ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
-
Upload
application-security-forum-western-switzerland -
Category
Technology
-
view
987 -
download
0
description
Transcript of ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
Application Security ForumWestern Switzerland
27 octobre 2011 - HEIGVD Yverdon-les-Bainshttp://appsec-forum.ch
PCI-DSS dans le développement applicatif
Christophe NemethConsultantINOVEMENT Sàrl
Application Security Forum - Western Switzerland - 2011 2
Agenda
La norme PCI-DSS La norme PCI-DSS et le développement applicatif Points importants pour la conformité Conclusion
27.10.2011
Application Security Forum - Western Switzerland - 2011 3
PCI DSS – Définitions
PCI – Payment Card Industy PCI SSC – Payment Card Industry Security Standards
Council– Fondé par American Express, Discover Financial Services,
JCB International, MasterCard Worldwide et Visa, Inc. PCI DSS – Payment Card Industry Data Security
Standard– Guide comprenant 12 conditions aidant les entreprises
émettrices de cartes de paiement à protéger leurs données et à prévenir les fraudes.
27.10.2011
PCI DSS – Les données
27.10.2011 Application Security Forum - Western Switzerland - 2011 4
Peut être conservé mais doit être chiffré
Peut être conservé mais doit être chiffré si conservé côte à côte avec le PAN
Ne peut être conservé en aucunes circon-stances
PAN
Chip
Date d‘expiration
Bande magnétique :Nom du propriétairePANDate emissionDate expirationCVC1
CVC2 / CVV2CAV2 / CID
Application Security Forum - Western Switzerland - 2011 5
PCI DSS – La norme
27.10.2011
Application Security Forum - Western Switzerland - 2011 6
PCI DSS – La norme
27.10.2011
Application Security Forum - Western Switzerland - 2011 7
PCI DSS et le développement
27.10.2011
6.1– Gestion des correctifs.
6.2– Processus permettant d’assigner une catégorie de
risque aux vulnérabilités permettant une priorisation de l’application des correctifs (obligatoire des le 30 juin 2012)
Application Security Forum - Western Switzerland - 2011 8
PCI DSS et le développement
27.10.2011
6.3– Développer des applications logicielles conformément
à la norme PCI DSS basées sur les meilleures pratiques du secteur. Intégrer la sécurité des informations à tout le cycle de vie du développement logiciel.
6.4– Suivre les processus et procédures de contrôles des
changements pour toutes les modifications apportées à des composants du système.
Application Security Forum - Western Switzerland - 2011 9
PCI DSS et le développement
27.10.2011
6.3– Développer des applications logicielles conformément
à la norme PCI DSS basées sur les meilleures pratiques du secteur. Intégrer la sécurité des informations à tout le cycle de vie du développement logiciel.
6.4– Suivre les processus et procédures de contrôles des
changements pour toutes les modifications apportées à des composants du système.
SDLC
Change
Mgt
Application Security Forum - Western Switzerland - 2011 10
PCI DSS et le développement
27.10.2011
6.5– Développer des applications basées sur les directives
de codage sécurisé. Prévenir les vulnérabilités de codage courante dans les processus de développement de logiciel
6.6– Pour les applications web orientées public, traiter les
nouvelles menaces et vulnérabilités de manière régulière et veiller à ce que ces applications soient protégées contre les attaques connues.
Application Security Forum - Western Switzerland - 2011 11
PCI DSS et le développement
27.10.2011
6.5– Développer des applications basées sur les directives
de codage sécurisé. Prévenir les vulnérabilités de codage courante dans les processus de développement de logiciel
6.6– Pour les applications web orientées public, traiter les
nouvelles menaces et vulnérabilités de manière régulière et veiller à ce que ces applications soient protégées contre les attaques connues.
OWASP
Vulnerability
Mgt
Application Security Forum - Western Switzerland - 2011 12
PCI DSS 6.3 – SDLC Mgt
Processus SDLC formalisé et documenté (6.3)
27.10.2011
Application Security Forum - Western Switzerland - 2011 13
PCI DSS 6.3 – SDLC Mgt
Revue de code (6.3.2)– Par une tierce personne indépendante– Selon les bonnes pratiques (voir 6.5)• Implique la formation des développeurs
– Les corrections sont apportées avant la mise en production
– Le rapport de revue de code et approuvé
27.10.2011
Application Security Forum - Western Switzerland - 2011 14
PCI DSS 6.3 – SDLC Mgt
Livrables– Processus de développement• Politique de développement• Procédure de développement
– Revue de code– Rapport de revue de code– Preuve que les « bugs » sont gérés
• Méthodologie de développement– Formation des développeurs– Plan de formation
27.10.2011
Application Security Forum - Western Switzerland - 2011 15
PCI DSS 6.4 – Change Mgt
Séparation des environnements de production et de test avec contrôle d’accès approprié (6.4.1)
Séparation des obligations entre les environnements de production et de test (6.4.2)
Les données de production ne sont pas utilisées à des fins de test (6.4.3)– Utilisation de jeux de test
27.10.2011
Application Security Forum - Western Switzerland - 2011 16
PCI DSS 6.4 – Change Mgt
Procédure de contrôle des modifications incluant (6.4.5) :– Documenter l’impact (6.4.5.1)– Documenter le changement approuvés par les
responsables (6.4.5.2)– Tester le changement (6.4.5.3)– Existence d’une procédure de retour en arrière
(6.4.5.4)
27.10.2011
Application Security Forum - Western Switzerland - 2011 17
PCI DSS 6.4 – Change Mgt
Livrables– Matrice des rôles et responsabilités– Application de la politique de développement– Processus de gestion des changements• Politique de gestion des changements• Procédure de gestion des changements• Canevas divers comprenant les éléments demandés
27.10.2011
Application Security Forum - Western Switzerland - 2011 18
PCI DSS 6.5 – Bonne pratique
Développer des applications basées sur les directives de codage sécurisé. Prévenir les vulnérabilités de codage courante dans les processus de développement de logiciel.– OWASP Top 10– SANS Top 20– CERT– …
27.10.2011
Application Security Forum - Western Switzerland - 2011 19
PCI DSS 6.5 – Bonnes pratiques
Au minimum– OWASP Top 10– Correction de toutes les vulnérabilités de niveau
“élevé” identifiées dans le processus de gestion des vulnérabilités
27.10.2011
Application Security Forum - Western Switzerland - 2011 20
PCI DSS 6.5 – Bonnes pratiques
Livrables– Procédure de développement sécurisé se référant à
une bonne pratique.– Rapport de revue de code selon la bonne pratique– Procédure de gestion des correctifs– Rapport de scans propre (voire 6.6)
27.10.2011
Application Security Forum - Western Switzerland - 2011 21
PCI DSS 6.6 – Vulnerability Mgt
Pour les application Web orientée public :– Test de vulnérabilité• Annuel ou après modification• Par une société spécialisée (interne ou externe, mais
indépendante vis-à-vis du développement)• Toute les vulnérabilités sont corrigées• Test après correction
– Pare-feu applicatif
27.10.2011
Application Security Forum - Western Switzerland - 2011 22
PCI DSS 6.6 – Vulnerability Mgt
Livrables– Programme de gestion des vulnérabilités• Calendrier des scans interne et externe• Calendrier de test de pénétration• Rapport de scans et des tests (propre)• Liste des vulnérabilités découvertes et corrigées
27.10.2011
Application Security Forum - Western Switzerland - 2011 23
Conclusion
Ne pas oublier l’aspect organisationnel, PCI DSS n’est pas que de la technique
Nommer un chef de projet au métier– Chef de projet technique– Chef de projet gouvernance
Ne pas oublier la gestion du changement– Les changements dans les procédures opérationnelles
sont parfois difficiles à mettre en œuvre. Collaboration avec la société certificatrice
27.10.2011
Application Security Forum - Western Switzerland - 2011 24
Vos questions ?
27.10.2011
© fl
ickr
.com
/hor
iava
rlan
Application Security Forum - Western Switzerland - 2011 25
Merci!
Christophe [email protected]+41 79 47 50 23
27.10.2011
SLIDES A TELECHARGER PROCHAINEMENT:http://slideshare.net/ASF-WS