| www.galitt.com
Entreprises du Voyage face à PCI DSS Comment répondre à la demande de l’IATA
15/02/2018
2 © Copyright Galitt
CONTACTS
Safa GHIDHAOUI PCI Community Manager Gal i t t Payment Consult ing
Bruno KOVACS Pract ice Manager Gal i t t Payment Security
b.kovacs@gal it t .com
+33 1 77 70 28 12 +33 6 59 56 06 58
17 route de la Reine 92100 Boulogne -Bi l lancourt
s .ghidhaoui@gal it t .com
+33 1 77 70 28 76 +33 6 13 95 56 02
3 © Copyright Galitt
SOMMAIRE
1. Contexte
2. Introduction à PCI DSS
3. Démarche de certification & qualification des commerçants
4. Exemples et cas pratiques
5. Vulgarisation de PCI DSS
6. Questions & Réponses
7. A propos de Galitt
CONTEXTE
1
5 © Copyright Galitt
Des échéances concrètes
CONTEXTE
ASSOCIATION INTERNATIONALE DU TRANSPORT AÉRIEN
RÉSEAUX CARTES INTERNATIONAUX
l’IATA impose la certification PCI DSS à tous ses membres : • Compagnies aériennes,
• Entreprises sous-traitantes et partenaires, agences de voyages
• Les agences de voyages accréditées dont la certification est exigée pour la certification de la compagnie aérienne elle-même.
L’échéance est fixée au 1er mars 2018 (déjà repoussée depuis juin 2017).
Les réseaux de cartes bancaires internationaux exigent l’application de la norme PCI DSS à tous les acteurs du paiement par carte afin de:
• limiter la fraude via la compromission massive de données,
• définir une approche commune dans l’application des règles de sécurité.
La mise en œuvre de PCI DSS auprès des commerçants est assurée par les banques membres de ces réseaux.
6 © Copyright Galitt
Des échéances concrètes
CONTEXTE
LE RÈGLEMENT EUROPÉEN 2016/679
SUR LA PROTECTION DES DONNÉES PERSONNELLES
Le règlement européen 2016/679 sur la protection des données personnelles, General Data Protection Regulation (GDPR), entre en vigueur le 25 mai 2018 :
Les données personnelles sensibles couvertes par le standard PCI DSS font partie du périmètre de la GDPR
Le non-respect du règlement européen expose à des pénalités pouvant aller jusqu’à 4% du chiffre d’affaires mondial plafonné à 20M€, en cas de compromission
Arrêt des systèmes d’information jusqu’à la mise en conformité
La mise en conformité à PCI DSS permet de contribuer fortement au respect de ce nouveau règlement en capitalisant sur les investissements consentis
7 © Copyright Galitt
Les risques encourus
CONTEXTE
1. Le retrait, à partir du 1er mars 2018, de l’accréditation IATA des agences de voyages non certifiées PCI DSS leur interdisant ainsi l’utilisation du code commerçant de la compagnie aérienne ce qui entraîne: • Une augmentation du tarif des transactions carte (prise en charge des commissions) • Une dépréciation d’image auprès des compagnies aériennes et auprès des clients professionnels et
grand public
2. Un risque juridique pour la non-protection des données personnelles • Un risque financier en cas d’infraction à la nouvelle réglementation européenne sur la protection des
données personnelles (GDPR) applicable à partir du 25 Mai 2018 Pénalités de 4% du chiffre d’affaires du commerçant appliqué en cas d’une infraction avérée.
3. Ceci s’ajoutant aux inconvénients bancaires de l’absence de conformité à PCI DSS :
• Des pénalités réclamées par la banque, aggravées en cas de compromission
Le non-respect de l’exigence de certification PCI DSS imposée par l’IATA a les conséquences suivantes:
INTRODUCTION À
PCI DSS
2
9 © Copyright Galitt
Origine de la norme
PCI DSS
L’organisation a élaboré un ensemble de standards à destination des acteurs de l’industrie du paiement par carte dans le but de :
Limiter la fraude par compromission massive de données du titulaire et/ou des données d’authentification; et
Définir une approche commune et un ensemble de règles adopté par les principaux réseaux et basé sur les programmes de protection existants.
Le PCI SSC est un organisme créé en 2006 à l’initiative de 5 réseaux cartes internationaux.
Présentation PCI SSC
(Payment Card Industry Security Standards Council)
10 © Copyright Galitt
Données concernées
LA NORME PCI DSS
• Les données du porteur et les données d’authentification sensibles sont définies comme suit :
Données d’identification du porteur : Données d'authentification sensibles :
Le PAN
Le nom du porteur de la carte
La date d’expiration
Le code service
Les données de piste magnétique complète ou leur équivalent sur une puce
Le CAV2/CVC2/CVV2/CID (achat en VAD)
PIN Block et PIN
PAN
Nom du porteur de la carte Date d’expiration
Piste magnétique (piste 1 et 2)
123
L’équivalent des données piste magnétique est également stocké dans la puce
Cryptogramme visuel (CAV2/CVC2/CVV2/CID)
11 © Copyright Galitt
EXIGENCES DE LA NORME PCI DSS
La norme PCI DSS contient plus de 400 points de contrôle et est articulée autour de 6 thèmes principaux :
1. Création et gestion d’un réseau et d’un système sécurisés
2. Protection des données carte stockées
3. Gestion d’un programme de gestion des vulnérabilités
4. Mise en œuvre de mesures de contrôle d’accès (physique et logique) strictes
5. Surveillance et tests réguliers de sécurité de l’environnement
6. Gouvernance, gestion d’une politique de sécurité et gestion des risques cyber
DÉMARCHE DE MISE EN
CONFORMITÉ
3
13 © Copyright Galitt
Évaluation initiale et renouvellement
DÉMARCHE DE MISE EN CONFORMITÉ
I. Qualification de la typologie du commerçant
1. Déterminer le profil commerçant selon la volumétrie annuelle des transactions et les canaux d’acceptation
2. Choix du questionnaire d’évaluation PCI DSS adapté au profil commerçant et à son infrastructure technique
• Cadrage du périmètre • Analyse des écarts • Collecte de preuves • Plan d’actions
II. Réalisation de l’auto-évaluation
1 an
III. Certification
• Remplissage du questionnaire d’auto-évaluation adapté
• Rédaction de l’attestation de conformité PCI DSS (AOC) : document à communiquer aux différents partenaires (ex: IATA) et à la banque acquéreur
IV. Renouvellement
• La certification PCI DSS doit être renouvelée tous les ans.
• Le processus de renouvellement est plus léger que la démarche initiale d’évaluation s’il n’y a pas de changements majeurs dans l’infrastructure du commerçant.
14 © Copyright Galitt
Exemple : SAQ
MODÈLE DE QUESTIONNAIRE D’AUTO-ÉVALUATION PCI DSS (SAQ)
15 © Copyright Galitt
Exemple: AOC
MODÈLE D’ATTESTATION DE CONFORMITÉ PCI DSS (AOC)
16 © Copyright Galitt
CLASSIFICATION DES COMMERÇANTS EN FONCTION DU NOMBRE DE TRANSACTIONS
Le niveau commerçant est déterminé en fonction du volume de transactions par schème (ex: 7 millions Visa = N1, 4 millions MasterCard = N2).
Acceptation de plus de 6 millions de transactions annuelles
NIVEAU 1
Acceptation de 1 à 6 millions de transactions annuelles
Acceptation de 20.000 à 1 million de transactions annuelles par e-commerce
Tous les autres commerçants dont e-commerce
NIVEAU 2 NIVEAU 3 NIVEAU 4
Audit annuel par un QSA ou auditeur interne agréé par le PCI-SSC
Questionnaire annuel d’auto-évaluation
Questionnaire annuel d'auto-évaluation
Questionnaire annuel d'auto-évaluation
17 © Copyright Galitt
E-commerce
LISTE DES QUESTIONNAIRES D’AUTO-ÉVALUATION PCI DSS (SAQ)
SAQ A
SAQ A-EP
Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ )
Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’
Proximité ou VAD sur TPE
SAQ B
SAQ B-IP
TPE autonome connecté à une ligne téléphonique
TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..)
SAQ C TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet
Autres
SAQ C-VT
SAQ D
Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI
Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous format électronique
329
79
160
80
41
191
22
EXEMPLES ET
CAS PRATIQUES
4
CAS 1 Agent de voyage avec TPE raccordé au réseau téléphonique commuté (RTC)
20 © Copyright Galitt
PREMIER CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ AU RÉSEAU TÉLÉPHONIQUE COMMUTÉ (RTC)
Niveau commerçant 1
Commerçant réalisant 12000 transactions VISA ou MASTERCARD par an
21 © Copyright Galitt
COMMERÇANT RÉALISANT 12000 TRANSACTIONS VISA OU MASTERCARD PAR AN
Acceptation de plus de 6 millions de transactions annuelles
NIVEAU 1
Acceptation de 1 à 6 millions de transactions annuelles
Acceptation de 20.000 à 1 million de transactions annuelles par e-commerce
Tous les autres commerçants dont e-commerce
NIVEAU 2 NIVEAU 3 NIVEAU 4
Audit annuel par un QSA ou auditeur interne agréé par le PCI-SSC
Questionnaire annuel d’auto-évaluation
Questionnaire annuel d'auto-évaluation
Questionnaire annuel d'auto-évaluation
22 © Copyright Galitt
PREMIER CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ AU RÉSEAU TÉLÉPHONIQUE COMMUTÉ (RTC)
Niveau commerçant 1
Commerçant réalisant 12000 transactions VISA ou MASTERCARD par an
Niveau 4
• Questionnaire d'auto-évaluation annuel
Type de questionnaire 2
23 © Copyright Galitt
LISTE DES QUESTIONNAIRES PCI DSS (SAQ)
E-commerce
SAQ A
SAQ A-EP
Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ )
Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’
Proximité ou VAD sur TPE
SAQ B
SAQ B-IP
TPE autonome connecté à une ligne téléphonique
TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..)
SAQ C TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet
Autres
SAQ C-VT
SAQ D
Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI
Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous format électronique
329
79
160
80
41
191
22
24 © Copyright Galitt
SAQ B – CRITÈRES D’ÉLIGIBILITÉ Télécharger le SAQ B ici : https://fr.pcisecuritystandards.org/documents/PCI-DSS-v3_2-
SAQ-B-rev1_1.docx
25 © Copyright Galitt
PREMIER CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ AU RÉSEAU TÉLÉPHONIQUE COMMUTÉ (RTC)
Niveau commerçant 1
Commerçant réalisant 12000 transactions VISA ou MASTERCARD par an
Niveau 4
• Questionnaire d'auto-évaluation annuel
SAQ B
41 exigences
Type de questionnaire 2
CAS 2 Agent de voyage avec TPE raccordé à
un réseau IP en agence (client présent lors du paiement ou saisie des CHD
sur clavier par l’opérateur de l’agence)
27 © Copyright Galitt
DEUXIÈME CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ À UN RÉSEAU IP EN AGENCE (CLIENT PRÉSENT LORS DU PAIEMENT OU SAISIE DES CHD SUR CLAVIER PAR L’OPÉRATEUR DE L’AGENCE)
Niveau commerçant 1
Commerçant réalisant 50 000 transactions VISA ou MASTERCARD par an
28 © Copyright Galitt
PROFIL : COMMERÇANT RÉALISANT 50 000 TRANSACTIONS VISA OU MASTERCARD PAR AN
Acceptation de plus de 6 millions de transactions annuelles
NIVEAU 1
Acceptation de 1 à 6 millions de transactions annuelles
Acceptation de 20.000 à 1 million de transactions annuelles par e-commerce
Tous les autres commerçants dont e-commerce
NIVEAU 2 NIVEAU 3 NIVEAU 4
Audit annuel par un QSA ou auditeur interne agréé par le PCI-SSC
Questionnaire annuel d’auto-évaluation
Questionnaire annuel d'auto-évaluation
Questionnaire annuel d'auto-évaluation
29 © Copyright Galitt
DEUXIÈME CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ À UN RÉSEAU IP EN AGENCE (CLIENT PRÉSENT LORS DU PAIEMENT OU SAISIE DES CHD SUR CLAVIER PAR L’OPÉRATEUR DE L’AGENCE)
Niveau commerçant 1
Commerçant réalisant 50000 transactions VISA ou MASTERCARD par an
Niveau 4
• Questionnaire d'auto-évaluation annuel
• Scan réseau trimestriel par un ASV
Type de questionnaire 2
30 © Copyright Galitt
LISTE DES QUESTIONNAIRES PCI DSS (SAQ)
E-commerce
SAQ A
SAQ A-EP
Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ )
Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’
Proximité ou VAD sur TPE
SAQ B
SAQ B-IP
TPE autonome connecté à une ligne téléphonique
TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..)
SAQ C TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet
Autres
SAQ C-VT
SAQ D
Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI
Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous format électronique
329
79
160
80
41
191
22
31 © Copyright Galitt
SAQ B-IP – CRITÈRES D’ÉLIGIBILITÉ
Lien pour vérifier le matériel utilisé : https://www.pcisecuritystandards.org/assessors_and_solutions/pin_transac
tion_devices
Télécharger le SAQ B-IP ici : https://fr.pcisecuritystandards.org/doc
uments/PCI-DSS-v3_2-SAQ-B_IP-rev1_1.docx
32 © Copyright Galitt
DEUXIÈME CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ À UN RÉSEAU IP EN AGENCE (CLIENT PRÉSENT LORS DU PAIEMENT OU SAISIE DES CHD SUR CLAVIER PAR L’OPÉRATEUR DE L’AGENCE)
Niveau commerçant 1
Commerçant réalisant 50000 transactions VISA ou MASTERCARD par an
Type de questionnaire 2
Niveau 4
• Questionnaire d'auto-évaluation annuel
• Scan réseau trimestriel par un ASV
SAQ B-IP
80 exigences
CAS 3 Agent de voyage avec site E-commerce
34 © Copyright Galitt
CAS N°3 : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT
Niveau commerçant 1
Commerçant réalisant 25000 transactions E-commerce VISA ou MASTERCARD par an
35 © Copyright Galitt
PROFIL : COMMERÇANT RÉALISANT 25000 TRANSACTIONS VISA OU MASTERCARD PAR AN
Acceptation de plus de 6 millions de transactions annuelles
NIVEAU 1
Acceptation de 1 à 6 millions de transactions annuelles
Acceptation de 20.000 à 1 million de transactions annuelles par e-commerce
Tous les autres commerçants dont e-commerce
NIVEAU 2 NIVEAU 3 NIVEAU 4
Audit annuel par un QSA ou auditeur interne agréé par le PCI-SSC
Questionnaire annuel d’auto-évaluation
Questionnaire annuel d'auto-évaluation
Questionnaire annuel d'auto-évaluation
36 © Copyright Galitt
TROISIÈME CAS : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT
Niveau commerçant 1
Commerçant réalisant 25000 transactions VISA ou MASTERCARD par an
Niveau 3
• Questionnaire d'auto-évaluation annuel
• Scan de vulnérabilité réseau trimestriel par un ASV, et après toute modification significative des réseaux
Type de questionnaire : hypothèse 1 2
HYPOTHÈSE 1 : page de paiement externalisée auprès d’un PSP certifié PCI DSS (redirection IFRAME)
37 © Copyright Galitt
LISTE DES QUESTIONNAIRES PCI DSS (SAQ)
E-commerce
SAQ A
SAQ A-EP
Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ )
Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’
Proximité ou VAD sur TPE
SAQ B
SAQ B-IP
TPE autonome connecté à une ligne téléphonique
TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..)
SAQ C TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet
Autres
SAQ C-VT
SAQ D
Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI
Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous format électronique
329
79
160
80
41
191
22
38 © Copyright Galitt
SAQ A– CRITÈRES D’ÉLIGIBILITÉ Télécharger le SAQ A ici :
https://fr.pcisecuritystandards.org/documents/PCI-DSS-v3_2-SAQ-A-
rev1_1.docx
39 © Copyright Galitt
TROISIÈME CAS : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT
Niveau commerçant 1
Commerçant réalisant 25000 transactions VISA ou MASTERCARD par an
Niveau 3
• Questionnaire d'auto-évaluation annuel
• Scan de vulnérabilité réseau trimestriel par un ASV, et après toute modification significative des réseaux
Type de questionnaire : hypothèse 1 2
SAQ A 22 exigences
HYPOTHÈSE 1 : page de paiement externalisée auprès d’un PSP certifié PCI DSS (redirection IFRAME)
40 © Copyright Galitt
TROISIÈME CAS : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT
Niveau commerçant 1
Commerçant réalisant 25000 transactions VISA ou MASTERCARD par an
Niveau 3
• Questionnaire d'auto-évaluation annuel
• Scan de vulnérabilité réseau trimestriel par un ASV, et après toute modification significative des réseaux
Type de questionnaire : hypothèse 2 2
HYPOTHÈSE 2 : site Web du marchant véhicule les données carte vers le PSP
41 © Copyright Galitt
LISTE DES QUESTIONNAIRES PCI DSS (SAQ)
E-commerce
SAQ A
SAQ A-EP
Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ )
Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’
Proximité ou VAD sur TPE
SAQ B
SAQ B-IP
TPE autonome connecté à une ligne téléphonique
TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..)
SAQ C TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet
Autres
SAQ C-VT
SAQ D
Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI
Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous format électronique
329
79
160
80
41
191
22
42 © Copyright Galitt
TROISIÈME CAS : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT
Niveau commerçant 1
Commerçant réalisant 25000 transactions VISA ou MASTERCARD par an
Niveau 3
• Questionnaire d'auto-évaluation annuel
• Scan de vulnérabilité réseau trimestriel par un ASV, et après toute modification significative des réseaux
Type de questionnaire : hypothèse 2 2
HYPOTHÈSE 2 : le site Web du marchant véhicule les données carte vers le PSP
SAQ D 329 exigences
CAS 4
Call center
44 © Copyright Galitt
QUATRIÈME CAS : AGENT DE VOYAGE AVEC UN CALL CENTER TRAITANT LES TRANSACTIONS DE PAIEMENT VIA UN FORMULAIRE EN LIGNE
Niveau commerçant 1
Commerçant réalisant 12000 transactions VISA ou MASTERCARD par an
45 © Copyright Galitt
PROFIL : COMMERÇANT RÉALISANT 12000 TRANSACTIONS VISA OU MASTERCARD PAR AN
Acceptation de plus de 6 millions de transactions annuelles
NIVEAU 1
Acceptation de 1 à 6 millions de transactions annuelles
Acceptation de 20.000 à 1 million de transactions annuelles par e-commerce
Tous les autres commerçants dont e-commerce
NIVEAU 2 NIVEAU 3 NIVEAU 4
Audit annuel par un QSA ou auditeur interne agréé par le PCI-SSC
Questionnaire annuel d’auto-évaluation
Questionnaire annuel d'auto-évaluation
Questionnaire annuel d'auto-évaluation
46 © Copyright Galitt
QUATRIÈME CAS : AGENT DE VOYAGE AVEC UN CALL CENTER TRAITANT LES TRANSACTIONS DE PAIEMENT VIA UN FORMULAIRE EN LIGNE
Niveau commerçant 1
Commerçant réalisant 12000 transactions VISA ou MASTERCARD par an
Niveau 4
• Questionnaire d'auto-évaluation annuel
Type de questionnaire 2
47 © Copyright Galitt
LISTE DES QUESTIONNAIRES PCI DSS (SAQ)
E-commerce
SAQ A
SAQ A-EP
Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ )
Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’
TPE
SAQ B
SAQ B-IP
TPE autonome connecté à une ligne téléphonique
TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..)
SAQ C TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet
Autres
SAQ C-VT
SAQ D
Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI
Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous format électronique
329
79
160
80
41
191
22
48 © Copyright Galitt
SAQ C-VT – CRITÈRES D’ÉLIGIBILITÉ Télécharger le SAQ C-VT ici :
https://fr.pcisecuritystandards.org/documents/PCI-DSS-v3_2-SAQ-C_VT-rev1_1.docx
49 © Copyright Galitt
QUATRIÈME CAS : AGENT DE VOYAGE AVEC UN CALL CENTER TRAITANT LES TRANSACTIONS DE PAIEMENT VIA UN FORMULAIRE EN LIGNE
Niveau commerçant 1
Commerçant réalisant 12000 transactions VISA ou MASTERCARD par an
Type de questionnaire 2
Niveau 4
• Questionnaire d'auto-évaluation annuel
• Scan réseau trimestriel par un ASV
SAQ C-VT
79 exigences
50
DÉTERMINEZ LE « SAQ » ADAPTÉ À VOTRE ENVIRONNEMENT
Afin de déterminer le SAQ le plus adapté à votre environnement, vous pouvez utiliser le questionnaire en ligne développé par Galitt, accessible sur le lien ci-dessous : https://acces.galitt.com/survey/index.php/714366?lang=fr
VULGARISATION
DE PCI DSS
5
52
1. MAÎTRISER LES FLUX RÉSEAUX ENTRANTS ET SORTANTS DE L’ENVIRONNEMENT
2. BLOQUER LES FLUX NON LÉGITIMES ET NON NÉCESSAIRES AU MÉTIER
3. METTRE EN PLACE UN SYSTÈME DE DEMANDE, TEST ET VALIDATION POUR TOUT CHANGEMENT DE CONFIGURATION DU RÉSEAU
CHAPITRE 1 PCI DSS
INTERLOCUTEURS TYPES :
• Administrateur réseaux (firewalls/router…)
• Administrateur Postes de Travail
53
1. METTRE EN PLACE UN PROCESSUS DE DURCISSEMENT (RENDRE ROBUSTE, RÉSISTANT) DE LA CONFIGURATION DES SYSTÈMES D’INFORMATION ET APPLICATIFS
2. DÉFINIR DES STANDARDS DE CONFIGURATION ET LES APPLIQUER
3. RÉDUIRE L’EXPOSITION DES SYSTÈMES AUX ATTAQUES CYBER
CHAPITRE 2 PCI DSS
INTERLOCUTEURS TYPES :
• Responsables systèmes d’information
• Administrateurs d’applications et systèmes monétiques
54
1. PROTÉGER LES DONNÉES CARTE BANCAIRE STOCKÉES DE VOS CLIENTS CONTRE TOUTE ACTION MALVEILLANTE.
2. LES SUPPRIMER SI POSSIBLE
3. NE JAMAIS LES STOCKER EN CLAIR
4. LES DÉSENSIBILISER SI POSSIBLE – CONSERVER UNIQUEMENT LES 6 PREMIERS ET 4 DERNIERS CHIFFRES DU PAN, EX: 4974 82XX XXXX 1234
5. TOUJOURS LES MASQUER LORSQU’ELLES SONT AFFICHÉES SUR UN ÉCRAN (CF. RÈGLE CI-DESSUS)
6. SINON, UTILISER DES TECHNIQUES DE CHIFFREMENT OU HACHAGE FORMALISÉS
CHAPITRE 3 PCI DSS
INTERLOCUTEURS TYPES :
• Responsable Monétique
• Administrateurs Base de données
• Administrateurs d’applications et systèmes monétiques
55
1. SÉCURISER LES COMMUNICATIONS DE
DONNÉES CARTE SUR INTERNET ET
AU TRAVERS DE RÉSEAUX SANS FILS :
WI-FI, GSM (3G, 4G, GPRS), BLUETOOTH,
…
2. EVITER DE TRANSMETTRE DES DONNÉES
CARTE BANCAIRE VIA E-MAIL OU
MESSAGERIE INSTANTANÉE
CHAPITRE 4 PCI DSS
INTERLOCUTEURS TYPES :
• Administrateur réseau (firewalls/router/wifi..)
• Administrateurs d’applications et systèmes monétiques
• Responsable point de vente
56
1. DÉPLOYER DES LOGICIELS ANTIVIRUS SUR
TOUS VOS SYSTÈMES WINDOWS
2. ASSUREZ-VOUS QU’ILS SOIENT À JOUR ET
TOUJOURS ACTIFS
CHAPITRE 5 PCI DSS
INTERLOCUTEURS TYPES :
• Responsable Postes de Travail et solution anti-malware/anti-virus
• Administrateurs d’applications et systèmes monétiques
57
CHAPITRE 6 PCI DSS
1. EFFECTUER LA VEILLE DES VULNÉRABILITÉS IMPACTANT VOTRE ENVIRONNEMENT
2. APPLIQUER LES CORRECTIFS LOGICIELS DE SÉCURITÉ PERTINENTS RAPIDEMENT
3. MAÎTRISER LES CHANGEMENTS AU SEIN DE VOTRE ENVIRONNEMENT ET LEUR IMPACT SUR LA SÉCURITÉ
4. DÉVELOPPEMENT LOGICIEL : ADOPTER DES BONNES PRATIQUES DE CODAGE SÉCURISÉ AFIN DE RÉDUIRE LES VULNÉRABILITÉS APPLICATIVES
INTERLOCUTEURS TYPES :
• Responsable Patch Management
• Responsable Gestion du Changement
• Responsable Développement Logiciel et Sécurité Applicative
58
CHAPITRE 7 PCI DSS
1. DÉFINIR CLAIREMENT LES RÔLES ET RESPONSABILITÉS AU SEIN DE VOTRE ENTREPRISE
2. DÉFINIR LES HABILITATIONS ASSOCIÉES AUX DIFFÉRENTS RÔLES MÉTIER ET APPLICATIFS
3. METTRE EN PLACE UN PROCESSUS FORMEL DE DEMANDE, VALIDATION ET AFFECTATION DES RÔLES AUX COLLABORATEURS ET PRESTATAIRES
INTERLOCUTEURS TYPES :
• Responsable Contrôle d’Accès, Authentification, Gestion des annuaires (ex: Active Directory),…
• Responsable point de vente
59
CHAPITRE 8 PCI DSS
1. METTRE EN PLACE DES MÉCANISMES DE CONTRÔLE D’ACCÈS LOGIQUE ROBUSTES :
a) IDENTIFICATION
b) AUTHENTIFICATION SIMPLE
c) AUTHENTIFICATION FORTE POUR L’ACCÈS À DISTANCE (ADMINISTRATEURS)
d) RÉVOQUER L’ACCÈS AU DÉPART DES COLLABORATEURS
e) ADOPTER UNE POLITIQUE DE MOT DE PASSE ROBUSTE
INTERLOCUTEURS TYPES :
• Administrateurs d’applications et systèmes monétiques
• Responsable Sécurité des Systèmes d’Information "RSSI"
60
CHAPITRE 9 PCI DSS
INTERLOCUTEURS TYPES :
• Responsables Sécurité physique (Datacenter, salles techniques, agences)
• Responsable point de vente
• Responsable Sécurité des Systèmes d’Information "RSSI"
1. METTRE EN PLACE DES MÉCANISMES DE CONTRÔLE D’ACCÈS PHYSIQUE ROBUSTES :
a) IDENTIFICATION ET AUTHENTIFICATION (EX: PAR BADGE)
b) CONTRÔLE DES VISITEURS
c) IDENTIFIER ET SÉCURISER LES SUPPORTS-PAPIER ET ÉLECTRONIQUES CONTENANT DES DONNÉES CARTE BANCAIRE
d) VEILLEZ À LA SÉCURITÉ PHYSIQUE DES TERMINAUX DE PAIEMENT ÉLECTRONIQUE (ÉVITER LES TENTATIVES DE VOL ET SUBSTITUTION)
61
CHAPITRE 10 PCI DSS
INTERLOCUTEURS TYPES :
• Administrateur réseau (firewalls/router…)
• Administrateurs d’applications et systèmes monétiques
1. TRACER TOUS LES ACCÈS À L’ENVIRONNEMENT CARTE BANCAIRE
2. PERMETTRE UN INVESTIGATEUR DE REMONTER À LA CAUSE RACINE EN CAS D’INCIDENT DE SÉCURITÉ (INTRUSION, EXFILTRATION DE DONNÉES …)
3. SURVEILLER LES ACCÈS ET COMPORTEMENTS SUSPECTS
4. ALERTER LES ÉQUIPES SÉCURITÉ EN CAS DE DÉTECTION D’UNE ATTAQUE
62
CHAPITRE 11 PCI DSS
INTERLOCUTEURS TYPES :
• Administrateur réseau
• Administrateurs d’applications et systèmes monétiques
• Responsable Sécurité des Systèmes d’Information "RSSI"
1. EFFECTUER DES TESTS DE SÉCURITÉ PÉRIODIQUEMENT:
a) SCANS DE VULNÉRABILITÉ INTERNES ET EXTERNES
b) TESTS D’INTRUSION INTERNES ET EXTERNES
c) TESTS DU CLOISONNEMENT DU RÉSEAU
2. METTRE EN PLACE DES SYSTÈMES DE DÉTECTION/PRÉVENTION D’INTRUSION
63
CHAPITRE 12 PCI DSS
INTERLOCUTEURS TYPES :
• Responsable Sécurité des Systèmes d’Information "RSSI"
1. METTE EN PLACE UN CADRE DE GOUVERNANCE DE LA SÉCURITÉ
2. PILOTER LES RISQUES ET LA CONFORMITÉ (PCI DSS, RÉGLEMENTATIONS …)
3. METTRE EN PLACE UNE POLITIQUE DE SÉCURITÉ, LA DIFFUSER ET ANIMER DES CAMPAGNES DE SENSIBILISATION À LA SÉCURITÉ
4. METTRE EN PLACE UN PROCESSUS DE GESTION ET DE RÉPONSE AUX INCIDENTS DE TYPE INTRUSION / COMPROMISSION DE DONNÉES CARTE
64
ÉTAPES À SUIVRE EN CAS DE COMPROMISSION
1
Empêchez la perte de données
supplémentaires en arrêtant le flux des
transactions via le canal impacté et les
faire passer par un autre canal sécurisé
2
Rapportez immédiatement l'incident à
votre banque acquéreur qui se charge
de relayer directement l’information
aux réseaux (Visa et MasterCard)
3
Engagez immédiatement un
professionnel d'investigation (PFI)
accrédité par le PCI SSC.
Une liste peut être trouvée sur le site
Web du PCI SSC :
www.pcisecuritystandards.org
4
Le PFI conduira une enquête minutieuse
concernant l'infraction de sécurité
soupçonnée ou confirmée. Cependant, il
est extrêmement important que
l'environnement compromis ne soit pas
touché pour préserver les preuves et
faciliter l'enquête.
Les entités qui sont sujettes à une compromission soupçonnée ou confirmée doivent réagir très rapidement pour contenir l'exposition de données de titulaire de carte et assurer la conformité selon la norme PCI DSS
65 © Copyright Galitt
EXIGENCES DE LA NORME PCI DSS
La norme PCI DSS sert de référence aux conditions techniques et opérationnelles conçues pour protéger les données des titulaires de carte. Elle est articulée autour de 6 thèmes et 12 conditions :
Questions ?
ANNEXES
6
68 © Copyright Galitt
EXIGENCES DE LA NORME PCI DSS
La norme PCI DSS sert de référence aux conditions techniques et opérationnelles conçues pour protéger les données des titulaires de carte. Elle est articulée autour de 6 thèmes et 12 conditions :
69 © Copyright Galitt
ANNEXE : LES MÉTHODES ‘REDIRECT’ ET ‘IFRAME’ (SAQ A)
70 © Copyright Galitt
ANNEXE : LES MÉTHODES ‘DIRECT POST’ ET ‘JAVASCRIPT’ (SAQ A-EP)
71 © Copyright Galitt
ANNEXE : LA MÉTHODE ‘API’ (XML, JSON, ETC) (SAQ D)
72 © Copyright Galitt
ANNEXE : TYPOLOGIE E-COMMERCE ET SAQ PCI DSS ASSOCIÉ
| www.galitt.fr
Janvier 2018
A PROPOS DE GALITT
74 © Copyright Galitt
CHIFFRES CLÉS
260 experts des moyens de paiement Dont 180 consultants
Plus de 200 clients actifs
31,1 M€ de CA en 2017 Dont 10% à l’international
• Banques & PSPs
• Systèmes de paiement
• Organisations interbancaires
EXPERTISE ET INDÉPENDANCE CA PAR BUSINESS UNITS 5 BUSINESS UNITS
• Europe : 1 + Galitt
• Amérique du Nord : 2
• Amérique Latine : 4
• Asie Pacifique : 4
• Afrique & Moyen-Orient : Galitt
11 revendeurs à valeur ajoutée RÉSEAU MARCHÉS
• Industriels cartes et terminaux
• Commerce & Pétroliers
Payment Education
Payment Services
Payment Consulting
Payment Solutions
Testing Solutions
Société du groupe
75 © Copyright Galitt
5 BUSINESS UNITS SPÉCIALISÉES DANS LES SYSTÈMES DE PAIEMENT
Avec notre expertise, innovez et créez les paiements du futur
Avec notre savoir-faire, concevez des systèmes de paiement performants et innovants Avec nos solutions, opérez vos cartes (privatives,
pétrole…) et vos transactions électroniques de manière efficace et sécurisée
Avec nos formateurs, enrichissez vos connaissances de l’évolution des systèmes de paiement et des nouvelles technologies
Avec nos services et nos outils de test et de certification, validez la qualité et la conformité de vos systèmes de paiement
76 © Copyright Galitt
5 BUSINESS UNITS SPÉCIALISÉES DANS LES SYSTÈMES DE PAIEMENT
Les experts de Payment Consulting et leurs approches innovantes éclairent les choix stratégiques des décideurs
• Stratégie • Marketing • Veille • Études opérationnelles
• Expertise paiement • Audits • Sécurité
Les consultants de Payment Services assistent les clients dans la mise en œuvre de leurs projets de paiement
• Marketing opérationnel • Pré-étude et cadrage du besoin client • Rédaction du cahier des charges • Coordination, gestion de projet et PMO
• Conduite du changement • Déploiement • Organisation et processus • Support applicatif
Les équipes de Testing Solutions développent des logiciels de test et participent aux phases d’industrialisation des tests ou de certification des solutions
• Simulateurs : test des cartes, des applications mobiles, des terminaux, des serveurs acquéreur et d’autorisation, des réseaux et des passerelles, des fichiers
• Prestations : définition des stratégies de test, automatisation et industrialisation des tests, conception des plans de test et exécution des campagnes, pré-certification et certification des systèmes de paiement
Les solutions de Payment Solutions vous permettent d’opérer vos cartes (privatives, pétrole…) et vos transactions électroniques de manière efficace et sécurisée
• Cartes Privatives : gestion de cartes flotte et cartes carburant, gestion de la relation client
• Sécurité : réhabilitation des cartes physiques ou dématérialisées en agence, tokenisation, cryptographie
• Projets : architecture, spécifications fonctionnelles et techniques, développements embarqués, serveur et passerelles, TMA
Les formateurs de Payment Education relayent l’expertise et le métier de Galitt lors de séminaires
• Monétique, marketing des paiements, marché des cartes et flux en Europe, Instant Payment, DSP2
• EMV, nexo, paiement
• Innovations, Blockchain, sans contact, NFC, mobile, HCE, TSP
• Fraude, PCI, cryptographie
77 © Copyright Galitt
PARTENARIATS ET DISTRIBUTEURS
PARTENARIATS & PARTICIPATIONS
DISTRIBUTEURS
Espagne & Portugal
Corée
Chine
Canada Mexique Chine Japon Venezuela
Colombie & Pérou & Panama Etats-Unis Brésil
Top Related