Certification PCI-DSS. Janvier 2016

Transcription

1 Certification PCI-DSS Janvier 2016

2 Définitions La certification PCI DSS (Payment Card Industry Data Security Standard) est destinée aux entités appelées à transmettre, manipuler et/ou stocker des données de CB et d authentification Une organisation désirant l obtention de la certification PCI DSS doit se conformer aux exigences requises (env. 390) : «Requirement ans security assessment procedures, v3.1 Avril 2015». La conformité aux exigences est auditée formellement par un QSA (Qualified Security Assessor) qui délivre la certification. Le QSA est choisi et rémunéré par le candidat à la certification. La durée de l audit est limitée à trois mois. La certification délivrée par le biais de l AOC (Acceptance of Compliance) et du ROC (Report of Compliance) est valable 1 an. Tous les ans, un nouvel audit du QSA est nécessaire. Frédéric PACZKOWSKI Janvier

3 QSA France C est le PCI SSC (Security Standards Council) qui accrédite les QSA, ci-dessous ceux œuvrant en France : Société Galitt Herve Schauer Consultants Orange Consulting Provadys PW Consultants Sysdream XMCO Partners Site Frédéric PACZKOWSKI Janvier

4 Les données sensibles CHD Card Holder Data SAD Sensitive Authentication Data PAN : Primary Account Number : stockage permanent interdit même chiffré Frédéric PACZKOWSKI Janvier

5 Périmètre PCI-DSS Zone périmètre PCI-DSS contenant des données CB, tous les processus s appliquent et les composants techniques font l objet d un très haut niveau de sécurité. Zone hors périmètre PCI-DSS : 1. Ne pas manipuler de données CB 2. Ne pas avoir d accès réseau à un système dans la zone PCI DSS 3. Ne pas pouvoir impacter la sécurité d un composant dans la zone PCI- DSS Les processus ne s appliquent pas obligatoirement sauf pour les parties ayant des flux entrants dans la zone PCI-DSS. Hors périmètre Dans le périmètre FireWall Données CB CDE Card Holder Data Environment Flux réseau utilisé par le Firewall Frédéric PACZKOWSKI Janvier

6 Les 12 clauses d exigence Les exigences couvrent un large domaine, elles sont découpées 6 domaines et 12 clauses : Frédéric PACZKOWSKI Janvier

7 Impacts L impulsion de la DG obligatoire (projet de gestion du changement). L organisation de l entreprise sera impactée, notamment par le biais des métiers, RH, Achats et équipes techniques. PSSI à formaliser. Un GAP méthodologique devra être franchi : Cycle de vie logiciel, Processus de livraison, Traçabilité Des chantiers technologiques seront nécessaires pour se conformer aux exigences techniques de protection des données bancaires. Toutes les ressources internes seront sollicitées : documentation, interviews, meetings, chantiers techniques, mise en œuvre des processus, formations, sessions d audit Le management devra tenir compte des exigences de sécurité Formations à la sécurité obligatoires y compris pour les personnels non techniques. Frédéric PACZKOWSKI Janvier

8 Phases du projet Lancement du projet Cartographie métiers CHD tracking - Interviews Choix du QSA Constitution équipe projet et organisation 1 Elaboration du périmètre projet, du planning, du budget, des charges 3 Fourniture des livrables au QSA Traitement des retours QSA Préparation Audit final 5 1 mois 1 à 3 mois 1 mois 3 à 18 mois Maximum 3 mois GO Analyse d écart Plan de Remédiation Réalisation des remédiations Validation QSA - PréAudit Audit QSA AOC & ROC Rédaction du corpus documentaire Réalisation des chantiers Optimisation Réalisation de périmètre PCI-DSS techniques Mise en place des l audit par le QSA Analyse d écart du QSA nouvelles procédures Preuves Frédéric PACZKOWSKI d application Formations Janvier Tests d intrusion Finalisation ROC et AOC par le QSA

9 Acteurs du projet Nom Sponsor projet QSA Chef de Projet RSSI Top Management Experts techniques Equipes opérationnelles Prestataires Description Membre de la DG du candidat et propriétaire du budget Qualified Security Assessor choisi par le candidat Responsable du projet PCI-DSS du candidat Responsable Sécurité des SI du candidat DSI Directeur de Production Directeur des développements DRH Directeur Méthode Directeur Qualité Tests d intrusion Tests de Vulnérabilité Cryptographie HSM - Métiers, RH, équipes techniques PSP Hébergeur Banque acquéreur Entretien - Sécurité Frédéric PACZKOWSKI Janvier

10 Corpus documentaire indicatif Exemples de documents PCI-DSS PSSI - Politique de Sécurité des Systèmes d'information Processus de Mise en Production Procédures de réponse aux incidents de sécurité Analyse de risques Document d'architecture Technique Procédures de gestion des données HSM Gestion des clefs de chiffrement & Personnalisation Journalisation et persistance des événements de la plateforme Dossier d exploitation Cycle de développement logiciel Procédure de recrutement et d intégration d un collaborateur Charte des achats Exemples de documents Projets Fiche projet Définition des responsabilités Plan de Management Projet & Maîtrise intégrée des modifications Cycle de vie (cf. slide précédent) Planning Budget Provisions pour Risques & aléas Périmètre Matrice des exigences Registre des parties prenantes (dont QSA) Registre des modifications Registre des Risques Registre des problèmes majeurs Tableau de Bord Projet Contrats type Reporting équipe projet (hebdo) Liste des contrôles récurrents CR type comité sécurité Reporting direction (bi-mensuel / mensuel) Frédéric PACZKOWSKI Janvier

11 Facteurs clefs de succès Le périmètre PCI-DSS doit être cadré au plus juste (accord du QSA obligatoire). Toute extension du périmètre PCI-DSS entraîne des surcoûts (en année N mais aussi les années suivantes) et impacte le planning de certification. (cf. slide 8). L implication au plus tôt du QSA est indispensable afin de limiter au maximum les risques de rejet lors de l audit. Il faut établir une relation franche et sincère avec le QSA mais rester ferme, toutes les demandes du QSA doivent être consignées et suivies. Un RSSI doit exister chez le candidat ainsi qu un chef de projet PCI- DSS (cf. slide 8). Les processus et procédures fournis au QSA doivent être mis en applications avant l audit. Des preuves seront demandées par le QSA. Les chantiers techniques devront être réalisés avant l audit, là aussi des preuves seront demandées. La mise en place d une gestion de configuration, d une gestion documentaire et d une organisation projet est fortement recommandée. Le projet est à dominante méthodologique et organisationnelle. L exécution des chantiers techniques n est pas suffisante pour obtenir la certification, mais elle est nécessaire. Frédéric PACZKOWSKI Janvier

12 Exemples de points bloquants Identifier / Indexer les clients avec leur PAN en clair (le pire possible et cela existe!) Transporter et stocker des informations CB non chiffrées. Stocker des information CB non permises (PIN, CVV, ) Utiliser des méthodes de cryptographie obsolètes. Ne pas cloisonner la zone PCI-DSS. Ne pas différencier le BUILD du RUN. Permettre aux équipes BUILD l accès aux zones de production. Permettre aux équipes RUN l accès aux données CB en clair. Pas de PSSI en place, ou absence de preuves. Pas de méthodologie sur le BUILD et le RUN, ou absence de preuves. Personnels non formés à la sécurité. Frédéric PACZKOWSKI Janvier