L’identifiant de corrélation utilisateur peut-il apparaître dans l’URL, les paramétrages utilisateurs ou les messages d’erreurs dans le cadre de PSC ?

Vous ne devez pas faire apparaitre l’identifiant de corrélation dans l’URL, les paramètres d'url ou dans les messages d'erreur, sauf en cas de fonctionnement par Code Flow auquel cas son usage doit être limité (1 fois).

Peut-on mettre une ligne en N/A pour résultat du Test d’Intrusion Proxy ?

Un résultat de TI Proxy comportant une ligne en N/A est une prise de risque importante de la part de la solution car si un audit démontre qu’en production le N/A est applicable, la solution perdra automatiquement son habilitation au niveau éditeur et le TI sera considéré comme une fausse déclaration.

Quelle est la différence entre un « mésusage » et une « alerte » ?

Un mésusage peut (et doit souvent) déclencher une alerte, mais toutes les alertes ne sont pas des mésusages (exemple : une alerte de saturation de base de données est technique et non liée à un mauvais usage).

Comment référencer les documents des preuves PSC?

Il ne faut jamais citer un document de manière globale. Chaque référence doit être précise. Vous devez systématiquement indiquer le titre du document, le numéro de version, ainsi que le chapitre, la section ou le numéro de page exact traitant de l'exigence. Un référencement imprécis (ex: citer une PSSI de 50 pages sans préciser le paragraphe) entraîne systématiquement un refus de la preuve.

Comment traiter l’exigence EDC PSC 129 sur le Plan d'Assurance Sécurité (PAS) ?

Si vous possédez un PAS, faites une référence précise aux chapitres concernés pour chaque point décrit. Si le PAS répond intégralement à l'exigence, la simple référence dans le template suffit.

Quelle attention porter aux versions et aux références des documents ?

Soyez extrêmement vigilants sur les versions des documents cités. Lorsque vous référencez un document, indiquez systématiquement les chapitres précis. Ne citez jamais un document de manière globale.

Précision sur l’exigence EDC PSC 109 (Contrôle 1) : Vérification du certificat serveur

Le logiciel client doit impérativement vérifier la validité du certificat SSL du Proxy (expiration, révocation, autorité de certification).

Faut-il référencer l’ensemble des documents dans le cadre des preuves EDC PSC ?

Oui. Le référencement doit être exhaustif. Vous devez impérativement préciser le nom du document, sa version, ainsi que les chapitres et sections.

Les traces font-elles parties des preuves dans le cadre de l'EDC PSC?

Non. Les traces brutes ne sont pas considérées comme des preuves suffisantes en soi ; elles doivent illustrer une démonstration documentée.

Peut-on fournir du code comme preuve EDC PSC ?

Non. Nous ne relisons jamais le code comme preuve. Un extrait de code n’est pas considéré comme une preuve de conformité. La preuve doit être apportée via : • le document de conformité, • les schémas, • la configuration, • les traces, • les flux, • les résultats de tests.