SlideShare ist ein Scribd-Unternehmen logo

PCI DSS - SSC ... C'est Quoi ?

Djallal BOUABDALLAH
Djallal BOUABDALLAH

En cette ère technologique, les données sur les comptes de vos clients sont de plus en plus la cible des fraudeurs. Lorsque des millions de numéros de cartes de crédit ont été volés ou compromis, la situation est hautement médiatisée. Toutefois, les médias font rarement grand cas de la grande majorité des infractions, qui touchent les petites et moyennes entreprises. L’un des meilleurs moyens de vous protéger contre ces crimes consiste à vous soumettre et à vous conformer à la Norme de sécurité des données de l’industrie des cartes de paiement (norme PCI DSS).

Technologie
1 von 36
PCI, DSS & SSC …. C’EST QUOI ? CONTEXTE ET ENJEUX DU PCI DSS DJALLAL BOUABDALLAH – EXPERT & CONSULTANT IT 22-11-2016
AGENDA  Introduction  Contexte  Structure du référentiel  Lien avec les normes ISO 270xx  Conclusion
INTRODUCTION
LES TENDANCES DANS LE MONDE Cartes sans contact / NFC Mobile Acceptance Portefeuilles numériques E-commerceet M-commerce Chip on the Cloud / HCE Croissance des paiements par carte (proximité et à distance) domestiques et internationaux apportée par cesévolutions Les innovations s’accélèrent Possibilités offertes par les nouvelles technologies autour de la carte de paiement, sur mobiles et internet Croissance de la fraude En 2015, la fraude brute des porteurs CB a représenté Plus de 592 millions d’euros en France et est en augmentation annuelle de 3%.
RAPPEL DES RISQUES EN CAS DE COMPROMISSION nd Perte de confiance des clients Coûts des contre- mesures Pénalités des réseaux Coûts dela fraude CONSÉQUENCES POURLE CLIENT ET LES BANQUES: • Une dé-crédibilisation de l’image de l’entreprise qui a laissé fuir les données • Selon le type de compromission, la perte d’image peut être estimée entre 17 à 31% de la valeur de l’image de marque • Le délai de restauration de la réputation d’une entreprise en moyenne 11,8 mois • De lourdes conséquences financières • Coût moyen violation de données : 2,9M€ • Coût moyen compromission par enregistrement compromis: 127€ • Coût de procès nonvalorisable • La perte de confiance client peut être très préjudiciableà l’entreprise • Des dommages collatéraux : conséquences commerciales • Dé-crédibilisation de ses partenaires directs : banques, prestataires et de l'ensemble du système carte • Attrition ou désabonnement des clients Dé-crédibilisation de l’image sécuritaire
CONSÉQUENCES DES PIRATAGES DE DONNÉES PORTEUR • Revente de données cartes en quantité sur des sites de « Carding » • Valeur (ordre de grandeur) sur le marché • Des données compromises • Numéro de compte (PAN) et CVV2 : 1€ • Données pistes carte classique : 8 à 73€ • « White plastic » avec piste magnétique : 100€ • Données pistes et PIN : 1 000€ • Du matériel informatique nécessaire • Logiciel malveillant (malware) : 1 000€ à 2 000€ • Equipement de skimming (clonage) : 1 000€ à 2 000€ • Types de fraude possibles avec des données carte volées • Vol de PAN : achat en VAD mal sécurisée (sans présentation de cryptogramme visuelCxx2) • Vol de PAN + DFV + Cxx2 (CVV2/CVC2/CBN2) : achat en VAD classique • Vol de piste ISO2 complète : contrefaçon utilisable en paiement surun terminal non EMV • Vol de piste ISO2 complète + PIN : contrefaçon utilisable en paiement et en retrait sur un terminal ou GAB
CONTEXTE
LE RÉFÉRENTIEL PCI-DSS  Acronyme anglais de « Payment Card Industry Data Security Standard », ce qui signifie « Norme de sécurité des données pour l’industrie des cartes de paiement »  Développé par PCI Security Standards Council (PCI SSC), qui a été fondé par American Express, Discover Financial Services, JCB International, MasterCard Worldwide etVisa, Inc. Décembre 2004 V1.0 Octobre 2008 V1.2 Juillet 2009 V1.2.1 Octobre 2010 V2.0 Novembre 2013 V3.0 Avril 2015 V3.1
APPLICATION DE LA NORME PCI-DSS  Norme spécifique au domaine bancaire  Concerne la protection des données sensibles liées aux cartes bancaires (PAN, date de validité, cryptogramme visuel, piste magnétique…)  But : Pallier aux faiblesses sécuritaires du e-commerce en protégeant la  confidentialité de données publiques (car visibles sur le recto ou le verso des cartes bancaires !)  Impose des mécanismes de sécurité  Firewall  Chiffrement des réseaux  Journalisation  Intégrité des serveurs
FORCES & FAIBLESSES  Forces de l’approche  Acceptée dans le domaine bancaire : conformité imposée parVISA et  Mastercard sous la menace de pénalités financières  Couvre l’absence d’exigences normatives  Autorise le non respect (partiel ou total) d’une exigence, si celle-ci est remplacée par des mesures compensatoires  Faiblesses de l’approche  Les mesures compensatoires sont présentées par l’auditeur (QSA) à VISA et Mastercard, qui peuvent les refuser  Les QSA sont responsables financièrement avec l’audité qu’ils ont aidé à certifier PCI-DSS, en cas de fraude sur le périmètre certifié
CONFORMITÉ À PCI-DSS: QUI EST CONCERNÉ ? Niveau Type d’activité Action requise pour la conformité 1 Tout commerçant traitant plus de 6 millions transactionsVisa ou MasterCard par an Tout commerçant ayant subit une compromission Audit de sécurité sur site Scan de vulnérabilité trimestriel (si commerce en ligne) 2 Tout commerçant traitant de 1 à 6 millions de transactionsVisa ou MasterCard par an Questionnaire d’auto-évaluation annuel Scan de vulnérabilité trimestriel (si commerce en ligne) 3 Tout commerçant traitant de 20,000 à 1 million de transactionsVisa ou MasterCard par an Questionnaire d’auto-évaluation annuel Scan de vulnérabilité trimestriel (si commerce en ligne) 4 Tout commerçant traitant moins de 20,000 transaction de commerce en ligneVisa ou MasterCard par an Tous les autres commerçants traitant jusqu’à 1 million de transactionsVisa ou MasterCard par an Questionnaire d’auto-évaluation annuel Scan de vulnérabilité trimestriel recommandé (si commerce en ligne) (cela dépend si les données sont capturées, stockées ou transmises par l’infrastructure du commerçant ou par un fournisseur de services)
QU’EST-CE QU’UNE « DONNÉES DE COMPTE » ? • Les données du titulaire et les données d’identification sensibles sont définies commesuit Nom du titulaire de la carte Date d’expiration Bande magnétique (données piste 1 et 2 parmi lesquelles le bloc PIN - Personal Identification Number – Version chiffrée du code PIN et le code service) 123 Numéro de compte primaire (PAN) L’équivalent des données bande magnétique sont également contenues dans la puce Données du titulaire de cartes: Données d'authentification sensibles:  Le numéro de compte primaire(PAN)  Le nom du titulairede la carte  La dated’expiration  Le code service  Les données de bande magnétiquecomplète ou leur équivalentsur unepuce  Le CAV2/CVC2/CVV2/CID (achat enVAD)  Les Codes/blocs PIN Cryptogramme visuel (CAV2/CVC2/CVV2/CID) Logo Banque
CONTEXTE: CONFORMITÉ À PCI-DSS Le numéro de compte primaire est le facteur déterminant de l'applicabilité des conditions PCI-DSS  Les conditions PCI-DSS sont applicables si un PAN est stocké, traité ou transmis  Si le PAN n'est pas stocké, traité ou transmis, les conditions PCI-DSS ne s'appliquent pas
SYNTHÈSE DES EXIGENCES EN MATIÈRE DE STOCKAGE DE DONNÉES Élément de données Stockage autorisé Rendre illisibles les données de compte stockées selon la condition 3.4 Donnéesdecompte Données du titulaire de la carte Numéro de compte primaire (PAN) Oui Oui Nom du titulaire de la carte Oui Non Code service Oui Non Date d’expiration Oui Non Données d’authentification sensibles Données complètes de la piste magnétique Non Stockage interdit selon condition 3.2 CAV2/CVC2/CVV2/CID Non Stockage interdit selon condition 3.2 Code/bloc PIN Non Stockage interdit selon condition 3.2
STRUCTURE DU RÉFÉRENTIEL PCI-DSS
THÈMES DES CONDITIONS DE SÉCURITÉ 6 thèmes (+ 1 spécifique)  Création et gestion d’un réseau sécurisé  Protection des données des titulaires de cartes  Gestion d’un programme de gestion des vulnérabilités  Mise en œuvre de mesures de contrôle d’accès strictes  Surveillance et test réguliers des réseaux  Gestion d’une politique de sécurité des informations  Autres conditions s’appliquant aux fournisseurs d’hébergement partagé 12 conditions de sécurité (+ 1 spécifique) 204 exigences élémentaires
CONDITIONS DE SÉCURITÉ  Création et gestion d’un réseau sécurisé  Condition 1 : Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes  Condition 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur  Protection des données des titulaires de cartes  Condition 3 : Protéger les données de titulaires de cartes stockées  Condition 4 : Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts
CONDITIONS DE SÉCURITÉ  Gestion d’un programme de gestion des vulnérabilités  Condition 5 : Utiliser des logiciels antivirus et les mettre à jour régulièrement  Condition 6 : Développer et gérer des systèmes et des applications sécurisés  Mise en œuvre de mesures de contrôle d’accès strictes  Condition 7 : Restreindre l'accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître  Condition 8 :Affecter un ID unique à chaque utilisateur d’ordinateur  Condition 9 : Restreindre l’accès physique aux données des titulaires de cartes
CONDITIONS DE SÉCURITÉ  Surveillance et test réguliers des réseaux  Condition 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes  Condition 11 :Tester régulièrement les processus et les systèmes de sécurité  Gestion d’une politique de sécurité des informations  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel
CONDITIONS DE SÉCURITÉ  Autres conditions s’appliquant aux fournisseurs d’hébergement partagé  Condition A.1 : Les prestataires de services d’hébergement partagé doivent protéger l’environnement des données de titulaires de cartes
LIEN AVEC LES NORMES ISO 270XX
MATRICE DE SIMILITUDE
POLITIQUE DE SÉCURITÉ  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  Processus annuel qui identifie les menaces et les vulnérabilités, et débouche sur une évaluation formelle des risques  Examen annuel de la Politique de sécurité des informations, avec une mise à jour chaque fois que l’environnement change
ORGANISATION DE LA SÉCURITÉ DE L’INFORMATION  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  S’assurer que la politique et les procédures de sécurité définissent clairement les responsabilités de tout le personnel en la matière
SÉCURITÉ LIÉE AUX RESSOURCES HUMAINES  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  Effectuer une sélection préalable à l'embauche du personnel pour minimiser les risques d'attaques par des sources internes  Mettre en œuvre un programme annuel de sensibilisation à la sécurité pour sensibiliser les employés à l'importance de la sécurité des données de titulaires de cartes
SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE  Condition 9 : Restreindre l’accès physique aux données des titulaires de cartes  Installer des caméras vidéo et/ou d’autres mécanismes de contrôle d’accès pour surveiller l’accès physique des individus aux zones sensibles  Examiner les données enregistrées et les mettre en corrélation avec d'autres informations. Les conserver pendant trois mois au minimum, sauf stipulation contraire de la loi  Restreindre l’accès physique aux prises réseau accessibles au public  Restreindre l'accès physique aux points d'accès, passerelles, dispositifs portables, matériel réseau/communications et lignes de télécommunication sans fil
SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE  Utiliser un registre des visites pour tenir un contrôle physique de la circulation des visiteurs, conserver ce registre pendant trois mois au minimum, sauf stipulation contraire de la loi  Ranger les sauvegardes sur support en lieu sûr, de préférence hors de l’installation, par exemple sur un autre site ou un site de secours, ou encore un site de stockage commercial, inspecter la sécurité du site au moins une fois par an  Assurer un contrôle strict de la distribution interne ou externe de tout type de support  S’assurer que les responsables approuvent tous les supports déplacés d’une zone sécurisée (en particulier s’ils sont distribués à des individus)
GESTION DE L’EXPLOITATION ET DES TÉLÉCOMMUNICATIONS  Condition 1 : Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes  Placer les composants du système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone de réseau interne, isolée de la DMZ et des autres réseaux non approuvés  Sécuriser et synchroniser les fichiers de configuration des routeurs  Installer un logiciel pare-feu personnel (non modifiable par les utilisateurs) sur tout ordinateur portable et/ou ordinateur appartenant à un employé équipé d’une connexion directe à Internet, qui est utilisé pour accéder au réseau de l’entreprise  Processus formel d'approbation et de test de toutes les connexions réseau et des modifications apportées aux configurations des pare-feu et des routeurs  Nécessité d’examiner les règles des pare-feu et des routeurs au moins tous les six mois
GESTION DE L’EXPLOITATION ET DES TÉLÉCOMMUNICATIONS  Condition 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur  N'appliquer qu'une fonction principale par serveur (physique ou virtuel) afin d'éviter la coexistence, sur le même serveur, de fonctions exigeant des niveaux de sécurité différents  N'activer que les services, protocoles, démons, etc., nécessaires et sécurisés pour le fonctionnement du système  Changer systématiquement les paramètres par défaut définis par le fournisseur avant d’installer un système sur le réseau  Modifier les clés de chiffrement par défaut des équipements réseau sans fil à l'installation et à chaque fois qu'un employé qui les connaît quitte l'entreprise ou change de poste  Condition 4 : Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts  Utiliser des protocoles de sécurité et de cryptographie robustes (par exemple, SSL/TLS, IPSEC, SSH, etc.) afin de protéger les données sensibles des titulaires de cartes durant la transmission sur des réseaux publics ouverts
GESTION DE L’EXPLOITATION ET DES TÉLÉCOMMUNICATIONS  Condition 5 : Utiliser des logiciels antivirus et les mettre à jour régulièrement  Déployer des logiciels antivirus sur tous les systèmes régulièrement affectés par des logiciels malveillants (en particulier PC et serveurs)  S’assurer que tous les mécanismes antivirus sont à jour, en cours d'exécution et génèrent des journaux d’audit  Condition 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes  Passer en revue les journaux d’audit relatifs à tous les composants du système au moins une fois par jour, notamment les serveurs exécutant des fonctions des sécurité (IDS, RADIUS…)  Conserver l’historique des journaux d’audit pendant une année au moins, en gardant immédiatement à disposition les journaux des trois derniers mois au moins, pour analyse (par exemple, disponibles en ligne, dans des archives ou restaurables à partir d’une sauvegarde)
CONTRÔLE D’ACCÈS  Condition 3 : Protéger les données de titulaires de cartes stockées  Ne stocker aucune donnée d’authentification sensible après autorisation (même chiffrée), ni la totalité du contenu d’une quelconque piste (sur la bande magnétique au verso d'une carte, sur une puce ou ailleurs)  Ne pas stocker le CVx2, le code PIN, ni le PIN-bloc chiffré  Masquer le PAN lorsqu'il s'affiche (les six premiers chiffres et les quatre derniers sont le maximum de chiffres affichés)  Rendre le PAN illisible où qu'il soit stocké, en utilisant l'une des approches suivantes : hachage unilatéral, troncature, tokens et pads d'index, cryptographie robuste  Protéger les clés utilisées pour protéger les données de titulaires de cartes de la divulgation et de l'utilisation illicites
CONTRÔLE D’ACCÈS  Condition 7 : Restreindre l'accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître  Restreindre l'accès aux composants du système et aux données des titulaires de cartes aux seuls individus qui doivent y accéder pour mener à bien leur travail  Condition 8 :Affecter un ID unique à chaque utilisateur d’ordinateur  S’assurer qu’une gestion appropriée des mots de passe et de l’authentification des utilisateurs est mise en oeuvre  Intégrer l’authentification à deux facteurs pour l’accès à distance (accès au niveau du réseau depuis l'extérieur du réseau) des employés, des administrateurs et de tiers au réseau
ACQUISITION, DÉVELOPPEMENT ET MAINTENANCE DES SYSTÈMES D’INFORMATION  Condition 6 : Développer et gérer des systèmes et des applications sécurisés  S’assurer que tous les logiciels et les composants du système sont dotés des derniers correctifs de sécurité développés par le fournisseur, afin de les protéger des vulnérabilités connues  Développer des applications logicielles (internes et externes, y compris l'accès administratif aux applications par le Web) conformément à la norme PCI DSS, basées sur les meilleures pratiques du secteur  Pour les applications Web orientées public, traiter les nouvelles menaces et vulnérabilités de manière régulière et veiller à ce que ces applications soient protégées contre les attaques connues
GESTION DES INCIDENTS LIÉS À LA SÉCURITÉ DE L’INFORMATION  Condition 11 :Tester régulièrement les processus et les systèmes de sécurité  Utiliser des systèmes de détection d’intrusions (IDS) et/ou des systèmes de prévention d’intrusions (IPS)  Déployer des logiciels de contrôle de l’intégrité des fichiers pour alerter le personnel de toute modification non autorisée des fichiers de configuration, des fichiers de contenu ou des fichiers système stratégiques  Tester la présence de points d'accès sans fil et détecter les points d'accès sans fil non autorisés tous les trimestres  Analyser les vulnérabilités potentielles des réseaux internes et externes au moins une fois par trimestre et après tout changement significatif des réseaux  Effectuer des tests de pénétration externe et interne au moins une fois par an et après tout changement ou mise à niveau significatif de l’infrastructure ou des applications  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  Mettre en œuvre un plan de réponse aux incidents, Être prêt à réagir immédiatement à toute intrusion dans le système
CONCLUSION  Très proche du référentiel ISO 27002  Impacte profondément les applications bancaires, surtout pour le back-office (plus de manipulation de PAN en clair, par défaut)  Nécessite de créer un sous-ensemble informatique conforme, pour pouvoir migrer progressivement les applications bancaires
MERCI DEVOTRE ATTENTION !

Empfohlen

Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
Ammar Sassi
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 

Empfohlen

Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
Ammar Sassi
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdf
ControlCase
 
La gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersLa gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiers
Marc Rousselet
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
ISACA Chapitre de Québec
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
Alghajati
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
Maxime ALAY-EDDINE
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
Ammar Sassi
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
PECB
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
Danny Batomen Yanga
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 
Iso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training courseIso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training course
Mart Rovers
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
ISACA Chapitre de Québec
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
Souhaib El
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
Mohammed Zaoui
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
soumaila Doumbia
 
Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018
corsica.io
 
Principes de sécurité des opérations sur TPE et GAB.pptx
Principes de sécurité des opérations sur TPE et GAB.pptxPrincipes de sécurité des opérations sur TPE et GAB.pptx
Principes de sécurité des opérations sur TPE et GAB.pptx
PriscilleGANKIA
 

Weitere ähnliche Inhalte

Was ist angesagt?

La gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersLa gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiers
Marc Rousselet
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
Alghajati
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
Danny Batomen Yanga
 

Was ist angesagt? (20)

Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdf
 
La gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersLa gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiers
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Iso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training courseIso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training course
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 

Ähnlich wie PCI DSS - SSC ... C'est Quoi ?

Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational_France
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Microsoft Technet France
 

Ähnlich wie PCI DSS - SSC ... C'est Quoi ? (20)

Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018
 
Principes de sécurité des opérations sur TPE et GAB.pptx
Principes de sécurité des opérations sur TPE et GAB.pptxPrincipes de sécurité des opérations sur TPE et GAB.pptx
Principes de sécurité des opérations sur TPE et GAB.pptx
 
201707 dsp2 standards, sécurité, quels impacts - wavestone
201707 dsp2 standards, sécurité, quels impacts - wavestone201707 dsp2 standards, sécurité, quels impacts - wavestone
201707 dsp2 standards, sécurité, quels impacts - wavestone
 
Mobilegov Février 09
Mobilegov Février 09Mobilegov Février 09
Mobilegov Février 09
 
Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018
 
Chapitre 2
Chapitre 2Chapitre 2
Chapitre 2
 
Semlex documents fiduciaires
Semlex documents fiduciairesSemlex documents fiduciaires
Semlex documents fiduciaires
 
PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...
PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...
PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieur
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
 
Présentation du 14 mai 2013 v1.0
Présentation du 14 mai 2013 v1.0Présentation du 14 mai 2013 v1.0
Présentation du 14 mai 2013 v1.0
 
Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)
 
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
 
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
LIVRE BLANC - Les nouveaux enjeux de la lutte contre la fraude / Payments & C...
 
Crédit card Fraud Detection
Crédit card Fraud Detection Crédit card Fraud Detection
Crédit card Fraud Detection
 
Sécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsSécurité et Moyens de Paiements
Sécurité et Moyens de Paiements
 
DSP2 standards, sécurité, quels impacts wavestone
DSP2 standards, sécurité, quels impacts wavestoneDSP2 standards, sécurité, quels impacts wavestone
DSP2 standards, sécurité, quels impacts wavestone
 
Devoxx 2019 authentification
Devoxx 2019 authentificationDevoxx 2019 authentification
Devoxx 2019 authentification
 
Google wallet
Google walletGoogle wallet
Google wallet
 
Introduction au NFC et sécurité sans contact dans les mobiles
Introduction au NFC et sécurité sans contact dans les mobilesIntroduction au NFC et sécurité sans contact dans les mobiles
Introduction au NFC et sécurité sans contact dans les mobiles
 

Mehr von Djallal BOUABDALLAH

Mehr von Djallal BOUABDALLAH (7)

L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...
 
Sécurité des données de santé
Sécurité des données de santéSécurité des données de santé
Sécurité des données de santé
 
Les bonnes pratiques pour une transformation digitale réussie
Les bonnes pratiques pour une transformation digitale réussieLes bonnes pratiques pour une transformation digitale réussie
Les bonnes pratiques pour une transformation digitale réussie
 
CYBER SECURITY & FINTECH
CYBER SECURITY & FINTECHCYBER SECURITY & FINTECH
CYBER SECURITY & FINTECH
 
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUECYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
 
Le Marketing Agile
Le Marketing AgileLe Marketing Agile
Le Marketing Agile
 
LA DONNÉE: NOUVELLE ARME DE LA GUERRE ÉCONOMIQUE
LA DONNÉE: NOUVELLE ARME DE LA GUERRE ÉCONOMIQUELA DONNÉE: NOUVELLE ARME DE LA GUERRE ÉCONOMIQUE
LA DONNÉE: NOUVELLE ARME DE LA GUERRE ÉCONOMIQUE
 

PCI DSS - SSC ... C'est Quoi ?

  • 1. PCI, DSS & SSC …. C’EST QUOI ? CONTEXTE ET ENJEUX DU PCI DSS DJALLAL BOUABDALLAH – EXPERT & CONSULTANT IT 22-11-2016
  • 2. AGENDA  Introduction  Contexte  Structure du référentiel  Lien avec les normes ISO 270xx  Conclusion
  • 4. LES TENDANCES DANS LE MONDE Cartes sans contact / NFC Mobile Acceptance Portefeuilles numériques E-commerceet M-commerce Chip on the Cloud / HCE Croissance des paiements par carte (proximité et à distance) domestiques et internationaux apportée par cesévolutions Les innovations s’accélèrent Possibilités offertes par les nouvelles technologies autour de la carte de paiement, sur mobiles et internet Croissance de la fraude En 2015, la fraude brute des porteurs CB a représenté Plus de 592 millions d’euros en France et est en augmentation annuelle de 3%.
  • 5. RAPPEL DES RISQUES EN CAS DE COMPROMISSION nd Perte de confiance des clients Coûts des contre- mesures Pénalités des réseaux Coûts dela fraude CONSÉQUENCES POURLE CLIENT ET LES BANQUES: • Une dé-crédibilisation de l’image de l’entreprise qui a laissé fuir les données • Selon le type de compromission, la perte d’image peut être estimée entre 17 à 31% de la valeur de l’image de marque • Le délai de restauration de la réputation d’une entreprise en moyenne 11,8 mois • De lourdes conséquences financières • Coût moyen violation de données : 2,9M€ • Coût moyen compromission par enregistrement compromis: 127€ • Coût de procès nonvalorisable • La perte de confiance client peut être très préjudiciableà l’entreprise • Des dommages collatéraux : conséquences commerciales • Dé-crédibilisation de ses partenaires directs : banques, prestataires et de l'ensemble du système carte • Attrition ou désabonnement des clients Dé-crédibilisation de l’image sécuritaire
  • 6. CONSÉQUENCES DES PIRATAGES DE DONNÉES PORTEUR • Revente de données cartes en quantité sur des sites de « Carding » • Valeur (ordre de grandeur) sur le marché • Des données compromises • Numéro de compte (PAN) et CVV2 : 1€ • Données pistes carte classique : 8 à 73€ • « White plastic » avec piste magnétique : 100€ • Données pistes et PIN : 1 000€ • Du matériel informatique nécessaire • Logiciel malveillant (malware) : 1 000€ à 2 000€ • Equipement de skimming (clonage) : 1 000€ à 2 000€ • Types de fraude possibles avec des données carte volées • Vol de PAN : achat en VAD mal sécurisée (sans présentation de cryptogramme visuelCxx2) • Vol de PAN + DFV + Cxx2 (CVV2/CVC2/CBN2) : achat en VAD classique • Vol de piste ISO2 complète : contrefaçon utilisable en paiement surun terminal non EMV • Vol de piste ISO2 complète + PIN : contrefaçon utilisable en paiement et en retrait sur un terminal ou GAB
  • 8. LE RÉFÉRENTIEL PCI-DSS  Acronyme anglais de « Payment Card Industry Data Security Standard », ce qui signifie « Norme de sécurité des données pour l’industrie des cartes de paiement »  Développé par PCI Security Standards Council (PCI SSC), qui a été fondé par American Express, Discover Financial Services, JCB International, MasterCard Worldwide etVisa, Inc. Décembre 2004 V1.0 Octobre 2008 V1.2 Juillet 2009 V1.2.1 Octobre 2010 V2.0 Novembre 2013 V3.0 Avril 2015 V3.1
  • 9. APPLICATION DE LA NORME PCI-DSS  Norme spécifique au domaine bancaire  Concerne la protection des données sensibles liées aux cartes bancaires (PAN, date de validité, cryptogramme visuel, piste magnétique…)  But : Pallier aux faiblesses sécuritaires du e-commerce en protégeant la  confidentialité de données publiques (car visibles sur le recto ou le verso des cartes bancaires !)  Impose des mécanismes de sécurité  Firewall  Chiffrement des réseaux  Journalisation  Intégrité des serveurs
  • 10. FORCES & FAIBLESSES  Forces de l’approche  Acceptée dans le domaine bancaire : conformité imposée parVISA et  Mastercard sous la menace de pénalités financières  Couvre l’absence d’exigences normatives  Autorise le non respect (partiel ou total) d’une exigence, si celle-ci est remplacée par des mesures compensatoires  Faiblesses de l’approche  Les mesures compensatoires sont présentées par l’auditeur (QSA) à VISA et Mastercard, qui peuvent les refuser  Les QSA sont responsables financièrement avec l’audité qu’ils ont aidé à certifier PCI-DSS, en cas de fraude sur le périmètre certifié
  • 11. CONFORMITÉ À PCI-DSS: QUI EST CONCERNÉ ? Niveau Type d’activité Action requise pour la conformité 1 Tout commerçant traitant plus de 6 millions transactionsVisa ou MasterCard par an Tout commerçant ayant subit une compromission Audit de sécurité sur site Scan de vulnérabilité trimestriel (si commerce en ligne) 2 Tout commerçant traitant de 1 à 6 millions de transactionsVisa ou MasterCard par an Questionnaire d’auto-évaluation annuel Scan de vulnérabilité trimestriel (si commerce en ligne) 3 Tout commerçant traitant de 20,000 à 1 million de transactionsVisa ou MasterCard par an Questionnaire d’auto-évaluation annuel Scan de vulnérabilité trimestriel (si commerce en ligne) 4 Tout commerçant traitant moins de 20,000 transaction de commerce en ligneVisa ou MasterCard par an Tous les autres commerçants traitant jusqu’à 1 million de transactionsVisa ou MasterCard par an Questionnaire d’auto-évaluation annuel Scan de vulnérabilité trimestriel recommandé (si commerce en ligne) (cela dépend si les données sont capturées, stockées ou transmises par l’infrastructure du commerçant ou par un fournisseur de services)
  • 12. QU’EST-CE QU’UNE « DONNÉES DE COMPTE » ? • Les données du titulaire et les données d’identification sensibles sont définies commesuit Nom du titulaire de la carte Date d’expiration Bande magnétique (données piste 1 et 2 parmi lesquelles le bloc PIN - Personal Identification Number – Version chiffrée du code PIN et le code service) 123 Numéro de compte primaire (PAN) L’équivalent des données bande magnétique sont également contenues dans la puce Données du titulaire de cartes: Données d'authentification sensibles:  Le numéro de compte primaire(PAN)  Le nom du titulairede la carte  La dated’expiration  Le code service  Les données de bande magnétiquecomplète ou leur équivalentsur unepuce  Le CAV2/CVC2/CVV2/CID (achat enVAD)  Les Codes/blocs PIN Cryptogramme visuel (CAV2/CVC2/CVV2/CID) Logo Banque
  • 13. CONTEXTE: CONFORMITÉ À PCI-DSS Le numéro de compte primaire est le facteur déterminant de l'applicabilité des conditions PCI-DSS  Les conditions PCI-DSS sont applicables si un PAN est stocké, traité ou transmis  Si le PAN n'est pas stocké, traité ou transmis, les conditions PCI-DSS ne s'appliquent pas
  • 14. SYNTHÈSE DES EXIGENCES EN MATIÈRE DE STOCKAGE DE DONNÉES Élément de données Stockage autorisé Rendre illisibles les données de compte stockées selon la condition 3.4 Donnéesdecompte Données du titulaire de la carte Numéro de compte primaire (PAN) Oui Oui Nom du titulaire de la carte Oui Non Code service Oui Non Date d’expiration Oui Non Données d’authentification sensibles Données complètes de la piste magnétique Non Stockage interdit selon condition 3.2 CAV2/CVC2/CVV2/CID Non Stockage interdit selon condition 3.2 Code/bloc PIN Non Stockage interdit selon condition 3.2
  • 16. THÈMES DES CONDITIONS DE SÉCURITÉ 6 thèmes (+ 1 spécifique)  Création et gestion d’un réseau sécurisé  Protection des données des titulaires de cartes  Gestion d’un programme de gestion des vulnérabilités  Mise en œuvre de mesures de contrôle d’accès strictes  Surveillance et test réguliers des réseaux  Gestion d’une politique de sécurité des informations  Autres conditions s’appliquant aux fournisseurs d’hébergement partagé 12 conditions de sécurité (+ 1 spécifique) 204 exigences élémentaires
  • 17. CONDITIONS DE SÉCURITÉ  Création et gestion d’un réseau sécurisé  Condition 1 : Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes  Condition 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur  Protection des données des titulaires de cartes  Condition 3 : Protéger les données de titulaires de cartes stockées  Condition 4 : Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts
  • 18. CONDITIONS DE SÉCURITÉ  Gestion d’un programme de gestion des vulnérabilités  Condition 5 : Utiliser des logiciels antivirus et les mettre à jour régulièrement  Condition 6 : Développer et gérer des systèmes et des applications sécurisés  Mise en œuvre de mesures de contrôle d’accès strictes  Condition 7 : Restreindre l'accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître  Condition 8 :Affecter un ID unique à chaque utilisateur d’ordinateur  Condition 9 : Restreindre l’accès physique aux données des titulaires de cartes
  • 19. CONDITIONS DE SÉCURITÉ  Surveillance et test réguliers des réseaux  Condition 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes  Condition 11 :Tester régulièrement les processus et les systèmes de sécurité  Gestion d’une politique de sécurité des informations  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel
  • 20. CONDITIONS DE SÉCURITÉ  Autres conditions s’appliquant aux fournisseurs d’hébergement partagé  Condition A.1 : Les prestataires de services d’hébergement partagé doivent protéger l’environnement des données de titulaires de cartes
  • 21. LIEN AVEC LES NORMES ISO 270XX
  • 23. POLITIQUE DE SÉCURITÉ  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  Processus annuel qui identifie les menaces et les vulnérabilités, et débouche sur une évaluation formelle des risques  Examen annuel de la Politique de sécurité des informations, avec une mise à jour chaque fois que l’environnement change
  • 24. ORGANISATION DE LA SÉCURITÉ DE L’INFORMATION  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  S’assurer que la politique et les procédures de sécurité définissent clairement les responsabilités de tout le personnel en la matière
  • 25. SÉCURITÉ LIÉE AUX RESSOURCES HUMAINES  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  Effectuer une sélection préalable à l'embauche du personnel pour minimiser les risques d'attaques par des sources internes  Mettre en œuvre un programme annuel de sensibilisation à la sécurité pour sensibiliser les employés à l'importance de la sécurité des données de titulaires de cartes
  • 26. SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE  Condition 9 : Restreindre l’accès physique aux données des titulaires de cartes  Installer des caméras vidéo et/ou d’autres mécanismes de contrôle d’accès pour surveiller l’accès physique des individus aux zones sensibles  Examiner les données enregistrées et les mettre en corrélation avec d'autres informations. Les conserver pendant trois mois au minimum, sauf stipulation contraire de la loi  Restreindre l’accès physique aux prises réseau accessibles au public  Restreindre l'accès physique aux points d'accès, passerelles, dispositifs portables, matériel réseau/communications et lignes de télécommunication sans fil
  • 27. SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE  Utiliser un registre des visites pour tenir un contrôle physique de la circulation des visiteurs, conserver ce registre pendant trois mois au minimum, sauf stipulation contraire de la loi  Ranger les sauvegardes sur support en lieu sûr, de préférence hors de l’installation, par exemple sur un autre site ou un site de secours, ou encore un site de stockage commercial, inspecter la sécurité du site au moins une fois par an  Assurer un contrôle strict de la distribution interne ou externe de tout type de support  S’assurer que les responsables approuvent tous les supports déplacés d’une zone sécurisée (en particulier s’ils sont distribués à des individus)
  • 28. GESTION DE L’EXPLOITATION ET DES TÉLÉCOMMUNICATIONS  Condition 1 : Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes  Placer les composants du système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone de réseau interne, isolée de la DMZ et des autres réseaux non approuvés  Sécuriser et synchroniser les fichiers de configuration des routeurs  Installer un logiciel pare-feu personnel (non modifiable par les utilisateurs) sur tout ordinateur portable et/ou ordinateur appartenant à un employé équipé d’une connexion directe à Internet, qui est utilisé pour accéder au réseau de l’entreprise  Processus formel d'approbation et de test de toutes les connexions réseau et des modifications apportées aux configurations des pare-feu et des routeurs  Nécessité d’examiner les règles des pare-feu et des routeurs au moins tous les six mois
  • 29. GESTION DE L’EXPLOITATION ET DES TÉLÉCOMMUNICATIONS  Condition 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur  N'appliquer qu'une fonction principale par serveur (physique ou virtuel) afin d'éviter la coexistence, sur le même serveur, de fonctions exigeant des niveaux de sécurité différents  N'activer que les services, protocoles, démons, etc., nécessaires et sécurisés pour le fonctionnement du système  Changer systématiquement les paramètres par défaut définis par le fournisseur avant d’installer un système sur le réseau  Modifier les clés de chiffrement par défaut des équipements réseau sans fil à l'installation et à chaque fois qu'un employé qui les connaît quitte l'entreprise ou change de poste  Condition 4 : Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts  Utiliser des protocoles de sécurité et de cryptographie robustes (par exemple, SSL/TLS, IPSEC, SSH, etc.) afin de protéger les données sensibles des titulaires de cartes durant la transmission sur des réseaux publics ouverts
  • 30. GESTION DE L’EXPLOITATION ET DES TÉLÉCOMMUNICATIONS  Condition 5 : Utiliser des logiciels antivirus et les mettre à jour régulièrement  Déployer des logiciels antivirus sur tous les systèmes régulièrement affectés par des logiciels malveillants (en particulier PC et serveurs)  S’assurer que tous les mécanismes antivirus sont à jour, en cours d'exécution et génèrent des journaux d’audit  Condition 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes  Passer en revue les journaux d’audit relatifs à tous les composants du système au moins une fois par jour, notamment les serveurs exécutant des fonctions des sécurité (IDS, RADIUS…)  Conserver l’historique des journaux d’audit pendant une année au moins, en gardant immédiatement à disposition les journaux des trois derniers mois au moins, pour analyse (par exemple, disponibles en ligne, dans des archives ou restaurables à partir d’une sauvegarde)
  • 31. CONTRÔLE D’ACCÈS  Condition 3 : Protéger les données de titulaires de cartes stockées  Ne stocker aucune donnée d’authentification sensible après autorisation (même chiffrée), ni la totalité du contenu d’une quelconque piste (sur la bande magnétique au verso d'une carte, sur une puce ou ailleurs)  Ne pas stocker le CVx2, le code PIN, ni le PIN-bloc chiffré  Masquer le PAN lorsqu'il s'affiche (les six premiers chiffres et les quatre derniers sont le maximum de chiffres affichés)  Rendre le PAN illisible où qu'il soit stocké, en utilisant l'une des approches suivantes : hachage unilatéral, troncature, tokens et pads d'index, cryptographie robuste  Protéger les clés utilisées pour protéger les données de titulaires de cartes de la divulgation et de l'utilisation illicites
  • 32. CONTRÔLE D’ACCÈS  Condition 7 : Restreindre l'accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître  Restreindre l'accès aux composants du système et aux données des titulaires de cartes aux seuls individus qui doivent y accéder pour mener à bien leur travail  Condition 8 :Affecter un ID unique à chaque utilisateur d’ordinateur  S’assurer qu’une gestion appropriée des mots de passe et de l’authentification des utilisateurs est mise en oeuvre  Intégrer l’authentification à deux facteurs pour l’accès à distance (accès au niveau du réseau depuis l'extérieur du réseau) des employés, des administrateurs et de tiers au réseau
  • 33. ACQUISITION, DÉVELOPPEMENT ET MAINTENANCE DES SYSTÈMES D’INFORMATION  Condition 6 : Développer et gérer des systèmes et des applications sécurisés  S’assurer que tous les logiciels et les composants du système sont dotés des derniers correctifs de sécurité développés par le fournisseur, afin de les protéger des vulnérabilités connues  Développer des applications logicielles (internes et externes, y compris l'accès administratif aux applications par le Web) conformément à la norme PCI DSS, basées sur les meilleures pratiques du secteur  Pour les applications Web orientées public, traiter les nouvelles menaces et vulnérabilités de manière régulière et veiller à ce que ces applications soient protégées contre les attaques connues
  • 34. GESTION DES INCIDENTS LIÉS À LA SÉCURITÉ DE L’INFORMATION  Condition 11 :Tester régulièrement les processus et les systèmes de sécurité  Utiliser des systèmes de détection d’intrusions (IDS) et/ou des systèmes de prévention d’intrusions (IPS)  Déployer des logiciels de contrôle de l’intégrité des fichiers pour alerter le personnel de toute modification non autorisée des fichiers de configuration, des fichiers de contenu ou des fichiers système stratégiques  Tester la présence de points d'accès sans fil et détecter les points d'accès sans fil non autorisés tous les trimestres  Analyser les vulnérabilités potentielles des réseaux internes et externes au moins une fois par trimestre et après tout changement significatif des réseaux  Effectuer des tests de pénétration externe et interne au moins une fois par an et après tout changement ou mise à niveau significatif de l’infrastructure ou des applications  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  Mettre en œuvre un plan de réponse aux incidents, Être prêt à réagir immédiatement à toute intrusion dans le système
  • 35. CONCLUSION  Très proche du référentiel ISO 27002  Impacte profondément les applications bancaires, surtout pour le back-office (plus de manipulation de PAN en clair, par défaut)  Nécessite de créer un sous-ensemble informatique conforme, pour pouvoir migrer progressivement les applications bancaires