Entreprises du Voyage face à PCI DSS - apst.travel©sentation... · CAS 2 Agent de voyage avec TPE...

| www.galitt.com

Entreprises du Voyage face à PCI DSS Comment répondre à la demande de l’IATA

15/02/2018

https://www.linkedin.com/company/galitt

https://www.galitt.com/

http://fr.viadeo.com/fr/company/galitt

2 © Copyright Galitt

CONTACTS

Safa GHIDHAOUI PCI Community Manager Gal i t t Payment Consult ing

Bruno KOVACS Pract ice Manager Gal i t t Payment Security

b.kovacs@gal it t .com

+33 1 77 70 28 12 +33 6 59 56 06 58

17 route de la Reine 92100 Boulogne -Bi l lancourt

s .ghidhaoui@gal it t .com

+33 1 77 70 28 76 +33 6 13 95 56 02


SOMMAIRE

1. Contexte

2. Introduction à PCI DSS

3. Démarche de certification & qualification des commerçants

4. Exemples et cas pratiques

5. Vulgarisation de PCI DSS

6. Questions & Réponses

7. A propos de Galitt

CONTEXTE

1


Des échéances concrètes

CONTEXTE

ASSOCIATION INTERNATIONALE DU TRANSPORT AÉRIEN

RÉSEAUX CARTES INTERNATIONAUX

l’IATA impose la certification PCI DSS à tous ses membres : • Compagnies aériennes,

• Entreprises sous-traitantes et partenaires, agences de voyages

• Les agences de voyages accréditées dont la certification est exigée pour la certification de la compagnie aérienne elle-même.

L’échéance est fixée au 1er mars 2018 (déjà repoussée depuis juin 2017).

Les réseaux de cartes bancaires internationaux exigent l’application de la norme PCI DSS à tous les acteurs du paiement par carte afin de:

• limiter la fraude via la compromission massive de données,

• définir une approche commune dans l’application des règles de sécurité.

La mise en œuvre de PCI DSS auprès des commerçants est assurée par les banques membres de ces réseaux.


Des échéances concrètes

CONTEXTE

LE RÈGLEMENT EUROPÉEN 2016/679

SUR LA PROTECTION DES DONNÉES PERSONNELLES

Le règlement européen 2016/679 sur la protection des données personnelles, General Data Protection Regulation (GDPR), entre en vigueur le 25 mai 2018 :

Les données personnelles sensibles couvertes par le standard PCI DSS font partie du périmètre de la GDPR

Le non-respect du règlement européen expose à des pénalités pouvant aller jusqu’à 4% du chiffre d’affaires mondial plafonné à 20M€, en cas de compromission

Arrêt des systèmes d’information jusqu’à la mise en conformité

La mise en conformité à PCI DSS permet de contribuer fortement au respect de ce nouveau règlement en capitalisant sur les investissements consentis


Les risques encourus

CONTEXTE

1. Le retrait, à partir du 1er mars 2018, de l’accréditation IATA des agences de voyages non certifiées PCI DSS leur interdisant ainsi l’utilisation du code commerçant de la compagnie aérienne ce qui entraîne: • Une augmentation du tarif des transactions carte (prise en charge des commissions) • Une dépréciation d’image auprès des compagnies aériennes et auprès des clients professionnels et

grand public

2. Un risque juridique pour la non-protection des données personnelles • Un risque financier en cas d’infraction à la nouvelle réglementation européenne sur la protection des

données personnelles (GDPR) applicable à partir du 25 Mai 2018 Pénalités de 4% du chiffre d’affaires du commerçant appliqué en cas d’une infraction avérée.

3. Ceci s’ajoutant aux inconvénients bancaires de l’absence de conformité à PCI DSS :

• Des pénalités réclamées par la banque, aggravées en cas de compromission

Le non-respect de l’exigence de certification PCI DSS imposée par l’IATA a les conséquences suivantes:

INTRODUCTION À

PCI DSS

2


Origine de la norme

PCI DSS

L’organisation a élaboré un ensemble de standards à destination des acteurs de l’industrie du paiement par carte dans le but de :

Limiter la fraude par compromission massive de données du titulaire et/ou des données d’authentification; et

Définir une approche commune et un ensemble de règles adopté par les principaux réseaux et basé sur les programmes de protection existants.

Le PCI SSC est un organisme créé en 2006 à l’initiative de 5 réseaux cartes internationaux.

Présentation PCI SSC

(Payment Card Industry Security Standards Council)


Données concernées

LA NORME PCI DSS

• Les données du porteur et les données d’authentification sensibles sont définies comme suit :

Données d’identification du porteur : Données d'authentification sensibles :

Le PAN

Le nom du porteur de la carte

La date d’expiration

Le code service

Les données de piste magnétique complète ou leur équivalent sur une puce

Le CAV2/CVC2/CVV2/CID (achat en VAD)

PIN Block et PIN

PAN

Nom du porteur de la carte Date d’expiration

Piste magnétique (piste 1 et 2)

123

L’équivalent des données piste magnétique est également stocké dans la puce

Cryptogramme visuel (CAV2/CVC2/CVV2/CID)


EXIGENCES DE LA NORME PCI DSS

La norme PCI DSS contient plus de 400 points de contrôle et est articulée autour de 6 thèmes principaux :

1. Création et gestion d’un réseau et d’un système sécurisés

2. Protection des données carte stockées

3. Gestion d’un programme de gestion des vulnérabilités

4. Mise en œuvre de mesures de contrôle d’accès (physique et logique) strictes

5. Surveillance et tests réguliers de sécurité de l’environnement

6. Gouvernance, gestion d’une politique de sécurité et gestion des risques cyber

DÉMARCHE DE MISE EN

CONFORMITÉ

3


Évaluation initiale et renouvellement

DÉMARCHE DE MISE EN CONFORMITÉ

I. Qualification de la typologie du commerçant

1. Déterminer le profil commerçant selon la volumétrie annuelle des transactions et les canaux d’acceptation

2. Choix du questionnaire d’évaluation PCI DSS adapté au profil commerçant et à son infrastructure technique

• Cadrage du périmètre • Analyse des écarts • Collecte de preuves • Plan d’actions

II. Réalisation de l’auto-évaluation

1 an

III. Certification

• Remplissage du questionnaire d’auto-évaluation adapté

• Rédaction de l’attestation de conformité PCI DSS (AOC) : document à communiquer aux différents partenaires (ex: IATA) et à la banque acquéreur

IV. Renouvellement

• La certification PCI DSS doit être renouvelée tous les ans.

• Le processus de renouvellement est plus léger que la démarche initiale d’évaluation s’il n’y a pas de changements majeurs dans l’infrastructure du commerçant.


Exemple : SAQ

MODÈLE DE QUESTIONNAIRE D’AUTO-ÉVALUATION PCI DSS (SAQ)


Exemple: AOC

MODÈLE D’ATTESTATION DE CONFORMITÉ PCI DSS (AOC)


CLASSIFICATION DES COMMERÇANTS EN FONCTION DU NOMBRE DE TRANSACTIONS

Le niveau commerçant est déterminé en fonction du volume de transactions par schème (ex: 7 millions Visa = N1, 4 millions MasterCard = N2).

Acceptation de plus de 6 millions de transactions annuelles

NIVEAU 1

Acceptation de 1 à 6 millions de transactions annuelles

Acceptation de 20.000 à 1 million de transactions annuelles par e-commerce

Tous les autres commerçants dont e-commerce

NIVEAU 2 NIVEAU 3 NIVEAU 4

Audit annuel par un QSA ou auditeur interne agréé par le PCI-SSC

Questionnaire annuel d’auto-évaluation

Questionnaire annuel d'auto-évaluation



E-commerce

LISTE DES QUESTIONNAIRES D’AUTO-ÉVALUATION PCI DSS (SAQ)

SAQ A

SAQ A-EP

Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ )

Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’

Proximité ou VAD sur TPE

SAQ B

SAQ B-IP

TPE autonome connecté à une ligne téléphonique

TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..)

SAQ C TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet

Autres

SAQ C-VT

SAQ D

Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI

Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous format électronique

329

79

160

80

41

191

22

EXEMPLES ET

CAS PRATIQUES

4

CAS 1 Agent de voyage avec TPE raccordé au réseau téléphonique commuté (RTC)


PREMIER CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ AU RÉSEAU TÉLÉPHONIQUE COMMUTÉ (RTC)

Niveau commerçant 1

Commerçant réalisant 12000 transactions VISA ou MASTERCARD par an


COMMERÇANT RÉALISANT 12000 TRANSACTIONS VISA OU MASTERCARD PAR AN


NIVEAU 1













Niveau 4

• Questionnaire d'auto-évaluation annuel

Type de questionnaire 2


LISTE DES QUESTIONNAIRES PCI DSS (SAQ)

E-commerce

SAQ A

SAQ A-EP




SAQ B

SAQ B-IP




Autres

SAQ C-VT

SAQ D



329

79

160

80

41

191

22


SAQ B – CRITÈRES D’ÉLIGIBILITÉ Télécharger le SAQ B ici : https://fr.pcisecuritystandards.org/documents/PCI-DSS-v3_2-

SAQ-B-rev1_1.docx

https://fr.pcisecuritystandards.org/documents/PCI-DSS-v3_2-SAQ-B-rev1_1.docx
























Niveau 4


SAQ B

41 exigences


CAS 2 Agent de voyage avec TPE raccordé à

un réseau IP en agence (client présent lors du paiement ou saisie des CHD

sur clavier par l’opérateur de l’agence)


DEUXIÈME CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ À UN RÉSEAU IP EN AGENCE (CLIENT PRÉSENT LORS DU PAIEMENT OU SAISIE DES CHD SUR CLAVIER PAR L’OPÉRATEUR DE L’AGENCE)


Commerçant réalisant 50 000 transactions VISA ou MASTERCARD par an


PROFIL : COMMERÇANT RÉALISANT 50 000 TRANSACTIONS VISA OU MASTERCARD PAR AN


NIVEAU 1













Niveau 4


• Scan réseau trimestriel par un ASV




E-commerce

SAQ A

SAQ A-EP




SAQ B

SAQ B-IP




Autres

SAQ C-VT

SAQ D



329

79

160

80

41

191

22


SAQ B-IP – CRITÈRES D’ÉLIGIBILITÉ

Lien pour vérifier le matériel utilisé : https://www.pcisecuritystandards.org/assessors_and_solutions/pin_transac

tion_devices

Télécharger le SAQ B-IP ici : https://fr.pcisecuritystandards.org/doc

uments/PCI-DSS-v3_2-SAQ-B_IP-rev1_1.docx

https://www.pcisecuritystandards.org/assessors_and_solutions/pin_transaction_devices



https://fr.pcisecuritystandards.org/documents/PCI-DSS-v3_2-SAQ-B_IP-rev1_1.docx

























Niveau 4



SAQ B-IP

80 exigences

CAS 3 Agent de voyage avec site E-commerce


CAS N°3 : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT


Commerçant réalisant 25000 transactions E-commerce VISA ou MASTERCARD par an


PROFIL : COMMERÇANT RÉALISANT 25000 TRANSACTIONS VISA OU MASTERCARD PAR AN


NIVEAU 1










TROISIÈME CAS : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT



Niveau 3


• Scan de vulnérabilité réseau trimestriel par un ASV, et après toute modification significative des réseaux

Type de questionnaire : hypothèse 1 2

HYPOTHÈSE 1 : page de paiement externalisée auprès d’un PSP certifié PCI DSS (redirection IFRAME)



E-commerce

SAQ A

SAQ A-EP




SAQ B

SAQ B-IP




Autres

SAQ C-VT

SAQ D



329

79

160

80

41

191

22


SAQ A– CRITÈRES D’ÉLIGIBILITÉ Télécharger le SAQ A ici :

https://fr.pcisecuritystandards.org/documents/PCI-DSS-v3_2-SAQ-A-

rev1_1.docx

https://fr.pcisecuritystandards.org/documents/PCI-DSS-v3_2-SAQ-A-rev1_1.docx
























Niveau 3




SAQ A 22 exigences

HYPOTHÈSE 1 : page de paiement externalisée auprès d’un PSP certifié PCI DSS (redirection IFRAME)





Niveau 3




HYPOTHÈSE 2 : site Web du marchant véhicule les données carte vers le PSP



E-commerce

SAQ A

SAQ A-EP




SAQ B

SAQ B-IP




Autres

SAQ C-VT

SAQ D



329

79

160

80

41

191

22





Niveau 3




HYPOTHÈSE 2 : le site Web du marchant véhicule les données carte vers le PSP

SAQ D 329 exigences

CAS 4

Call center


QUATRIÈME CAS : AGENT DE VOYAGE AVEC UN CALL CENTER TRAITANT LES TRANSACTIONS DE PAIEMENT VIA UN FORMULAIRE EN LIGNE




PROFIL : COMMERÇANT RÉALISANT 12000 TRANSACTIONS VISA OU MASTERCARD PAR AN


NIVEAU 1













Niveau 4





E-commerce

SAQ A

SAQ A-EP



TPE

SAQ B

SAQ B-IP




Autres

SAQ C-VT

SAQ D



329

79

160

80

41

191

22


SAQ C-VT – CRITÈRES D’ÉLIGIBILITÉ Télécharger le SAQ C-VT ici :

https://fr.pcisecuritystandards.org/documents/PCI-DSS-v3_2-SAQ-C_VT-rev1_1.docx


























Niveau 4



SAQ C-VT

79 exigences

50

DÉTERMINEZ LE « SAQ » ADAPTÉ À VOTRE ENVIRONNEMENT

Afin de déterminer le SAQ le plus adapté à votre environnement, vous pouvez utiliser le questionnaire en ligne développé par Galitt, accessible sur le lien ci-dessous : https://acces.galitt.com/survey/index.php/714366?lang=fr

https://acces.galitt.com/survey/index.php/714366?lang=fr




VULGARISATION

DE PCI DSS

5

52

1. MAÎTRISER LES FLUX RÉSEAUX ENTRANTS ET SORTANTS DE L’ENVIRONNEMENT

2. BLOQUER LES FLUX NON LÉGITIMES ET NON NÉCESSAIRES AU MÉTIER

3. METTRE EN PLACE UN SYSTÈME DE DEMANDE, TEST ET VALIDATION POUR TOUT CHANGEMENT DE CONFIGURATION DU RÉSEAU

CHAPITRE 1 PCI DSS

INTERLOCUTEURS TYPES :

• Administrateur réseaux (firewalls/router…)

• Administrateur Postes de Travail

53

1. METTRE EN PLACE UN PROCESSUS DE DURCISSEMENT (RENDRE ROBUSTE, RÉSISTANT) DE LA CONFIGURATION DES SYSTÈMES D’INFORMATION ET APPLICATIFS

2. DÉFINIR DES STANDARDS DE CONFIGURATION ET LES APPLIQUER

3. RÉDUIRE L’EXPOSITION DES SYSTÈMES AUX ATTAQUES CYBER

CHAPITRE 2 PCI DSS


• Responsables systèmes d’information

• Administrateurs d’applications et systèmes monétiques

54

1. PROTÉGER LES DONNÉES CARTE BANCAIRE STOCKÉES DE VOS CLIENTS CONTRE TOUTE ACTION MALVEILLANTE.

2. LES SUPPRIMER SI POSSIBLE

3. NE JAMAIS LES STOCKER EN CLAIR

4. LES DÉSENSIBILISER SI POSSIBLE – CONSERVER UNIQUEMENT LES 6 PREMIERS ET 4 DERNIERS CHIFFRES DU PAN, EX: 4974 82XX XXXX 1234

5. TOUJOURS LES MASQUER LORSQU’ELLES SONT AFFICHÉES SUR UN ÉCRAN (CF. RÈGLE CI-DESSUS)

6. SINON, UTILISER DES TECHNIQUES DE CHIFFREMENT OU HACHAGE FORMALISÉS

CHAPITRE 3 PCI DSS


• Responsable Monétique

• Administrateurs Base de données


55

1. SÉCURISER LES COMMUNICATIONS DE

DONNÉES CARTE SUR INTERNET ET

AU TRAVERS DE RÉSEAUX SANS FILS :

WI-FI, GSM (3G, 4G, GPRS), BLUETOOTH,

…

2. EVITER DE TRANSMETTRE DES DONNÉES

CARTE BANCAIRE VIA E-MAIL OU

MESSAGERIE INSTANTANÉE

CHAPITRE 4 PCI DSS


• Administrateur réseau (firewalls/router/wifi..)


• Responsable point de vente

56

1. DÉPLOYER DES LOGICIELS ANTIVIRUS SUR

TOUS VOS SYSTÈMES WINDOWS

2. ASSUREZ-VOUS QU’ILS SOIENT À JOUR ET

TOUJOURS ACTIFS

CHAPITRE 5 PCI DSS


• Responsable Postes de Travail et solution anti-malware/anti-virus


57

CHAPITRE 6 PCI DSS

1. EFFECTUER LA VEILLE DES VULNÉRABILITÉS IMPACTANT VOTRE ENVIRONNEMENT

2. APPLIQUER LES CORRECTIFS LOGICIELS DE SÉCURITÉ PERTINENTS RAPIDEMENT

3. MAÎTRISER LES CHANGEMENTS AU SEIN DE VOTRE ENVIRONNEMENT ET LEUR IMPACT SUR LA SÉCURITÉ

4. DÉVELOPPEMENT LOGICIEL : ADOPTER DES BONNES PRATIQUES DE CODAGE SÉCURISÉ AFIN DE RÉDUIRE LES VULNÉRABILITÉS APPLICATIVES


• Responsable Patch Management

• Responsable Gestion du Changement

• Responsable Développement Logiciel et Sécurité Applicative

58

CHAPITRE 7 PCI DSS

1. DÉFINIR CLAIREMENT LES RÔLES ET RESPONSABILITÉS AU SEIN DE VOTRE ENTREPRISE

2. DÉFINIR LES HABILITATIONS ASSOCIÉES AUX DIFFÉRENTS RÔLES MÉTIER ET APPLICATIFS

3. METTRE EN PLACE UN PROCESSUS FORMEL DE DEMANDE, VALIDATION ET AFFECTATION DES RÔLES AUX COLLABORATEURS ET PRESTATAIRES


• Responsable Contrôle d’Accès, Authentification, Gestion des annuaires (ex: Active Directory),…


59

CHAPITRE 8 PCI DSS

1. METTRE EN PLACE DES MÉCANISMES DE CONTRÔLE D’ACCÈS LOGIQUE ROBUSTES :

a) IDENTIFICATION

b) AUTHENTIFICATION SIMPLE

c) AUTHENTIFICATION FORTE POUR L’ACCÈS À DISTANCE (ADMINISTRATEURS)

d) RÉVOQUER L’ACCÈS AU DÉPART DES COLLABORATEURS

e) ADOPTER UNE POLITIQUE DE MOT DE PASSE ROBUSTE



• Responsable Sécurité des Systèmes d’Information "RSSI"

60

CHAPITRE 9 PCI DSS


• Responsables Sécurité physique (Datacenter, salles techniques, agences)



1. METTRE EN PLACE DES MÉCANISMES DE CONTRÔLE D’ACCÈS PHYSIQUE ROBUSTES :

a) IDENTIFICATION ET AUTHENTIFICATION (EX: PAR BADGE)

b) CONTRÔLE DES VISITEURS

c) IDENTIFIER ET SÉCURISER LES SUPPORTS-PAPIER ET ÉLECTRONIQUES CONTENANT DES DONNÉES CARTE BANCAIRE

d) VEILLEZ À LA SÉCURITÉ PHYSIQUE DES TERMINAUX DE PAIEMENT ÉLECTRONIQUE (ÉVITER LES TENTATIVES DE VOL ET SUBSTITUTION)

61

CHAPITRE 10 PCI DSS


• Administrateur réseau (firewalls/router…)


1. TRACER TOUS LES ACCÈS À L’ENVIRONNEMENT CARTE BANCAIRE

2. PERMETTRE UN INVESTIGATEUR DE REMONTER À LA CAUSE RACINE EN CAS D’INCIDENT DE SÉCURITÉ (INTRUSION, EXFILTRATION DE DONNÉES …)

3. SURVEILLER LES ACCÈS ET COMPORTEMENTS SUSPECTS

4. ALERTER LES ÉQUIPES SÉCURITÉ EN CAS DE DÉTECTION D’UNE ATTAQUE

62

CHAPITRE 11 PCI DSS


• Administrateur réseau



1. EFFECTUER DES TESTS DE SÉCURITÉ PÉRIODIQUEMENT:

a) SCANS DE VULNÉRABILITÉ INTERNES ET EXTERNES

b) TESTS D’INTRUSION INTERNES ET EXTERNES

c) TESTS DU CLOISONNEMENT DU RÉSEAU

2. METTRE EN PLACE DES SYSTÈMES DE DÉTECTION/PRÉVENTION D’INTRUSION

63

CHAPITRE 12 PCI DSS



1. METTE EN PLACE UN CADRE DE GOUVERNANCE DE LA SÉCURITÉ

2. PILOTER LES RISQUES ET LA CONFORMITÉ (PCI DSS, RÉGLEMENTATIONS …)

3. METTRE EN PLACE UNE POLITIQUE DE SÉCURITÉ, LA DIFFUSER ET ANIMER DES CAMPAGNES DE SENSIBILISATION À LA SÉCURITÉ

4. METTRE EN PLACE UN PROCESSUS DE GESTION ET DE RÉPONSE AUX INCIDENTS DE TYPE INTRUSION / COMPROMISSION DE DONNÉES CARTE

64

ÉTAPES À SUIVRE EN CAS DE COMPROMISSION

1

Empêchez la perte de données

supplémentaires en arrêtant le flux des

transactions via le canal impacté et les

faire passer par un autre canal sécurisé

2

Rapportez immédiatement l'incident à

votre banque acquéreur qui se charge

de relayer directement l’information

aux réseaux (Visa et MasterCard)

3

Engagez immédiatement un

professionnel d'investigation (PFI)

accrédité par le PCI SSC.

Une liste peut être trouvée sur le site

Web du PCI SSC :

www.pcisecuritystandards.org

4

Le PFI conduira une enquête minutieuse

concernant l'infraction de sécurité

soupçonnée ou confirmée. Cependant, il

est extrêmement important que

l'environnement compromis ne soit pas

touché pour préserver les preuves et

faciliter l'enquête.

Les entités qui sont sujettes à une compromission soupçonnée ou confirmée doivent réagir très rapidement pour contenir l'exposition de données de titulaire de carte et assurer la conformité selon la norme PCI DSS



La norme PCI DSS sert de référence aux conditions techniques et opérationnelles conçues pour protéger les données des titulaires de carte. Elle est articulée autour de 6 thèmes et 12 conditions :

Questions ?

ANNEXES

6



La norme PCI DSS sert de référence aux conditions techniques et opérationnelles conçues pour protéger les données des titulaires de carte. Elle est articulée autour de 6 thèmes et 12 conditions :


ANNEXE : LES MÉTHODES ‘REDIRECT’ ET ‘IFRAME’ (SAQ A)


ANNEXE : LES MÉTHODES ‘DIRECT POST’ ET ‘JAVASCRIPT’ (SAQ A-EP)


ANNEXE : LA MÉTHODE ‘API’ (XML, JSON, ETC) (SAQ D)


ANNEXE : TYPOLOGIE E-COMMERCE ET SAQ PCI DSS ASSOCIÉ

| www.galitt.fr

Janvier 2018

A PROPOS DE GALITT

https://www.linkedin.com/company/galitt

https://www.galitt.com/

http://fr.viadeo.com/fr/company/galitt


CHIFFRES CLÉS

260 experts des moyens de paiement Dont 180 consultants

Plus de 200 clients actifs

31,1 M€ de CA en 2017 Dont 10% à l’international

• Banques & PSPs

• Systèmes de paiement

• Organisations interbancaires

EXPERTISE ET INDÉPENDANCE CA PAR BUSINESS UNITS 5 BUSINESS UNITS

• Europe : 1 + Galitt

• Amérique du Nord : 2

• Amérique Latine : 4

• Asie Pacifique : 4

• Afrique & Moyen-Orient : Galitt

11 revendeurs à valeur ajoutée RÉSEAU MARCHÉS

• Industriels cartes et terminaux

• Commerce & Pétroliers

Payment Education

Payment Services

Payment Consulting

Payment Solutions

Testing Solutions

Société du groupe


5 BUSINESS UNITS SPÉCIALISÉES DANS LES SYSTÈMES DE PAIEMENT

Avec notre expertise, innovez et créez les paiements du futur

Avec notre savoir-faire, concevez des systèmes de paiement performants et innovants Avec nos solutions, opérez vos cartes (privatives,

pétrole…) et vos transactions électroniques de manière efficace et sécurisée

Avec nos formateurs, enrichissez vos connaissances de l’évolution des systèmes de paiement et des nouvelles technologies

Avec nos services et nos outils de test et de certification, validez la qualité et la conformité de vos systèmes de paiement


5 BUSINESS UNITS SPÉCIALISÉES DANS LES SYSTÈMES DE PAIEMENT

Les experts de Payment Consulting et leurs approches innovantes éclairent les choix stratégiques des décideurs

• Stratégie • Marketing • Veille • Études opérationnelles

• Expertise paiement • Audits • Sécurité

Les consultants de Payment Services assistent les clients dans la mise en œuvre de leurs projets de paiement

• Marketing opérationnel • Pré-étude et cadrage du besoin client • Rédaction du cahier des charges • Coordination, gestion de projet et PMO

• Conduite du changement • Déploiement • Organisation et processus • Support applicatif

Les équipes de Testing Solutions développent des logiciels de test et participent aux phases d’industrialisation des tests ou de certification des solutions

• Simulateurs : test des cartes, des applications mobiles, des terminaux, des serveurs acquéreur et d’autorisation, des réseaux et des passerelles, des fichiers

• Prestations : définition des stratégies de test, automatisation et industrialisation des tests, conception des plans de test et exécution des campagnes, pré-certification et certification des systèmes de paiement

Les solutions de Payment Solutions vous permettent d’opérer vos cartes (privatives, pétrole…) et vos transactions électroniques de manière efficace et sécurisée

• Cartes Privatives : gestion de cartes flotte et cartes carburant, gestion de la relation client

• Sécurité : réhabilitation des cartes physiques ou dématérialisées en agence, tokenisation, cryptographie

• Projets : architecture, spécifications fonctionnelles et techniques, développements embarqués, serveur et passerelles, TMA

Les formateurs de Payment Education relayent l’expertise et le métier de Galitt lors de séminaires

• Monétique, marketing des paiements, marché des cartes et flux en Europe, Instant Payment, DSP2

• EMV, nexo, paiement

• Innovations, Blockchain, sans contact, NFC, mobile, HCE, TSP

• Fraude, PCI, cryptographie


PARTENARIATS ET DISTRIBUTEURS

PARTENARIATS & PARTICIPATIONS

DISTRIBUTEURS

Espagne & Portugal

Corée

Chine

Canada Mexique Chine Japon Venezuela

Colombie & Pérou & Panama Etats-Unis Brésil


RÉFÉRENCES CLIENTS

http://www.gunnebosecurity.ch/index.html

Entreprises du Voyage face à PCI DSS - apst.travel©sentation... · CAS 2 Agent de voyage avec TPE...

Documents

Transcript of Entreprises du Voyage face à PCI DSS - apst.travel©sentation... · CAS 2 Agent de voyage avec TPE...