Re: [FRnOG] [MISC] Question PCI-DSS -> traitement d'enregistrements audio avec conversation bancaire
Pas mieux : limitation au maximum du périmètre. Le périmètre comprends aussi bien le (s) serveur (s) contenant les données des cartes bancaires, mais également le stockage utilisé (chiffrement au repos) et/ou la base de données utilisée, ainsi que les postes de travail des administrateurs, et le contrôle d'accès à l'ensemble. Pour chaque élément du périmètre, prévoir un guide de sécurité, une procédure (et des délais) de mise à jour et les preuves et la traçabilité à fournir aux auditeurs. Bonne chance, je viens de sortir (avec succès) de cet audit et c'est éprouvant. On Thu, Oct 15, 2020, 12:46 Mathieu Dessus wrote: > Bonjour, > > Comme tu le dis, tu as intérêt à limiter au maximum le nombre de services > qui sont inclus dans ta bulle PCI pour éviter toutes les contraintes > associées à PCI-DSS. Mais si des numéros de carte bleue sont stockés, ou > transitent en clair sur un équipement, les contraintes PCI-DSS s'appliquent > aussi à ce dernier, donc les serveurs de transcription également. > > Cdlt > > Note: je ne suis pas forcément à jour des dernières évolution du standard, > mais je ne pense pas que ce point ait changé. Et la décision finale > reviendra à ton QSA. > > On Thu, 15 Oct 2020 at 11:55, Mickael Hubert wrote: > > > Bonjour à tous, > > j'ai une petite question dont je ne trouve pas encore la réponse. > > > > Nous allons bientôt traiter des appels bancaire sous forme > d'enregistrement > > audio. Le traitement sera une transcription complète de l'appel (STT), > dont > > les données bancaires (Ex: numéros de carte bleue dictés lors de > l'appel). > > Notre client nous demande d'être PCI-DSS pour pouvoir travailler avec, > mais > > quel service doit-être PCI-DSS ? > > J'imagine que le stockage à plat de ces audios lui doit-être PCI-DSS, > mais > > les serveurs de transcription doivent-ils l'être ? > > En fait, j'ai entendu dire qu'une donnée bancaire qui ne faisait que > > transiter pendant quelques millisecondes par un serveur, celui-ci n'avait > > pas besoin d'être PCI. > > A partir du moment ou ces traitements sont enfermés dans un vlan 100% > privé > > (genre DMZ). > > > > Auriez-vous des infos sur ce type de sujet s'il vous plaît ? > > L'idée serait de passer par un hébergeur PCI-DSS, mais bien entendu de > > mettre le moins possible chez lui, au vu de la différence de prix de ce > > type d'hébergement. > > > > Un grand merci d'avance pour votre aide ! > > ++ > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Orange vend une partie de son réseau fibre rural
Le 16/10/2020 à 16:28, Alain Iltchev a écrit : > C'est le modèle actuel de l'Australie depuis 2009 : > https://www.nbnco.com.au/corporate-information/about-nbn-co > > Je n'ai pas de feedback sur l'efficacité techique/efficience/service rendu > au client final du marché depuis cette date. J'en ai, pour avoir pas mal de proches et anciens collègues australiens... C'est la merde dès que l'on est sortis des grandes agglomérations. Avec des paradoxes délirants, certaines zone de l'outback avec zero humains sur plusieurs centaines de Km sont couvertes. Seb. > > Alain > > Le ven. 16 oct. 2020 à 12:25, Sébastien Lesimple < > sebastien.lesim...@iguanetel.fr> a écrit : > >> Le 16/10/2020 à 10:57, Jonathan Leroy - Inikup via frnog a écrit : >>> Le ven. 16 oct. 2020 à 10:20, Jérôme Marteaux a >> écrit : Qu'est-ce qui peut pousser les opérateurs a vendre leurs bijoux de >> famille ? >>> Mon avis de pas expert qui regarde ça de loin : les enchères sur les >>> fréquences 4G et 5G. >>> >>> La bonne solution aurait été que l'état autorise l'exploitation des >>> fréquences en échange d'une ponction de X % (ou X €) sur l'abonnement >>> mensuel payé par le client final pour toute la durée d'utilisation de >>> la fréquence par l'opérateur. Tout le monde y trouverait son compte : >>> - L'état a une rentrée d'argent régulière (vs le one-shot des enchères), >>> - Les opérateurs n'ont pas à sortir des milliards pour "acheter" des >>> fréquences, >>> - Accessoirement cela permettrait d'inciter à déployer ici ou là en >>> jouant sur le montant de la redevance, voire avec une redevance >>> négative. >>> >>> Seulement voilà, l'état n'a plus un rond dans les caisses (je >>> simplifie) et a donc préféré s'en mettre plein les poches >>> immédiatement, ce qui lui permet de faire rentrer un max de $$$ et >>> d'équilibrer un peu son budget à très court terme. >>> >>> Le problème est que la concurrence est rude, et un opérateur louperait >>> ses enchères serait mort jusqu'à la 6G (sauf à racheter un >>> concurrent). Donc les opérateurs n'ont pas d'autre choix que de >>> dépenser des milliards sur les fréquences, puis ensuite de vendre les >>> pylônes pour pouvoir déployer le réseau derrière. C'est absurde, ça >>> n'a aucun sens, mais c'est la situation aujourd'hui. >>> >>> J'ai bon ? >> Oui, ou imposer une perequation. >> Ou encore faire comme les britaniques, axer leur marché sur le service >> et unifier le réseau au lieu de faire de la concurrence sur les infra >> qui ne fait que brûler du cash sans être efficace. >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
