MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné

Dimension: px
Commencer à balayer dès la page:

Download "MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné"

Transcription

1 NetBenefit Green Side 400 Avenue Roumanille Sophia Antipolis Cedex France +33 (0) MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné Ce document présente la norme PCI DSS (Payment Card Industry Data Security Standard) ainsi que ses implications commerciales et technologiques. Il décrit également l expérience vécue par NetBenefit lors de l implémentation de cette norme et dans quelle mesure elle peut vous aider à réduire les délais d exécution, les coûts d audit et les dépenses liées aux infrastructures lors de la mise en œuvre dans votre entreprise de votre propre programme d adaptation à la norme PCI. Chaque commerçant qui traite des paiements par carte et conserve des informations bancaires doit adhérer à la norme PCI DSS. Le nonrespect de cette condition l expose à des amendes substantielles, à une augmentation des frais de transaction, voire à la suspension des services bancaires. Dans le cas de NetBenefit, l accréditation PCI marque la fin d un vaste projet visant à obtenir une sécurité optimale dans les normes de paiement grâce à ses services d infogérance. Elle permet de proposer aux commerçants un environnement d hébergement adapté qui répond aux exigences du PCI Security Standards Council. Darren Wiltshire, Responsable Infrastructure, NetBenefit. Qu est-ce que la norme «PCI»? Un seul revendeur, ou commerçant, peut traiter des millions de transactions chaque année. Il suffit d une faille dans son systéme d information pour que le risque d une utilisation frauduleuse des informations des cartes de crédit devienne extrêmement élevé. La norme PCI DSS (Payment Card Industry Data Security Standard) a donc pour objectif d aider les organismes émetteurs de cartes bancaires et les banques à gérer les risques. Elle garantit que les revendeurs prennent leurs responsabilités et s assurent que chaque personne, qu il s agisse d un salarié ou d un prestataire, qui traite directement ou indirectement les paiements par carte bancaire prenne les précautions qui s imposent contre le vol d informations et les violations de sécurité susceptibles de compromettre les données des utilisateurs de carte.

2 Eric Chauvigné Business Manager NetBenefit France Eric Chauvigné a tout d abord commencé sa carrière en tant que gérant d une webagency spécialisée dans le développement d applications pour le web en Il a 15 ans d expérience, a occupé divers postes de management et a été chargé de la gestions de nombreux projets pour des sites e-marchands de grands VPCistes ou de marques françaises prestigieuses. En 2003, il intègre AB Croisière en qualité de Responsable informatique avant d occuper le poste de Responsable Infogérance chez NetBenefit puis de passer Business Manager de la filiale française. Sa passion pour les nouvelles technologies associée à sa volonté de toujours mieux répondre aux besoins des clients de NetBenefit, l ont poussé à s investir dans le projet de certification PCI DSS de nos plateformes. ÉTAPE 01 Installer et gérer un Firewall pour protéger les données bancaires. La norme PCI part du principe que les commerçants sont la première cible des vols d informations, dans la mesure où ils réalisent des activités telles que le stockage d informations sensibles qui mettent en danger les utilisateurs de carte bancaire. Il est dans l intérêt général (consommateur, commerçant et banque) d appliquer cette norme de façon rigoureuse afin de protéger les données sensibles et de réduire les coûts liés à la fraude pour chacune des parties concernées. De nombreux organismes publics qui stockent des données client sensibles (pas nécessairement des données bancaires) trouveront également leur compte à adopter la norme PCI DSS. La norme PCI DSS (Payment Card Industry Data Security Standard ou, plus simplement PCI) est un ensemble de 12 règles élaborées pour sécuriser et protéger les données de paiement client. Elle a été mise au point par le PCI Security Standard Council, un organisme indépendant fondé en 2006 par les principales sociétés de cartes de crédit - American Express, Discover Financial Services, JCB International, MasterCard et Visa. La norme PCI est une initiative internationale dont le but consiste à améliorer la sécurité des données pour tous les titulaires de cartes bancaires, que les transactions soient effectuées dans un magasin ou en ligne. Elle est régulée par l industrie, par le biais d un ensemble de règles établies par les organismes de cartes bancaires et appliquées aux commerçants via les banques. Ces règles sont mises en œuvre par les banques (les banques émettrices sont appelées «banques acquéreurs») qui collaborent avec les revendeurs afin de garantir le respect des exigences PCI. Les commerçants qui ne respectent pas ces règles doivent payer des amendes qui vont de à , des frais de transaction plus élevés ou doivent même faire face à des menaces de suspension des services bancaires, entraînant généralement la cessation des activités commerciales. Bien que chaque banque acquéreur ait auparavant eu sa propre approche, force est de constater une meilleure homogénéité et un consensus croissant quant à l accélération de la mise en œuvre de la norme PCI. Il n existe pas de réglementation explicite sur la norme PCI en France. En revanche, aux Etats-Unis PCI-DSS est devenue une exigence déjà dans 5 Etats. Des lois obligent ainsi la mise en œuvre de certains composants de cette norme. Des spéculations ont été émises quant à la possibilité d étendre l application juridique de cette norme. Le gouvernement et les autorités de régulation jouent généralement un rôle plus actif dans la protection des données. Pour de la norme PCI, chaque point de communication représente une atteinte potentielle à la sécurité des données. Donc, au niveau élémentaire, que tous les justificatifs de paiement par carte doivent être détruits. MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. 2

3 À un niveau plus complexe, il existe des règles strictes qui régissent la technologie utilisée pour gérer et protéger les données des titulaires de cartes. Une entreprise certifiée PCI doit supprimer les données d authentification sensibles, limiter la conservation des données, protéger ses réseaux périphériques, internes et sans fil, sécuriser ses applications et protéger toutes ses données par le biais d un suivi permanent et d un contrôle des accès. Les banques acquéreurs ont l obligation de rapporter régulièrement aux émetteurs de cartes le statut de conformité des commerçants à la norme PCI. Elles estiment que les commerçants doivent considérer la certification PCI comme une police d assurance qui les protège des coûts financiers liés au défaut de protection des données bancaires. Se mettre en conformité avec la norme PCI est dans tous les cas une démarche intéressante pour l entreprise, car cela lui permet d améliorer l efficacité de ses processus et également de fonctionner de manière plus sécurisée (ce qui protège au final son image de marque et sa réputation). La norme PCI s applique-t-elle à mon entreprise? Si vous stockez, traitez ou transmettez des données bancaires électroniquement ou manuellement, votre entreprise doit être certifiée, quelle que soit sa taille. Par exemple, vous êtes autorisé à stocker des numéros de comptes primaires, des noms de titulaires de carte, des codes de service et des dates d expiration dans la mesure où ces informations sont protégées conformément aux exigences de la norme PCI. En revanche, vous n êtes pas autorisé à stocker des codes PIN, des codes CVC (Card Verification Code - Cryptogramme visuel) ou d autres données d authentification sensibles, même si ces informations sont cryptées. Dans la pratique, les banques acquéreurs ont jusqu ici concentré leurs efforts sur les grandes enseignes de la distribution. Mais, elles s intéressent désormais de plus en plus aux petites et moyennes entreprises. Chaque banque acquéreur a ses propres critères de taille et de type pour déterminer quels commerçants doivent être certifiés en priorité, ce qui explique qu il puisse y avoir de légères différences. Votre entreprise a des chances d être considérée favorablement si vous effectuez déjà des démarches de mise en conformité avec la norme PCI. Quoi qu il en soit, la certification PCI reste un processus long et pénible pour la plupart des entreprises. Il s agit pourtant d une étape nécessaire, non seulement pour qu un commerçant reste compétitif, mais également sur le long terme pour qu il puisse continuer son activité. ÉTAPE 02 Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe système et les autres options de sécurité. 3 MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION.

4 ÉTAPE 03 Protéger les données bancaires stockées. Implications commerciales de la norme PCI Au final, il vous faudra êter certifié PCI. Que vous soyez une multinationale «hightech» ou une petite entreprise qui accepte les paiements par carte, en ligne ou non, une mise en application beaucoup plus rigoureuse sera de mise à partir de Les technologies et les stratégies d application de la norme PCI progressent de jour en jour. La norme PCI a été conçue pour durer et va devenir de plus en plus présente dans les mois à venir. Les frais de traitement de transactions devenant plus élevés pour bon nombre de commerçants non certifiés, certains ont fait leurs calculs et ont réalisé que les coûts liés à la certification sont inférieurs au coût total de l absence de certification. Dans la mesure où la certification PCI couvre l ensemble de votre environnement commercial, tous les partenaires tiers qui stockent, traitent ou transmettent des données bancaires doivent également respecter la norme PCI pour que vous puissiez obtenir une certification complète. Parmi ces partenaires tiers figurent : les prestataires de services de paiement ; les points de vente électroniques (EPOS) ; les fournisseurs de stockage de données ; les fournisseurs de paniers d achat virtuels ; les fournisseurs de logiciels ; les hébergeurs de sites Web. Par exemple, pour les commerçants qui ne traitent pas directement avec une banque acquéreur, mais qui utilisent une passerelle de paiement tierce (WorldPay ou PayPal, par exemple), les implications sont à la fois techniques et commerciales. Cette passerelle de paiement est également tenue de satisfaire aux normes PCI, bien que toutes les passerelles ne soient pas certifiées au même rythme. Pour pouvoir obtenir la certification en tant que commerçant, vous devez prouver que votre prestataire de services de paiement satisfait aux exigences de votre propre certification. En théorie, l utilisation d une telle passerelle de paiement réduit les risques après tout, ces prestataires sont des experts en matière de gestion sécurisée de telles transactions mais chaque prestataire a un modèle de coûts différent pour la norme PCI. Cet aspect de la certification n a pas encore trouvé son juste milieu. De plus, certains prestataires de services de paiement commencent désormais à refuser les commerçants qui ne sont pas encore complètement certifiés eux-mêmes. S adresser à un prestataire de services de paiement ne permet donc pas pour autant de sortir de l impasse. La communauté PCI se concentre actuellement sur le volume. MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. 4

5 En d autres termes, elle essaie d empêcher que des informations bancaires ne soient volées par centaines. De nombreux cas d entreprises gravement affectées par la perte de données bancaires ont déjà été recensés. Evoquons le cas bien connu de Sony qui avait fait l objet de cyber attaques et avait du reconnaître le vol de données personnelles d utilisateurs de ses consoles PS3 connectables au portail PlaySation Network. Comment obtenir la certification PCI pour mon entreprise? La norme PCI prévoit un seuil de 6 millions de transactions par an, en dessous duquel les commerçants peuvent s autocertifier PCI (toutefois, si un commerçant a déjà fait l objet d une violation de sécurité, un audit indépendant est toujours requis). Les entreprises qui dépassent ce seuil doivent être soumises à un audit annuel indépendant sur site. Tous les commerçants, quelle que soit leur taille, doivent également se soumettre à une analyse de leur réseau tous les trimestres par un ASV (Approved Scanning Vendor). Ceux qui ont déjà suivi la procédure de certification ISO ou Sarbanes-Oxley connaissent déjà le type d approche requis pour la certification PCI. La certification PCI est aussi exigeante, sinon plus. Si votre entreprise traite plus de 6 millions de transactions par an, la certification PCI exige qu elle soit auditée par un organisme indépendant et certifiée PCI Data Security Standard par un QSA (Qualified Security Assessor), lui-même certifié par le PCI Security Standards Council. Le QSA analysera votre situation, préconisera des mesures correctives pour résoudre les lacunes éventuelles, et fournira un certificat en bonne et due forme. Il effectuera également un audit chaque année pour vérifier que vous remplissez toujours les conditions de certification. Les 12 exigences de la certification PCI DSS peuvent s avérer quelque peu déconcertantes pour un commerçant.. NetBenefit a participé à toutes les étapes du processus à la fois en tant que commerçant et en tant que prestataire de services. Nous sommes donc à même de comprendre le projet dans son intégralité. Nous voulions être en mesure d offrir à nos clients une solution certifiée PCI DSS qui s adapte aux exigences des utilisateurs de passerelles de paiement, jusqu aux commerçants qui gèrent euxmêmes le processus de paiement. Nous avons répondu à autant d exigences que possible dans notre environnement d hébergement certifié PCI DSS. Nos clients peuvent ainsi se concentrer sur leurs propres systèmes, processus et lignes de conduite. Darren Wiltshire, Responsable Infrastructure, NetBenefit. ÉTAPE 04 Crypter la transmission des données bancaires sur les réseaux publics ouverts. 5 MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION.

6 Security La norme PCI DSS se compose de 12 exigences : Élaborer et gérer un réseau sécurisé Exigence 1 : Exigence 2 : Installer et gérer un Firewall pour protéger les données bancaires. Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe système et les autres options de sécurité. Protéger les données bancaires Exigence 3 : Protéger les données bancaires stockées. Exigence 4 : Crypter la transmission des données bancaires sur les réseaux publics ouverts. Mettre en œuvre un programme de gestion des vulnérabilités Exigence 5 : Exigence 6 : Utiliser un antivirus et le mettre à jour régulièrement. Développer et gérer des systèmes et des applications sécurisés. Implémenter des mesures strictes de contrôle d accès Exigence 7 : Exigence 8 : Exigence 9 : Restreindre l accès aux données bancaires grâce au principe «besoin de connaître». Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur. Restreindre l accès physique aux données bancaires. Suivre et tester régulièrement les réseaux Exigence 10 : Exigence 11: Tracer et suivre tous les accès aux ressources du réseau et aux données bancaires. Tester régulièrement les systèmes et les processus de sécurité. Gérer une stratégie de sécurité des informations Exigence 12 : Mettre en œuvre une stratégie répondant aux problèmes de sécurité de l information. ÉTAPE 05 Utiliser un antivirus et le mettre à jour régulièrement. MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. 6

7 Chaque exigence de la norme est divisée en sous-exigences plus spécifiques. Comme on peut le constater, obtenir la certification PCI est un véritable défi pour toute entreprise. Cela demande l implication de tous les décideurs de l entreprise, et pas uniquement du DSI, du service clientèle ou des spécialistes marketing. Tous sont concernés. Votre directeur commercial et marketing voudra rassurer les clients et protéger le capital de la marque ; votre directeur financer voudra rassurer votre banque en lui expliquant que vous réduisez les risques ; et votre service informatique voudra assurer une disponibilité sans faille. La norme PCI garantit la sécurité physique de toute l organisation (même au niveau le plus bas, en obligeant les visiteurs portent des badges d identité) et implique ainsi de nombreux processus. Cela étant dit, la structure de conformité vise essentiellement à empêcher la fraude électronique et les violations de sécurité des données et se concentre donc tout naturellement sur la technologie. Implications technologiques de la norme PCI Un processus de transaction par carte de paiement commence par une demande d autorisation, qui est généralement faite sur le point de vente via un terminal PDQ (Process Data Quickly). Le commerçant demande et reçoit l autorisation de l émetteur de la carte, ce qui lui permet de réaliser la vente avec la promesse d être payé. La banque acquéreur échange ensuite les informations avec l émetteur de la carte, ce qui permet là encore au commerçant de réaliser la vente avec la promesse d être payé. La banque du commerçant paie ce dernier et la banque du titulaire de la carte débite le compte du titulaire. La responsabilité du commerçant est engagée lors de la première de ces étapes. Qu un prestataire de services de paiement tiers soit utilisé ou que le commerçant s engage directement avec la banque acquéreur, le commerçant doit être en mesure de démontrer que tous les points de vulnérabilité potentielle (serveurs, routeurs, passerelles, connectivité réseau, points d accès sans fil, systèmes de stockage et de sauvegarde, pour n en citer que quelquesuns) sont en conformité. Pour pouvoir s engager, électroniquement parlant, avec un partenaire ou un tiers pendant le processus d autorisation, ces derniers doivent être capables de démontrer qu ils respectent les normes avec vous, et inversement. Une infrastructure conforme à la norme PCI nécessite plusieurs couches de sécurité (dont des Firewalls classiques et des Firewalls applicatifs Web), et le centre de traitement des données lui-même doit être installé sur un site sécurisé. Si vos ordinateurs fonctionnent sous Windows et Linux, vous pouvez être accrédité pour les deux, mais chaque système d exploitation nécessitera alors un audit séparé. En fait, même des versions différentes d un même système d exploitation doivent être auditées individuellement. ÉTAPE 06 Développer et gérer des systèmes et des applications sécurisés. 7 MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION.

8 En obtenant l accréditation prestataire de services, NetBenefit a démontré que ses processus, systèmes, règles et procédures sont conformes aux exigences requises. Elle peut maintenant proposer un environnement certifié PCI DSS à ses clients qui souhaitent adopter cette norme en tant que commerçants. Kevin Dowd, Directeur de l évaluation de sécurité, CNS ÉTAPE 07 Restreindre l accès aux données bancaires grâce au principe «besoin de connaître». Chaque code d application doit être certifié comme sécurisé. Toutefois, gardez à l esprit que bien que la mise en conformité avec la norme PCI semble onéreuse, elle reste l approche la plus avantageuse pour la sécurité générale des informations et du réseau. La mise en conformité PCI est donc plus simple à réaliser pour une start-up que pour une entreprise de grande taille déjà établie qui compte un environnement hétérogène de serveurs et de solutions de stockage. De tels environnements, à la fois complexes et non structurés, présentent leurs propres défis en termes de prévention de la perte des données, de disponibilité des informations, d archivage et de coûts. Pour ces entreprises, la mise en conformité PCI peut nécessiter la mise en place d un programme de consolidation, de virtualisation ou de migration planifiées destiné à résoudre d autres problèmes métier. La solution peut bien entendu consister à externaliser la gestion du data centre ou le data centre lui-même à un tiers. Dans pareil cas, vous serez toujours contraint d auditer chaque composant, mais votre hébergeur devrait être à même de vous fournir un kit d outils certifié PCI, ce qui peut réduire considérablement le temps et les coûts liés à l audit de l infrastructure. Cependant, tous les hébergeurs ne sont pas en mesure de répondre à ce besoin, et les avantages économiques que votre entreprise retirerait de l externalisation pourraient être amoindris si vous deviez spécifier et auditer chaque élément vous-même (y compris les aspects sécuritaires physiques non techniques de la norme PCI). NetBenefit: étude de cas de la certification PCI NetBenefit dispose de deux atouts majeurs : elle propose un kit d outils certifié PCI à ses clients hébergés et bénéficie de l expérience d Easily, société sœur filiale de GroupNBT, qui a mis en œuvre un processus de certification PCI rigoureux en tant que commerçant. En sa qualité d entreprise, Easily.co.uk traite des transactions bancaires pour ses clients et elle a donc dû obtenir la certification PCI elle-même. Cette section décrit son expérience et met en avant les domaines dans lesquels elle peut conseiller ses clients afin de réduire les efforts nécessaires pour passer à un environnement certifié. L entreprise a été contrainte par les banques acquéreurs d obtenir cette certification et, comme vu précédemment, elle a dû supporter des coûts de transaction plus élevés tant qu elle n était pas certifiée. Le projet a débuté par la nomination d un QSA (dans le cas de Easily. co.uk, choisi parmi les membres de l équipe de CNS, un consultant spécialisé basé à Londres). Le cahier des charges définissait les échéances, les responsabilités et le processus général. La première étape a consisté à analyser les écarts, puis à définir des actions correctives. Tous les aspects ont ensuite été audités et ré-audités individuellement jusqu à pouvoir être certifiés conformes. Bien que l évaluation de départ ait établi que les procédures, les processus et la MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. 8

9 technologie utilisés par Easily étaient de grande qualité, la tâche était colossale. Elle a nécessité 18 mois de travail. Le projet PCI a été géré, mis en œuvre et pris en charge par l équipe d ingénierie de NetBenefit. La transition a été gérée par un groupe d orientation choisi dans l entreprise, parmi lesquels figuraient les chefs de département suivants : Développement Ingénierie Fourniture de services Directeur des opérations (sécurité physique et installations) Gestion des produits Contrôle financiers Marketing La technologie et les principales fonctions du modèle d environnement de NetBenefit sont décrites ci-après. Le modèle d environnement fournit un schéma des solutions client. NetBenefit met à la disposition de ses clients une documentation technique plus détaillée. Depuis qu elle a obtenu la certification PCI, NetBenefit se soumet chaque année à un audit. Cet audit revient à subir une «batterie de tests» tous les ans pour conserver sa certification. L approbation finale de tous les aspects a été confiée au DSI et au conseil d administration. Pour obtenir la certification PCI DSS en tant que prestataire de services, NetBenefit a élaboré un modèle d environnement incluant toutes les exigences technologiques de la norme PCI. Les éléments choisis ont été sélectionnés parmi un ensemble de logiciels et de matériels industriels. Bien que, dans la réalité, les systèmes réellement utilisés nécessitent toujours d être audités avec les propres applications du client. L objectif d un modèle d environnement est de garantir que tous ses composants sont «pré-audités» de façon efficace. En d autres termes, un audit réalisé par le QSA du client lui-même doit être un processus relativement simple et rapide. ÉTAPE 08 Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur. 9 MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION.

10 Transit Provider LiNX Connection Transit Provider Transit Provider 2 LiNX Connection Transit Provider 1 Vue d ensemble du modèle d environnement PCI de NetBenefit 1 Data centre Greater London Data centre City Data centre Docklands Scans trimestriels Test d intrusion NetBenefit NOC Firewall Passerelle RDP Système de détection des intrusions Antivirus 2 9 Externalisé 10 Storage Area Network Sauvegarde infogérée ZONE 1 Serveur Web Firewall Antivirus SSL 7 6 Système de Logging et de Monitoring Suivi de l intégrité des fichiers 1 Sécurité physique du data center 2 Firewall 3 Firewall applicatif 4 Serveurs 5 Modèle de serveur 6 Antivirus 7 Certification SSL 8 Gestion des correctifs de sécurité 9 Passerelle RDP 10 Sauvegarde infogérée 11 Système de Logging et de Monitoring 12 Monitoring de l intégrité des fichiers 13 Scans trimestriels 14 Test d intrusion 8 Correctifs ZONE Serveur de base de données Antivirus 6 12 ÉTAPE 09 Restreindre l accès physique aux données bancaires. MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. 10

11 Ce schéma ci-dessous illustre la configuration du modèle d environnement de prestataire de services certifié PCI de NetBenefit. Le data centre est physiquement sécurisé. Ce centre, et tous les sites Netbenefit qui peuvent y accéder, sont régulés par des procédures de contrôle strictes. Le système inclut des Firewalls, des antivirus, une sauvegarde, le monitoring de l intégrité des fichiers et des fichiers de log. Le système tout entier est soumis à des scans du réseau tous les trimestres et à des tests d intrusion supplémentaires. Pour les entreprises habituées à la certification Sarbanes-Oxley, la norme PCI présente des différences importantes (ces normes reposent toutefois toutes les deux sur des contrats plutôt que sur des lois). Alors que la norme Sarbanes-Oxley pose les principes généraux des audits, la norme PCI requiert l existence d historiques d audit pour l ensemble des actions menées par une personne dotée des privilèges Root ou Administrateur. L une des principales exigences d une solution certifiée PCI est donc que toutes les connexions utilisateur puissent être directement tracées et auditées. En séparant le réseau entre les différents sites NetBenefit et le data center, et en utilisant une solution de passerelle sécurisée pour contrôler l accès aux serveurs clients, une zone de connexion centrale a été créée à des fins d audit et de sécurité. En environnement Windows, la passerelle RDP (Remote Desktop Protocol Gateway) permet aux utilisateurs d orienter leurs clients RDP vers la passerelle. Elle joue ensuite le rôle de point de sécurité et de connexion central dédié à toutes les connexions. En environnement Windows, la passerelle RDP (Remote Desktop Protocol Gateway) permet aux utilisateurs d orienter leurs clients RDP vers la passerelle, qui joue ensuite le rôle de point de sécurité et de connexion central dédié à toutes les connexions. La passerelle RDP est installée sur un serveur configuré pour être hautement disponible et qui fournit un nom de domaine entièrement qualifié accessible publiquement et en privé. Une fois le serveur de certificats installé, il permet l utilisation d un certificat SSL public avec vérification du domaine par le biais de VeriSign ou d une entreprise similaire. La résolution DNS (effectuée chez le commerçant ou en externe) pointe vers une adresse IP publique afin de s assurer que les certificats sont valides à la fois sur le réseau interne et sur le réseau externe. Une autre solution consistant à utiliser des clés SSH (Secure Shell) est disponible pour les environnements Linux. Tous les fichiers de log de serveur, d application et de sécurité, sont sauvegardés et stockés pendant au moins 1 an pour respecter les exigences de la norme PCI. ÉTAPE 10 Tracer et suivre tous les accès aux ressources du réseau et aux données bancaires. 11 MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION.

12 Avantages du partenariat avec NetBenefit au regard de la certification PCI NetBenefit est le partenaire idéal, dans la mesure où il peut conseiller ses clients pour les aider à réduire le temps et les coûts d audit associés à la mise en conformité PCI. NetBenefit peut également fournir un ensemble de solutions d hébergement à la pointe de la technologie et éprouvées dans le cadre d un processus d audit exigeant. Le délai de lancement peut ainsi être réduit, dans la mesure où les clients n ont pas à démarrer leurs programmes de certification de zéro. Pour les clients déjà équipés d un système e-commerce qui cherchent à migrer vers une plate-forme certifiée PCI, NetBenefit propose un environnement déjà adapté. Certains clients n ont pas nécessairement besoin de tous les composants proposés par NetBenefit. Le modèle d environnement de NetBenefit permet de réduire certains aspects à une liste de contrôle plutôt que procéder à un audit intégral. NetBenefit peut conseiller ses clients sur la plupart des 12 exigences de la norme PCI, à l exception de l exigence n 6 (qui se rapporte à l application du client) et de l exigence n 7 (qui restreint l accès aux données dans l entreprise elle-même selon le principe de «besoin de connaître»). En pratique, une solution hébergée par NetBenefit permet de disposer d un centre de sécurité conforme à sept des exigences de la norme PCI : En résumé, les trois principaux avantages d un partenariat avec NetBenefit pour votre solution certifiée PCI sont les suivants : Délais réduits Coûts d audit réduits Coûts d infrastructure réduits (par une infrastructure hébergée) Que vous recherchiez votre toute première solution d hébergement ou que vous souhaitiez changer d hébergeur, NetBenefit peut vous recommander les raccourcis les plus efficaces pour votre propre programme de certification PCI. ÉTAPE 11 Tester régulièrement les systèmes et les processus de sécurité.. MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. 12

13 Notre Kit PCI DSS Firewall Fortinet Anti-virus Kaspersky Système de détection d intrusion IDS sur les pare-feu SSL (chiffrement du trafic) SSL VeriSign Firewall Web applicatif Barracuda Networks modèles 360 à 660 Sécurité physique du data centre Authentification à deux facteurs VPN avec combinaison identifiant/mot de passe sur les Firewalls Noms d utilisateurs individuels Passerelle RDP pour Windows ou clés SSH individuelles pour Linux Renforcement de la sécurité des serveurs Réseau sécurisé Vlan privé pour les clients avec les paramètres PCI sur leur partie du réseau ; notre réseau NOC (Network Operations Centre) est conforme à la norme PCI Solution de logging et de CNS COMPLIANCEngine : Il permet le monitoring, une monitoring (externalisé) connexion centralisée, la réponse aux incidents Noms d utilisateurs individuels Passerelle RDP pour Windows ou clés SSH individuelles pour Linux Renforcement de la sécurité des serveurs Réseau sécurisé Vlan privé pour les clients avec les paramètres PCI sur leur partie du réseau ; notre réseau NOC (Network Operations Centre) est conforme à la norme PCI Solution de logging et de monitoring (externalisé) CNS COMPLIANCEngine : Il permet le monitoring, une connexion centralisée, la réponse aux incidents «NetBenefit est l un des rares hébergeurs Européen a obtenir le statut de prestataire de services accrédité PCI DSS. NetBenefit a compris la valeur d une telle accréditation et est maintenant dans une position idéale pour en faire bénéficier ses clients. Nous les avons trouvés pragmatiques, enthousiastes et, surtout, extrêmement compétents sur les questions de conformité.» Kevin Dowd, Directeur de l évaluation de sécurité, CNS FIM (File Integrity Monitoring Monitoring de l intégrité des fichiers) Serveur d infogérance avec OSSEC (Open Source Security, Host-Based Intrusion Detection System) installé Exigence 1 : Exigence 4 : Exigence 5 : Exigence 8 : Exigence 9 : Exigence 10: Exigence 11: Installer et gérer un Firewall pour protéger les données bancaires. Crypter la transmission des données bancaires sur les réseaux publics ouverts (via la certification SSL). Antivirus Unique ID Restreindre l accès physique aux données bancaires. Tracer et suivre tous les accès aux ressources du réseau et aux données bancaires. Tester régulièrement les systèmes et les processus de sécurité. ÉTAPE 12 Mettre en œuvre une stratégie répondant aux problèmes de sécurité de l information. 13 MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION.

14 Glossaire Banque acquéreur : Banque qui émet des cartes de paiement ou de crédit pour le compte d un émetteur de cartes. ASV : Approved Scanning Vendor (Chargé du scan trimestriel du réseau). PCI (DSS) : Norme Payment Card Industry (Data Security Standards). PCI Security Standards Council : Conseil des normes de sécurité, organisme qui régule la norme PCI DSS. Tier 1 Tier 4 : Le PCI Security Standards Council a réparti les commerçants selon le nombre de transactions qu ils effectuent chaque année. Les banques acquéreurs ont concentré leur attention sur les commerçants de niveau 1 (Tier 1), c est-àdire sur ceux qui traitent plus de 6 millions de transactions par an et qui nécessitent une évaluation QSA. Les niveaux 2 à 4 (Tiers 2 à 4), qui incluent tous les autres commerçants, doivent tous procéder à une autocertification et effectuer des contrôles réseau trimestriels. QSA : Qualified Security Assessor (expert en sécurité certifié par le PCI Security Standards Council pour exécuter des audits annuels indépendants sur site). ROC : Report on Compliance (rapport de conformité document formel rempli par le QSA pour la banque acquéreur). RDP : Remote Desktop Protocol SAQ : Self-Assessment Questionnaire (questionnaire d autoévaluation utilisé pour la certification des commerçants qui traitent moins de 6 millions de transactions par an). SSH : Secure Shell Classification des marchands : Niveau Tier 1 Tier 2 Tier 3 Tier 4 Transactions/an + de 6 million Entre 1 et 6 million Entre et 1 million Moins d un million MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. 14

15 À propos de NetBenefit Fondée en 1995, NetBenefit est l une des entreprises d hébergement les plus expérimentées sur le marché. Nous sommes spécialisés dans la mise en place de solutions d hébergement personnalisées qui offrent sécurité, résilience et performance aux applications, sites Internet, sites e-commerce et campagnes publicitaires en ligne. Nous avons surfé sur la vague Internet pour nous positionner aujourd hui comme le prestataire leader de solutions d hébergement flexibles et personnalisées pour de grandes marques, tout en conservant une taille humaine qui nous permet de nous engager avec succès auprès de tous nos clients.notre équipe se compose de consultants, de conseillers avant-vente, de chefs de projet, d architectes techniques et d ingénieurs expérimentés. Tous ont à cœur de garantir le succès en ligne de votre entreprise. Nous nous concentrons sur la mise en œuvre de solutions d hébergement permettant ainsi à nos clients de porter leur attention sur le cœur de leur métier en toute sérénité. À propos de CNS CNS est une société de conseil spécialisée dans la sécurité des informations et les technologies de réseau. Elle a été fondée en 1999 à la City de Londres et est la propriété exclusive de ses employés et de ses directeurs. Ses clients ont une taille variable (FTSE 100, grandes organisations du secteur public, PME) mais ont une même compréhension de l importance des informations numériques dans leur entreprise, un même désir de sécuriser leurs systèmes et leurs données et de satisfaire leurs exigences en termes de connectivité. CNS est un QSA PCI DSS et un responsable d audit CESG CHECK & CLAS Consultancy & ISO27001 qui fournit des services de conseil, de gestion de projet, d assurance qualité et de certification. co.uk NetBenefit compte environ 70 membres dévoués au succès de l entreprise de nos clients. Nous sommes implantés au Royaume-Uni et en France. Nous apportons une assistance professionnelle et technique 24 h/24, 7 j/7 et 365 j/an. Nous disposons de trois data centers, et d un quatrième basé à Copenhague pour une résilience supplémentaire. Notre équipe est soumise à la Baseline Personnel Security Standard. Outre l assistance technique et l infrastructure proposées à nos clients, nous travaillons en étroite collaboration avec Dell et Microsoft pour développer, tester et lancer de nouveaux services d hébergement. NetBenefit fait partie de Group NBT. Pour en savoir plus Site Internet officiel du PCI Security Standards Council : 15 MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION.

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Foire aux questions (FAQ)

Foire aux questions (FAQ) Foire aux questions (FAQ) Norme de sécurité des données du secteur des cartes de paiement (PCI DSS) Qu est-ce que la Norme PCI DSS? Qui définit cette Norme? Où puis-je obtenir plus d informations sur la

Plus en détail

Payment Card Industry (PCI) Normes en matière de sécurité des données

Payment Card Industry (PCI) Normes en matière de sécurité des données Payment Card Industry (PCI) Normes en matière de sécurité des données Procédures de balayage de sécurité Version 1.1 Date de publication : septembre 2006 Table des matières Niveau 5... 6 Niveau 4... 6

Plus en détail

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? Leif Kremkow Dir. Technical Account Managemet, CISSP Mardi, 5 Février, 2009 PCI Security Standards Council

Plus en détail

Livre blanc, août 2013 Par Peer1 et CompliancePoint www.peer1.fr. Certification PCI DSS De la complexité à la simplicité

Livre blanc, août 2013 Par Peer1 et CompliancePoint www.peer1.fr. Certification PCI DSS De la complexité à la simplicité Livre blanc, août 2013 Par Peer1 et CompliancePoint www.peer1.fr Certification PCI DSS De la complexité à la simplicité Table des matières Introduction 1 Des entreprises perdent des données client 1 Les

Plus en détail

Comment traiter de manière sûre et responsable les données relatives aux cartes de paiement de vos clients? Document PCI DSS

Comment traiter de manière sûre et responsable les données relatives aux cartes de paiement de vos clients? Document PCI DSS Comment traiter de manière sûre et responsable les données relatives aux cartes de paiement de vos clients? Document PCI DSS Table des matières Introduction Gagner la confiance 3 Définition La norme de

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3. Industrie des cartes de paiement (PCI) Norme de sécurité des données Conditions et procédures d évaluation de sécurité Version 3.0 Novembre 2013 Modifications apportées au document Date Version Description

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité Commerçants carte absente, toutes les fonctions de données de titulaires de carte sont

Plus en détail

Accompagnement PCI DSS

Accompagnement PCI DSS Accompagnement PCI DSS Présentation de l offre Octobre 2015 20151001-Galitt-Offre PCI DSS.pptx Sommaire 1. Introduction 2. Présentation de la norme PCI DSS 3. Démarche de mise en conformité Copyright Galitt

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Industrie des cartes de paiement (PCI) Norme de sécurité des données Attestation de conformité du Questionnaire d'auto-évaluation C-VT Version 3.0 Février 2014 Section 1 : Informations relatives à l évaluation

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation Instructions et directives Version 2.0 Octobre 2010 Modifications apportées au document Date Version Description 1er Octobre

Plus en détail

CERTIFICATION AUX NORMES DE SECURITE DE VISA, MASTERCARD ET AMERICAN EXPRESS FORMATION SUR PCI-DSS (PAYMENT CARD INDUSTRY DATA SECURITY STANDARD)

CERTIFICATION AUX NORMES DE SECURITE DE VISA, MASTERCARD ET AMERICAN EXPRESS FORMATION SUR PCI-DSS (PAYMENT CARD INDUSTRY DATA SECURITY STANDARD) CERTIFICATION AUX NORMES DE SECURITE DE VISA, MASTERCARD ET FORMATION SUR PCI-DSS (PAYMENT CARD INDUSTRY DATA SECURITY STANDARD) Deux (2) jours sur PCI DSS formation au Yaoundé, le Cameroun 7-8 Mai 2013

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B-IP et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B-IP et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B-IP et attestation de conformité Commerçants utilisant des terminaux autonomes, à connexion IP de PTS Point d interaction

Plus en détail

GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY. ISO 27001 & PCI-DSS Une approche commune a-t-elle du sens? version 1.00 (2009.01.21) GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY. Rodolphe SIMONETTI CISSP, CISM, PCI-QSA, ISO 27001 Lead Auditor, ISO 27005

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Industrie des cartes de paiement (PCI) Norme de sécurité des données Attestation de conformité des évaluations sur site Prestataires de services Version 3.0 Février 2014 Section 1 : Informations relatives

Plus en détail

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................

Plus en détail

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement La sécurisation des transactions électroniques a toujours été au cœur des préoccupations des acteurs du paiement, qu'ils soient commerçants, institutions financières ou fournisseurs de services. L'industrie

Plus en détail

Payment Card Industry (PCI) Payment Application Data Security Standard (PA-DSS) Guide du programme Version 1.2

Payment Card Industry (PCI) Payment Application Data Security Standard (PA-DSS) Guide du programme Version 1.2 Payment Card Industry (PCI) Payment Application Data Security Standard (PA-DSS) Guide du programme Version 1.2 Octobre 2008 Modifications apportées au document Date Version Description 1 er octobre 2008

Plus en détail

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS?

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS? 1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS? Au titre de sa mission de suivi des politiques de sécurité mises en œuvre par les émetteurs et les accepteurs, l Observatoire a souhaité,

Plus en détail

mieux développer votre activité

mieux développer votre activité cloud computing mieux développer votre activité Les infrastructures IT et les applications d entreprise de plus en plus nombreuses sont une source croissante de contraintes. Data centers, réseau, serveurs,

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation D et attestation de conformité pour les prestataires de service

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation D et attestation de conformité pour les prestataires de service Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation D et attestation de conformité pour les prestataires de service Prestataires de services éligibles pour le SAQ Version

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation D et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation D et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation D et attestation de conformité Toutes les fonctions de données de titulaires de carte sous-traitées. Aucun stockage, traitement

Plus en détail

PCI DSS * Le paradoxe français

PCI DSS * Le paradoxe français * Le paradoxe français Thierry AUTRET Groupement des Cartes Bancaires CB (* Payment Card Industry Data Security Standards) Contexte Environ 2.000 millions de cartes bancaires en circulation dans le monde

Plus en détail

Payment Card Industry (PCI) Data nt Standard Questionnaire d auto-évaluation C-VT et attestation de conformité

Payment Card Industry (PCI) Data nt Standard Questionnaire d auto-évaluation C-VT et attestation de conformité Payment Card Industry (PCI) Data nt Standard Questionnaire d auto-évaluation C-VT et attestation de conformité Commerçants utilisant des terminaux virtuels basés sur le Web - sans stockage électronique

Plus en détail

Accès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005

Accès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005 ISMS (Information Security Management System) Utilisation de l Internet comme moyen d accès au réseau de la Banque-Carrefour de la sécurité dans le cadre du traitement de données à caractère personnel

Plus en détail

PCI DSS un retour d experience

PCI DSS un retour d experience PCI DSS un retour d experience Jean-Marc Darées, IT architect PSSC Customer Center, NTC France jmdarees@fr.ibm.com EUROPE IOT Agenda Le standard PCI Un réveil soudain Retours d Expérience IBM PCI DSS Un

Plus en détail

Norme PCI Septembre 2008. La norme PCI : transformer une contrainte en opportunité

Norme PCI Septembre 2008. La norme PCI : transformer une contrainte en opportunité Norme PCI Septembre 2008 La norme PCI : transformer une contrainte en opportunité Page 2 Sommaire 2 Synthèse 2 Une autre vision des exigences PCI 4 Corréler la conformité PCI avec votre stratégie globale

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité Toutes les fonctions de données de titulaire de carte sous-traitées. Aucun stockage, traitement

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

La situation du Cloud Computing se clarifie.

La situation du Cloud Computing se clarifie. Résumé La situation du Cloud Computing se clarifie. Depuis peu, le Cloud Computing est devenu un sujet brûlant, et à juste titre. Il permet aux entreprises de bénéficier d avantages compétitifs qui leur

Plus en détail

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI HSM, Modules de sécurité matériels de SafeNet Gestion de clés matérielles pour la nouvelle génération d applications PKI Modules de sécurité matériels de SafeNet Tandis que les entreprises transforment

Plus en détail

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS.

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS. Guide à l attention des développeurs / hébergeurs de sites web marchands sur le niveau minimum de sécurité pour le traitement de numéros de cartes bancaires Préambule Ce guide n a pas vocation à se substituer

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation C et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation C et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation C et attestation de conformité Commerçants possédant des systèmes d application de paiement connectés à Internet- Sans

Plus en détail

Traçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente

Traçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente Traçabilité des administrateurs internes et externes : une garantie pour la conformité Marc BALASKO Ingénieur Avant-vente Quelles normes? Sécurité des données des titulaires de cartes bancaires Régulation

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Industrie des cartes de paiement (PCI) Norme de sécurité des données Attestation de conformité du Questionnaire d'auto-évaluation P2PE-HW Version 3.0 Février 2014 Section 1 : Informations relatives à l

Plus en détail

GUIDE DE DÉMARRAGE - SERVICE DE CONFORMITÉ PCI VERSION 4.0

GUIDE DE DÉMARRAGE - SERVICE DE CONFORMITÉ PCI VERSION 4.0 ! Guide de l utilisateur GUIDE DE DÉMARRAGE - SERVICE DE CONFORMITÉ PCI VERSION 4.0 14 Septembre 2009 Copyright 2006-2009 Qualys, Inc. Tous droits réservés. Qualys, le logo Qualys et QualysGuard sont des

Plus en détail

Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement

Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement Assurer la conformité PCI et la protection des données des porteurs de cartes avec les bonnes pratiques de sécurité. Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

Présentation de la société. Aout 2011

Présentation de la société. Aout 2011 Présentation de la société Aout 2011 En quelques mots SonicWALL Inc, (Nasdaq SNWL), est un leader mondial de solutions intelligentes de sécurité des réseaux et de protection de données. Fournisseur de

Plus en détail

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé

Plus en détail

Être conforme à la norme PCI. OUI, c est possible!

Être conforme à la norme PCI. OUI, c est possible! Être conforme à la norme PCI OUI, c est possible! Présentation Réseau Action TI 8 mai 2013 Johanne Darveau Directrice systèmes, portefeuille de projets et support applicatif Technologies de l information

Plus en détail

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l

Plus en détail

Guide des solutions 2X

Guide des solutions 2X Guide des solutions 2X Page 1/22 Sommaire Les solutions d infrastructures d accès 2X... 3 2X Application Server/LoadBalancer... 4 Solution pour un seul Terminal Server... 4 Solution pour deux Terminal

Plus en détail

Fax sur IP. Panorama

Fax sur IP. Panorama Fax sur IP Panorama Mars 2012 IMECOM Groupe prologue - Z.A. Courtaboeuf II - 12, avenue des Tropiques - B.P. 73-91943 LES ULIS CEDEX - France Phone : + 33 1 69 29 39 39 - Fax : + 33 1 69 28 89 55 - http://www.prologue.fr

Plus en détail

Solution de gestion des journaux pour le Big Data

Solution de gestion des journaux pour le Big Data Solution de gestion des journaux pour le Big Data PLATE-FORME ÉVOLUTIVE D INFORMATIONS SUR LES JOURNAUX POUR LA SÉCURITÉ, LA CONFORMITÉ ET LES OPÉRATIONS INFORMATIQUES Plus de 1 300 entreprises de secteurs

Plus en détail

Rapidité, économies et sécurité accrues : comment améliorer la souplesse, le coût total de possession (TCO) et la sécurité grâce à une planification

Rapidité, économies et sécurité accrues : comment améliorer la souplesse, le coût total de possession (TCO) et la sécurité grâce à une planification Rapidité, économies et sécurité accrues : comment améliorer la souplesse, le coût total de possession (TCO) et la sécurité grâce à une planification des tâches sans agent Livre blanc rédigé pour BMC Software

Plus en détail

cartes bancaires PCI DSS et le système CB Thierry Autret Groupement des Cartes Bancaires CB

cartes bancaires PCI DSS et le système CB Thierry Autret Groupement des Cartes Bancaires CB Sécurité des données cartes bancaires PCI DSS et le système CB Thierry Autret Groupement des Cartes Bancaires CB Comment faire passer PCI DSS Version américaine Source : http://www.youtube.com/watch?v=xpfcr4by71u

Plus en détail

Next Generation Networking. Solutions proposées aux défis des détaillants. Livre blanc

Next Generation Networking. Solutions proposées aux défis des détaillants. Livre blanc Next Generation Networking Solutions proposées aux défis des détaillants Livre blanc Introduction Aujourd hui plus que jamais, les détaillants dépendent d Internet pour connecter un grand nombre de sites

Plus en détail

GESTION DU RÉSEAU DANS LES ENVIRONNEMENTS DISTRIBUÉS. Défis et Opportunités pour l Entreprise

GESTION DU RÉSEAU DANS LES ENVIRONNEMENTS DISTRIBUÉS. Défis et Opportunités pour l Entreprise GESTION DU RÉSEAU DANS LES ENVIRONNEMENTS DISTRIBUÉS Défis et Opportunités pour l Entreprise I. INTRODUCTION Le développement des réseaux ne se limite pas à leur taille et à leurs capacités, il concerne

Plus en détail

Guide des solutions Microsoft Server

Guide des solutions Microsoft Server Guide des solutions Microsoft Server Quel serveur choisir pour les petites et moyennes entreprises? Guide Partenaires Dans le monde des entreprises d aujourd hui, les PME doivent faire beaucoup de choses

Plus en détail

Tufin Orchestration Suite

Tufin Orchestration Suite Tufin Orchestration Suite L orchestration des stratégies de sécurité sur l ensemble des environnements de réseaux physiques et Cloud hybrides Le défi de la sécurité réseau Dans le monde actuel, les entreprises

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Industrie des cartes de paiement (PCI) Norme de sécurité des données Attestation de conformité du Questionnaire d'auto-évaluation B-IP Version 3.0 Février 2014 Section 1 : Informations relatives à l évaluation

Plus en détail

Certification PCI-DSS. Janvier 2016

Certification PCI-DSS. Janvier 2016 Certification PCI-DSS Janvier 2016 Définitions La certification PCI DSS (Payment Card Industry Data Security Standard) est destinée aux entités appelées à transmettre, manipuler et/ou stocker des données

Plus en détail

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE sommaire MIEUX COMPRENDRE LES CERTIFICATS SSL...1 SSL et certificats SSL : définition...1

Plus en détail

Argumentaire de vente Small Business Server 2003

Argumentaire de vente Small Business Server 2003 Argumentaire de vente Small Business Server 2003 Beaucoup de petites entreprises utilisent plusieurs PC mais pas de serveur. Ces entreprises développent rapidement leur informatique. Microsoft Windows

Plus en détail

Gestion des licences électroniques avec Adobe License Manager

Gestion des licences électroniques avec Adobe License Manager Article technique Gestion des licences électroniques avec Adobe License Manager Une méthode plus efficace pour gérer vos licences logicielles Adobe Cet article technique traite des enjeux de la gestion

Plus en détail

Atteindre la flexibilité métier grâce au data center agile

Atteindre la flexibilité métier grâce au data center agile Atteindre la flexibilité métier grâce au data center agile Aperçu : Permettre l agilité du data-center La flexibilité métier est votre objectif primordial Dans le monde d aujourd hui, les clients attendent

Plus en détail

Questionnaire d'auto-évaluation A et attestation de conformité

Questionnaire d'auto-évaluation A et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation A et attestation de conformité Toutes les fonctions de données de titulaires de carte sous-traitées. Aucun stockage, traitement

Plus en détail

Bénéfices de Citrix NetScaler pour les architectures Citrix

Bénéfices de Citrix NetScaler pour les architectures Citrix Bénéfices de Citrix NetScaler pour les architectures Citrix 15 novembre 2007 Auteurs: Mahmoud EL GHOMARI E-mail: mahmoud.elghomari@eu.citrix.com Stéphane CAUNES E-mail: stephane.caunes@eu.citrix.com Riad

Plus en détail

Le Contrat comprend les présentes Conditions générales de vente et d utilisation, ainsi que les Conditions particulières.

Le Contrat comprend les présentes Conditions générales de vente et d utilisation, ainsi que les Conditions particulières. Conditions générales de vente et d utilisation Le Contrat comprend les présentes Conditions générales de vente et d utilisation, ainsi que les Conditions particulières. I Lexique et informations : Le client

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit Data Loss Prevention Version 11.1.1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans

Plus en détail

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Fiche technique: Sécurité de la messagerie Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Présentation protège les données confidentielles et garantit la productivité

Plus en détail

Une approche à multiples niveaux en matière de sécurité des cartes de paiement

Une approche à multiples niveaux en matière de sécurité des cartes de paiement Une approche à multiples niveaux en matière de sécurité des cartes de paiement Une approche à multiples niveaux en matière de sécurité des cartes de paiement SANS PRÉSENCE DE LA CARTE 1 Une récente étude

Plus en détail

CONNECTIVITÉ. Options de connectivité de Microsoft Dynamics AX. Microsoft Dynamics AX. Livre blanc

CONNECTIVITÉ. Options de connectivité de Microsoft Dynamics AX. Microsoft Dynamics AX. Livre blanc CONNECTIVITÉ Microsoft Dynamics AX Options de connectivité de Microsoft Dynamics AX Livre blanc Ce document décrit les possibilités offertes par Microsoft Dynamics AX en terme de connectivité et de montée

Plus en détail

Guide pratique des solutions d automatisation des processus métier Avril 2014

Guide pratique des solutions d automatisation des processus métier Avril 2014 Guide pratique des solutions d automatisation des processus métier Avril 2014 Kemsley Design Limited Kemsley Design Limited www.kemsleydesign.com www.column2.com www.kemsleydesign.com www.column2.com Présentation

Plus en détail

Unitt www.unitt.com. Zero Data Loss Service (ZDLS) La meilleure arme contre la perte de données

Unitt www.unitt.com. Zero Data Loss Service (ZDLS) La meilleure arme contre la perte de données Zero Data Loss Service (ZDLS) La meilleure arme contre la perte de données La meilleure protection pour les données vitales de votre entreprise Autrefois, protéger ses données de manière optimale coûtait

Plus en détail

Architecture de join.me

Architecture de join.me Présentation technique de l architecture sécurisée et fiable de join.me 1 Introduction 2 Présentation de l architecture 3 Sécurité des données 4 Sécurité des sessions et du site web 5 Présentation de l

Plus en détail

Gestion de la sécurité de l information par la haute direction

Gestion de la sécurité de l information par la haute direction Étude technique Gestion de la sécurité de l information par la haute direction _la force de l engagement MC Groupe CGI inc. 2004, 2010. Tous droits réservés. Aucune partie de cette publication ne peut

Plus en détail

Site Web e-rcs GUIDE UTILISATEUR SAFERPAY V1.5

Site Web e-rcs GUIDE UTILISATEUR SAFERPAY V1.5 GUIDE UTILISATEUR SAFERPAY V1.5 GUIDE UTILISATEUR SAFERPAY SOMMAIRE 1. A propos de ce guide 3 1.1. Symboles utilisés 3 1.2. Terminologie 3 2. Plateforme de paiement électronique Saferpay 4 2.1. Nouveau

Plus en détail

Label sécurité ITrust : ITrust Security Metrics

Label sécurité ITrust : ITrust Security Metrics ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions

Plus en détail

Virtual Data Center d Interoute. Prenez la main sur votre Cloud.

Virtual Data Center d Interoute. Prenez la main sur votre Cloud. Virtual Data Center d Interoute. Prenez la main sur votre Cloud. Faites évoluer vos ressources informatiques à la demande Choisissez la localisation d hébergement de vos données en Europe Le réseau européen

Plus en détail

KASPERSKY SECURITY FOR BUSINESS

KASPERSKY SECURITY FOR BUSINESS KASPERSKY SECURITY FOR BUSINESS IDENTIFIER. CONTRÔLER. PROTÉGER. Guide de migration RENOUVELLEMENTS ET MISES À NIVEAU DES LICENCES : Guide de migration PRÉSENTATION DE LA NOUVELLE GAMME ENDPOINT SECURITY

Plus en détail

Conformité PCI DSS. Réduire les risques en gérant les identités et les accès. white paper

Conformité PCI DSS. Réduire les risques en gérant les identités et les accès. white paper Conformité PCI DSS Réduire les risques en gérant les identités et les accès Ce livre blanc explique comment la suite IAM d Evidian peut vous aider à vous conformer aux exigences PCI DSS. white paper 39

Plus en détail

Symantec Enterprise Vault 7.0

Symantec Enterprise Vault 7.0 Symantec Enterprise Vault 7.0 Stocker, gérer et récupérer les informations stratégiques de l'entreprise Suite à l explosion des volumes de données et au développement des communications et des échanges

Plus en détail

Module 1. Introduction à la gestion de l environnement Windows Server 2008 R2

Module 1. Introduction à la gestion de l environnement Windows Server 2008 R2 Module 1 Introduction à la gestion de l environnement Windows Server 2008 R2 Vue d ensemble du module Rôles serveur Utilisation des outils d administration Microsoft Windows Server 2008 R2 Utilisation

Plus en détail

Installation technique et démarrage HP Services de mise en œuvre de HP OpenView Performance Insight

Installation technique et démarrage HP Services de mise en œuvre de HP OpenView Performance Insight Installation technique et démarrage HP Services de mise en œuvre de HP OpenView Performance Insight Les experts en gestion des services HP apportent au client les compétences et les connaissances nécessaires

Plus en détail

Cloud Service Management

Cloud Service Management Cloud Service Management HEAT Help Desk SOLUTION BRIEF 1 MODERNISEZ LES OPERATIONS DE GESTION DES SERVICES ET OFFREZ PLUS DE VALEUR STRATEGIQUE A L ENTREPRISE HEAT Cloud Service Management est un ensemble

Plus en détail

Comment activer un accès pratique et sécurisé à Microsoft SharePoint?

Comment activer un accès pratique et sécurisé à Microsoft SharePoint? DOSSIER SOLUTIONS SharePoint Security Solution de CA Technologies Comment activer un accès pratique et sécurisé à Microsoft SharePoint? agility made possible La solution de sécurité SharePoint proposée

Plus en détail

de virtualisation de bureau pour les PME

de virtualisation de bureau pour les PME 01 Finches Only 02 ViewSonic Only Solutions de point de terminaison en matière de virtualisation de bureau pour les PME Erik Willey 15/04/2014 RÉSUMÉ : La flexibilité du point de terminaison maximise votre

Plus en détail

DSOP - Canada Service Providers FR 07/10 1/5

DSOP - Canada Service Providers FR 07/10 1/5 Lignes directrices opérationnelles sur la sécurité des données d American Express à l intention des fournisseurs de services canadiens* Chef de file en protection des consommateurs, American Express s

Plus en détail

Service de migration du centre de données Cisco

Service de migration du centre de données Cisco Service de migration du centre de données Cisco Le service Cisco Data Center Migration Service (service de migration du centre de données Cisco) permet aux entreprises et aux prestataires de services d

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement

Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement Conditions et procédures d évaluation de sécurité Version 3.0 Novembre 2013 Modifications apportées au document

Plus en détail

GESTION DU RÉSEAU DANS LES ENVIRONNEMENTS DISTRIBUÉS. Défis et possibilités pour les fournisseurs de services gérés (FSG)

GESTION DU RÉSEAU DANS LES ENVIRONNEMENTS DISTRIBUÉS. Défis et possibilités pour les fournisseurs de services gérés (FSG) GESTION DU RÉSEAU DANS LES ENVIRONNEMENTS DISTRIBUÉS Défis et possibilités pour les fournisseurs de services gérés (FSG) I. Introduction Le développement des réseaux ne se limite pas à leur taille et à

Plus en détail

Dossier de presse. Offre Allinclouded by Flexsi Le cloud privé sur mesure, enfin pour les PME!

Dossier de presse. Offre Allinclouded by Flexsi Le cloud privé sur mesure, enfin pour les PME! Dossier de presse Paris, le 14 mai 2013 Offre Allinclouded by Flexsi Le cloud privé sur mesure, enfin pour les PME! Avec sa nouvelle offre Allinclouded, Flexsi permet à chacun, quʼil soit sur PC ou Mac,

Plus en détail

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Sécurisation des paiements en lignes et méthodes alternatives de paiement Comment sécuriser vos paiements en ligne? Entre 2010 et 2013, les chiffres démontrent que c est sur internet que la fraude à la carte bancaire a montré sa plus forte progression. Même si le taux de fraude

Plus en détail

Comment sécuriser les communications vers des tiers et des établissements partenaires?

Comment sécuriser les communications vers des tiers et des établissements partenaires? Comment sécuriser les communications vers des tiers et des établissements partenaires? Olivier Mazade Responsable Réseaux Centre Hospitalier Universitaire de Clermont Ferrand Xavier Hameroux Directeur

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

Assises DATACENTER. Le 17 avril 2013 Pavillon Dauphine, Paris

Assises DATACENTER. Le 17 avril 2013 Pavillon Dauphine, Paris Le 17 avril 2013 Pavillon Dauphine, Paris Le présent document est l analyse d ORSYP Consulting à la demande du CESIT. Nathan SROUR Principal +33 (0) 6 09 06 76 91 Nathan.Srour@orsyp.com Damien CONVERT

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart

Plus en détail

Business Central Wireless Manager

Business Central Wireless Manager Business Central Wireless Manager Guide de présentation Sommaire CATÉGORIE DE PRODUIT... 3 PRÉSENTATION... 3 PRÉSENTATION DE BUSINESS CENTRAL... 3 FONCTIONNALITÉS ET ATOUTS... 4 POINTS D ACCÈS WIFI PRIS

Plus en détail

TIBCO LogLogic Une solution de gestion Splunk

TIBCO LogLogic Une solution de gestion Splunk P R É S E N TAT I O N D E L A S O L U T I O N TIBCO LogLogic Une solution de gestion 1 Table des matières 3 La situation actuelle 3 Les défis 5 La solution 6 Fonctionnement 7 Avantages de la solution 2

Plus en détail

votre partenaire informatique pour un développement durable Les réalités de la virtualisation des postes de travail

votre partenaire informatique pour un développement durable Les réalités de la virtualisation des postes de travail votre partenaire informatique pour un développement durable Les réalités de la virtualisation des postes de travail Les réalités de la virtualisation des postes de travail votre partenaire informatique

Plus en détail

Découverte et investigation des menaces avancées PRÉSENTATION

Découverte et investigation des menaces avancées PRÉSENTATION Découverte et investigation des menaces avancées PRÉSENTATION AVANTAGES CLÉS RSA Security Analytics offre les avantages suivants : Surveillance de la sécurité Investigation des incidents Reporting sur

Plus en détail

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur Quels outils mettre en œuvre pour garantir une sécurité informatique maximale et conforme aux exigences

Plus en détail

PCI (Payment Card Industry) Data Security Standard

PCI (Payment Card Industry) Data Security Standard PCI (Payment Card Industry) Data Security Standard Conditions et procédures d'évaluation de sécurité Version 2.0 Octobre 2010 Modifications apportées au document Version Description Pages Octobre 2008

Plus en détail