Les différents équipements (terminaux, concentrateur, passerelle, serveur d’autorisation, d’acquisition, etc) intervenant dans les paiements bancaires migrent progressivement vers IP. Cette transition vers un réseau plus ouvert nécessite indéniablement la mise en place d’une sécurisation. Mais issus de différents fabricants, la sécurisation des échanges de ces équipements nécessite, selon l’état de l’art, la mise en place d’une autorité de certification nommé STCA agissant en qualité de tiers de confiance, qui est sous la responsabilité de PAYCERT en France. Pour faciliter globalement l’enregistrement auprès de l’autorité de certification française, des autorités de certification délégataires sont mise en place par les acteurs du paiement, sous réserve de respecter les mesures de sécurités logiques et physiques exprimées par le référentiel STCA – SEC_REQ_AC délégataires établi et géré par PAYCERT. Fort de l’expérience et de la connaissance de ses membres, le CONCERT a souhaité établir une liste de bonnes pratiques d’hébergement physique d’IGC, recensées dans ce document, pour aider les terminalistes postulants au référentiel STCA. Pour ce faire, le Groupe de Travail CONCERT a en premier lieu réalisé une analyse de risque, reprise dans ce document, et s’est dans un second temps appuyé sur les normes ISO 27xxx et sur les Exigences_sites_de_perso version 1.0 du ministère du budget des comptes publics et de la fonction publique pour établir cette liste de bonnes pratiques.

Nous espérons que ce document permette au lecteur d’y trouver un soutien suffisant pour aborder l’audit sécuritaire nécessaire à l’adhésion STCA.

Bien entendu, puisqu’il s’agit de mesure sécuritaire, le lecteur doit avoir conscience que ce document recense des bonnes pratiques à un instant donné relatives à différents types d’attaques connues et aux outils disponibles pour réaliser ces attaques. Une quelconque évolution de ces attaques ou de ces outils nécessite la revue de ces bonnes pratiques.

Mise à jour le 26/05/2020