Cartes Afrique 2010Tunis

Fraude et sécuritéAu-delà du PCI-DSS classique !

Rappel

Les standards PCI sont : Une réponse rationnelle à un problème global Un standard global Un processus de bout en bout Largement reconnus comme raisonnables

Les standards PCI ne sont pas : Un faire-valoir pour les systèmes de paiement Une solution miracle universelle Un exercice La seule solution

Extrait de l’exposé de Monsieur Jean-Marc Bruneau, PDG de SPHERAGONE« Gestion des risques et de la sécurité : Les règles PCI-DSS »Cartes Afrique 2009

Les acteurs à sécuriser• PCI-DSS sécurise tous les maillons de la chaine :

– Les réseaux– Les banques– Les opérateurs– Les marchands

• Pour les réseaux, les banques et les opérateurs, lutter contre la fraude est une composante forte de leur métier.

• Pour les marchands, la sécurité des moyens de paiement électronique est une contrainte liée à ceux-ci.

Rappel Introduction

Principes

Rappel Introduction

Principes

La mise en œuvre d’une stratégie de sécurité globale demande l’application du PCI-DSS

à tous les niveaux,

chez chacun des acteurs,

notamment chez le personnalisateur

Rappel Introduction

Principes 3 niveaux

Fraude et SécuritéAu niveau de la personnalisation

Rappel Introduction 1er Niveau

Principes

Il convient donc d’analyser la chaîne de circulationet de production afin de :

C’est le niveau le mieux pris en compte

Corps de carte,Clés secrètes,Données Client,Rapports de production,Etc.

Le 1er niveau est lié à la concentration des donnéeset des objets sécurisés dansun minimum de mains

Le transport des corps des cartes

BUT QUI RESPONSABILITE ACTION

Sécuriser l’accès Personne A Transporteur Utiliser camion blindé

Partitionner Personne B Fournisseur carte Transporter la clé ou le code par un autre moyen

Vérifier Pers A + Pers B Transporteur + Fournisseur

Double signer un récépissé après avoir vérifier l’intégrité de l’emballage

Tracer Pers A + Pers B Transporteur + Fournisseur

Archiver le récépissé

Auditer Personne C Auditeur Contrôler le procédé suivi

Rappel Introduction 1er Niveau

Exemple 1

Réceptionner des corps de cartes

BUT QUI RESPONSABILITE ACTION

Sécuriser l’accès Personne A Transporteur Placer le camion dans un sas

Partitionner Personne B Centre de personnalisation

Ne pas avoir accès au sas

Vérifier Pers A + Pers B Transporteur + Centre de personnalisation

Double signer un récépissé après avoir vérifier l’intégrité de l’emballage

Tracer Pers A + Pers B Transporteur + Fournisseur

Archiver le récépissé

Auditer Personne C Auditeur Contrôler le procédé suivi

Rappel Introduction 1er Niveau

Exemple 2

La Direction de progrès ….

Rappel Introduction 1er Niveau

Direction de progrès

Rappel Introduction 1er Niveau 2eme Niveau

Principes

Le 2eme niveau de risque est lié à la motivation des personnes

MOTIVER ?

Ce niveau de risque est souvent sous estimé car il ne fait pas intervenir des personnes directement au contact des objets ou de données à sécuriser

ResponsabiliserDévelopper le sens

de la sécurité.

Eviter la routine

Finance (blocage des commandes de réparation, choix des fournisseurs intervenants)

Services généraux (archivage sécurisé, introduction de personnes étrangères, court-circuitage des procédures pour des tâches courtes et répétitives)

Ressources humaines (choix des candidats, formations continues, motivation, primes à la sécurité, importance du gardiennage)

Bâtiments (entretien des accès et des sas, entretien des portiers de contrôle d'accès, entretien des caméras)

Une porte sous contrôle d’accès ne ferme plus : que faire ?

BUT QUI ACTION

Alerter Sécurité Transmettre l’information aux bonnes personnes

Tracer Tous Remplir un formulaire de risque

Protéger Ressources Humaines Placer un gardien devant la porte

Approvisionner Finance Acheter une serrure

Réparer Bâtiments Changer la serrure

Rappel Introduction 1er Niveau 2eme Niveau

Exemple

Une porte sous contrôle d’accès ne ferme plus

Sommaire Introduction 1er Niveau 2eme Niveau

Bonnes pratiques

Une personne doit passer d’une zone à une autre

Une personne est présente de manière répétitive

Organiser périodiquement des séminaires de formations

Auditer périodiquement le

niveau de connaissance Tester en permanence

les motivations

Limiter la routine

Mettre en place des outils de motivation

……

Sommaire Introduction 1er Niveau 2eme Niveau

Direction de progrès

Ce niveau est lié à la volonté de nuire

Ce niveau est rare mais dangereux car tout est fait pour que le risque n’apparaisse pas

Rappel Introduction 1er Niveau 2eme Niveau 3eme Niveau

Principes

Objectifs à atteindre

Rappel Introduction 1er Niveau 2eme Niveau 3eme Niveau

Direction de progrès

Maintenir un bon climat social et être à l’écoute des problèmes du personnel

Investiguer périodiquement l’environnement extérieur des employés

Valoriser le risque judiciaire et la faible probabilité de réussite

Rappel Introduction 1er Niveau 2eme Niveau 3eme Niveau Débat

Une offre technologique complète et intégrée pour vous accompagner

MERCI DE VOTRE ATTENTIONFahd MEKOUARfahd@finatech.com+212 661 159 923

www.finatech.com