
- Auto-chiffrement, quarantaine, déplacement, blocage
ANALYSES EXPLOITABLES
- Visibilité des événements au niveau du système, de l’utilisateur et des données
- Filtres pré-établis pour réduire les informations superflues
- Gestion des incidents par glisser-déposer
- Résolution des problèmes par clic droit en temps réel
SOUTIEN AU SYSTÈME D’EXPLOITATION
- Visibilité, analyse et contrôle complets sur plusieurs systèmes d’exploitation
- Mac
- Windows
- Linux
DÉPLOIEMENT
- On-Prem'
- SaaS
- Managed Service