Concilation entre exigences internationales des normes de conformité PCI et besoins de votre...

7/30/2019 Concilation entre exigences internationales des normes de conformité PCI et besoins de votre entreprise - Kawther Haciane - iCompetences RSI2012

http://slidepdf.com/reader/full/concilation-entre-exigences-internationales-des-normes-de-conformite-pci 1/25

CONCILIATION ENTRE EXIGENCES INTERNATIONALES DES NORMES DE

CONFORMITÉ PCI ET LES BESOINS DEVOTRE ENTREPRISE

Kawther Haciane



AGENDA

§ Cybercriminalité : Les risques que courent les entreprises

§ Qu’est-ce que la norme PCI-DSS?

§ La conformité en trois étapes :

1. Évaluer le processus de certification2. Entamer la certification PCI-DSS

3. Obtenir l’attestation de certification et la maintenir

§ Questions

2



CYBERCRIMINALITÉ : LES RISQUES QUECOURENT LES ENTREPRISES

• Voici une liste des renseignements qu'ils recherchent :

ü Dossiers de clients (y compris les coordonnées,l'historique des ventes et les mots de passe)

ü Listes de contacts

ü Renseignements des employés (y compris l'adressecourriel et les mots de passe)

ü Information bancaire de votre compagnie

ü Numéros de carte de crédit

• Ils cherchent également une façon de :

ü compromettre les serveurs

ü •infecter les ordinateurs avec des virus et desprogrammes malveillants

ü •accéder à votre système



INFORMATIONS RELATIVES AUX CARTESDE CRÉDIT

Les cybercriminels recherchent l’information sensible

Carte de Crédit

123

No de compteprincipal

Dated’expiration

Bandemagnétique:

• No de compteprincipal

• dated’expiration

• codes deservice

• codes de

validation

Code devalidationSi l’information sensible estsauvegardée,les criminels vont l’obtenir pour lareproduire, et vendre de fausses

cartes valides partout dans le monde.



QU’EST CE QUE LA NORME PCI?

PCI DSS – Payment Card Industry Data Security Standard

Comité de gouvernance de l’Industrie des Cartes dePaiement PCI (Payment Card Industry Council)

• Fondé en 2005

• Regroupement des normes VISA, MasterCard, American Express, JCB, Discover

• Normes PCI-DSS (Data Security Standards) de pratiquesd’excellence pour sécuriser les transactions

Adhérer à ces pratiques permet de minimiser les pertes liéesaux fraudes éventuelles et l’obtention de la certification permettrade minimiser l’évaluation du risque que porte les banquesémettrices envers le marchand.



LES PRINCIPES DU PCI-DSS

• Normes en matière de sécurité des données

• Représentent un ensemble complet de conditions de sécuritépour les sociétés qui traitent, transmettent ou conservent lesdonnées de cartes de paiement.

• Douze principes de sécurité, regroupés dans les six objectifssuivants :

1. Création et gestion d’un réseau sécurisé

2. Protection des données des titulaires des cartes de crédit

3. Mise à jour d’un programme de gestion des vulnérabilités

4. Mise en œuvre de mesures de contrôle d’accès strictes5. Surveillance et test réguliers des réseaux

6. Gestion d’une politique de sécurité des informations

6



LES EXIGENCES DU STANDARD PCI DSS?

• Demandé par les différentes marques de cartes de paiement, lescommerçants ainsi que les prestataires de service doivent seconformer au standard PCI DSS dans sa totalité.

• D’après la quantité des transactions, le modèle d’affaires, et d’aprèsd’autres critères additionnels, les marques des cartes de paiementont défini des exigences et validations de conformité spécifiques.

• Ces exigences de validation vont du questionnaire d'autoévaluation àl'évaluation annuelle devant être effectuée sur place par unévaluateur de sécurité qualifié (Qualified Security Assessor, QSA)

7



LES IMPLICATIONS DE NON-CONFORMITÉ

• Le non-respect de la conformité peut entraîner de sévères pénalités,incluant l'obligation de payer des amendes, la hausse des frais detransaction ou la perte du droit d'accès aux ressources d'un réseaude cartes de paiement.

• Le fait de ne pas assurer la sécurité des données des titulaires peutse traduire en un coût élevé pour les marchands :

ü pertes financières

ü réputation gravement entachée

ü risques de poursuites judiciaires élevés

ü pertes occasionnées par une réduction du niveau de confiance desdétenteurs de cartes de crédit

ü sujet à des amendes ou pénalités

ü susceptible de faire face à une annulation de service

8



ÉTAPE 1 – ÉVALUER LEPROCESSUS DE CERTIFICATION

9



IDENTIFIER UN PROPRIÉTAIRE DEL’INITIATIVE

• Identifier les enjeux de la non-conformité

• Avoir l’appui de la Haute Direction est primordial pour lesuccès de la certification

• Le propriétaire de l’initiative assurera un levier importantdans les changements à apporter au niveau del’organisation au niveau:

• Des technologies de l’information

• Des processus d’affaires et des procédures

• Du personnel• Le département des Technologies de l’Information ne

pourra pas assurer tous les leviers nécessaires

1 0



LE CHOIX D’UN QSA ET D’UN ASV

QSA (QUALIFIED SECURITYASSESSOR)

Consultants de sécuritéqualifiés par le PCI Council

pour valider les questionnairesd’évaluation.

Ils sont répertoriés dans uneliste officielle par pays :www.pcisecuritystandards.org

Le choix du QSA est capital

ASV (APPROVED SCANNINGVENDOR)

Vendeurs certifiés par le PCICouncil pour effectuer des

analyses de vulnérabilités sur les systèmes d’information descommerçants et prestataire deservices.

Ils sont répertoriés dans une

liste officielle sur le site PCI Security standards

1 1



LES EXIGENCES DES COMMERÇANTS ETFOURNISSEURS

Type de commerçant Type devalidation

Type Balayagestrimestriels

1 validation type 1:Carte absente. Toutes les fonctions de titulaires imparties. Aucunsystème PDV face à face.

Autoévaluationvalidée par unvérificateur QSA

A Aucun

2 validation type 2:Commerçant à prise d’empreinte seulement. Aucun stockage dedonnées titulaires.


B Aucun

3 validation type 3:Commerçant avec terminal PDV autonome. Aucun stockage dedonnées titulaires.


B Aucun

4 validation type 4:Commerçant avec application de paiement branché sur internet.

Aucun strockage de données titulaires


C trimestriel

5 validation type 5:Commerçants avec moins de 6 millions de transactions.Fournisseurs de service avec moins de 300000 transactions


D trimestriel

6 commerçants et fournisseurs de service de niveau 1Volume supérieur à type 5Intrusion ayant résulté en une compromission de données

Ayant été identifié comme Niveau 1 par un émetteur

Sur placeRapport deconformité (ROC)

audit trimestriel



PROCESSUS DE CERTIFICATIONÉVALUATION SUR PLACE

• Validation sur place par un vérificateur certifié QSAü fournisseurs de service et marchands ayant plus de 6 millions de transactions

ü marchands ayant subi une brèche de sécurité

• Balayages de vulnérabilité trimestriels effectués par un ASV

• Marchands : Attestation de conformité ou sommaire exécutif du ROC

transmis à l’acquéreur • Fournisseurs de service : Attestation de conformité et sommaire exécutif

du ROC envoyé et à la marque

• En cas de non-conformité

ü un plan d’action de remédiation doit être présenté

ü le vérificateur QSA peut proposer des contrôles compensatoires

Fournisseursde service /MarchandNiveau 1

Évaluation sur placePlan d’action

Remédiation

Contrôles Compensatoire

Certification Transmission à l’acquéreur Balayages de

vulnérabilité trimestriels



PROCESSUS DE CERTIFICATION – AUTOÉVALUATION

Pour tous les marchands et fournisseurs de service éligibles àl’autoévaluation

Questionnaire d’autoévaluation A, B, C et D

• accessible au moyen du portail www.pcisecuritystandards.org/

•

le questionnaire d’autoévaluation est validé par un vérificateur QSA selon les requis deVISA canada

• balayages de vulnérabilité trimestriels effectués par un ASV pour commerçants de type 4et 5

Attestation de conformité transmis à l’acquéreur par le marchand

Plan d’action de remédiation en cas de non-conformité

Tous les autresmarchands

Questionnaire d’auto-évaluation Remédiation

Certification Transmission à l’acquéreur Balayages devulnérabilité trimestriels



ANALYSE D’ÉCARTS VIS-À-VIS DES REQUISPCI

• Évaluation complète des mesures de sécurité par rapportaux exigences du PCI DSS.

• Inventorier les processus d’affaires qui impliquent lescartes de crédit et les systèmes pour définir votre portée

• Mieux comprendre votre environnement / système

• Rencontrer les joueurs clés de tous les secteurs liés àchaque processus et procéder à votre évaluation

• Bien formuler ses questions et demander à voir,comprendre

• Soyez intéressé(e) et notez les différents écarts !

1 5



IDENTIFIER LES ÉCARTS ET LES MESURESCORRECTRICES

Le QSA évaluera les contrôles en place et validera leur conformité.Il permet à l’organisation de mieux cibler les écarts de non-conformité et proposera des mesures correctives à mettre enplace.

L’analyse d’écarts doit être faite par requis et par processus

d’affaire en mettant en évidence les efforts liés à :• L’adaptation des systèmes d’information• Changements d’un point de vue des processus d’affaires et des

procédures• L’ajustement des pratiques liées au personnel

Réduisez votre portée au maximum!• Pour les systèmes d’information : préconiser la segmentation!• Pour les processus d’affaires : adapter les supports de travail et

soyez créatifs• Pour le personnel : des campagnes de sensibilisation peu

coûteuses, c’est possible! 1 6



LES MESURES CORRECTRICES

• On ne peut pas tout corriger à la perfection!

• Évaluation des contrôles compensatoires avec l’assistance devotre QSA:

ü Respectent l’intention et la rigueur de la clause initiale de la norme PCI DSS.ü N’augmentent le niveau de risque.ü Parviennent à compenser suffisamment le risque prévenu par la clause initiale .

• L’évaluation des écarts doit se traduire en différentesinitiatives estimées en terme d’efforts et d’investissements pour apporter les mesures correctrices

1 7

Initiatives (2008 - 2010) Type Owner Scope

Estimated

Cost

Target

Date Comments

25. Initiative 1 SECKawther Haciane

minor 250 K 2008 Explication sommaire du correctif 1

26. Initiative 2 SECKawther Haciane

medium 300K 2008Explication sommaire du correctif 2



ÉTAPE 2 – ENTAMER LEPROCESSUS DE CERTIFICATION

1 8



LE COMITÉ EXÉCUTIF DE GESTION

Mettre en place un comité exécutif qui doit se rencontrer régulièrement pour:

• Suivre l’évolution des initiatives

• Comprendre les enjeux et agir à titre de levier pour lesrégler

• Prendre des orientations d’affaires en ligne avec lamise en place de la certification

• Exercer des pressions auprès des partenaires d’affaires

1 9



LES GRANDES LIGNES DIRECTRICES

Ne stockez pas les données sensibles si vous n’en avez pasvraiment besoin. L’information non sensible peut êtreconservée mais en prenant soin de la sécuriser par desmoyens de protection et des moyens cryptographiques

2 0

Carte de Crédit

123

No de compteprincipal

dated’expiration

bandemagnétique:

code devalidation



LES GRANDES LIGNES DIRECTRICES

• Sécurisez le périmètre et segmentez l’environnementtransactionnel

• Sécurisez les applications

•

Surveillez et contrôlez l'accès à vos systèmes• Protégez les données du détenteur de la carte qui doivent

être stockées

• Finalisez les mesures de conformité qui doivent encoreêtre mises en œuvre et assurez-vous que tous lesdispositifs de contrôle sont en place

• Effectuez vos tests de vulnérabilités 4fois par année et veillez à la mise en place des correctifs

2 1



LES ÉVIDENCES EN PRÉPARATION

• Identifier les feuilles de routes applicatives, technologiques,processus et procédures,

• Valider les solutions au fur et à mesure de l’avancement desinitiatives

• Récolter les évidences par requis :

ü Dans le cas d’un audit sur site, cette activité permettra àl’organisation de préparer le processus de certification.

ü Dans le cas d’une validation d’auto-évaluation, le niveau deconfort du QSA augmentera puisque l’organisation témoigned’une bonne compréhension des requis et d’évidences associés

• Documenter les contrôles compensatoires ainsi que lesplans de mitigation à partir de la « Fiche de contrôlescompensatoires » (Réf : PCI Standard)

• Référencer vos évidences en préparation pour lesprocessus de certification annuelle

2 2



ÉTAPE 3 – L’ATTESTATION DECERTIFICATION

2 3



L’ATTESTATION

• Deux types de validations:ü Questionnaire d’auto-évaluation validé : Le QSA passera en revue le

questionnaire avec l’organisation et validera la bonne compréhension

ü ROC : Le QSA testera les contrôles de sécurité en place et produira unrapport de conformité

ü Toutes les fiches documentées de contrôles compensatoires doivent être

disponibles ainsi que les ressources techniques

• Maintien de la certification:

ü Mise en place d’un comité de gouvernance trimestriel

ü Développer un cadre de conformité pour assurer le maintien de la

certificationü S’assurer d’exercer un contrôle serré au niveau des projets informatiques

2 4



MERCI POUR VOTRE PARTICIPATION

25

DES QUESTIONS?

Concilation entre exigences internationales des normes de conformité PCI et besoins de votre...

Documents

Transcript of Concilation entre exigences internationales des normes de conformité PCI et besoins de votre...