À propos du client
Une société multinationale de services bancaires et financiers, comptant plus de 50 000 employés dans le monde, était soumise à un large éventail d’exigences réglementaires, auxquelles s’ajoutaient les lois Sarbanes-Oxley (SOX) et Gramm-Leach-Bliley Act (GLBA), les normes de sécurité de l’industrie des cartes de paiement (PCI DSS) et d’autres réglementations internationales.
Bien que les exigences varient d’un cas à l’autre, elles sont toutes axées sur la protection de l’information. L’actualité récente concernant les violations de données et le vol d’informations sur les cartes de crédit a clairement montré que la sécurité devait être une priorité. Cette organisation a décidé qu’elle devait améliorer la protection des données de ses clients détenteurs de cartes de crédit.
Le défi commercial
Avec plus de 50 millions de clients titulaires de cartes de crédit dans le monde, l’entreprise était soumise aux normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS), qui exigent que les informations sensibles relatives aux cartes de crédit soient contrôlées et protégées.
Les informations relatives aux cartes de crédit comprennent le nom, l’adresse, le numéro de sécurité sociale et le numéro de compte principal (PAN) du titulaire du compte. La plupart des employés de la banque doivent être empêchés de consulter ces données sensibles. Cependant, certains employés avaient besoin d’accéder aux numéros de sécurité sociale, tandis que d’autres n’avaient besoin que d’accéder aux numéros de compte principal. D’autres, encore, ont besoin d’accéder aux deux. .
L’entreprise avait besoin d’une solution permettant à chaque groupe d’employés d’accéder aux données appropriées à partir de leurs postes de travail en utilisant leur réseau local, un VPN ou des terminaux clients légers. Les normes PCI DSS autorisent le stockage du PAN, mais uniquement s’il est chiffré. L’entreprise souhaitait également un meilleur contrôle des dispositifs de stockage amovibles, tels que les clés USB, afin d’inclure le chiffrement automatique et d’imposer l’utilisation exclusive de clés préalablement autorisées.
Facteurs clés de succès
- Démontrer et documenter la conformité réglementaire
- Identification, classification et chiffrement automatiques des données
- Accès granulaire aux données en fonction des rôles au sein de l’organisatio
- L’administrateur peut sauvegarder les fichiers de données sensibles, mais pas les déchiffrer.
La solution
Grâce à la solution Digital Guardian® de Fortra™, l’établissement bancaire a pu identifier les processus et les applications clés. Ils ont choisi d’utiliser une classification automatisée des données basée à la fois sur le contexte et sur le contenu.
La connaissance des données contextuelles permet de classer les données en comprenant les informations relatives au fichier de données ou à l’e-mail. Digital Guardian permet une connaissance approfondie du contexte et tient compte de variables telles que l’application utilisée pour créer les données, la personne qui a créé/édité les données, le lieu de stockage/le référentiel ou encore l’expéditeur, le destinataire ou l’objet de l’e-mail. La technologie d’inspection du contenu de Digital Guardian scrute directement les données pour identifier les informations confidentielles dans plus de 300 formats de données et 90 langues. Dans ce cas, l’objectif était d’identifier les numéros de sécurité sociale, le PAN et d’autres informations personnelles.
Une fois la classification des données réglée, les agentsDigital Guardian déployés sur les postes de travail peuvent surveiller toutes les actions des utilisateurs et appliquer des contrôles. Digital Guardian a permis à la banque de chiffrer automatiquement les fichiers sensibles lorsqu’ils sont déplacés vers des serveurs de fichiers du réseau ou copiés sur des disques amovibles. Les administrateurs système pouvaient toujours effectuer des sauvegardes et d’autres opérations de maintenance, mais n’étaient pas en mesure de déchiffrer les données sensibles.
Les résultats
Digital Guardian a fourni une visibilité complète sur l’emplacement et l’utilisation de toutes les informations soumises à la norme PCI DSS. Les agents ont classifié les données, en ligne et hors ligne, et ont veillé à ce que les politiques soient appliquées au moyen des contrôles appropriés.
En reconnaissant et en appliquant des politiques à différents types de dispositifs, Digital Guardian a permis l’utilisation d’appareils externes à l’entreprise en chiffrant automatiquement les données sensibles qui y sont stockées. Ces fichiers ne pouvaient être déchiffrés que sur les postes de travail utilisant Digital Guardian. L’enregistrement complet des informations par Digital Guardian a permis d’obtenir une visibilité légale complète pour l’établissement des rapports