Norme PCI Septembre La norme PCI : transformer une contrainte en opportunité

Transcription

1 Norme PCI Septembre 2008 La norme PCI : transformer une contrainte en opportunité

2 Page 2 Sommaire 2 Synthèse 2 Une autre vision des exigences PCI 4 Corréler la conformité PCI avec votre stratégie globale de gouvernance et de gestion des risques 5 Les défis de la mise en conformité 6 L intérêt d une assistance extérieure 6 Identifier le bon prestataire 8 Pourquoi choisir IBM? Synthèse Les principaux réseaux de cartes de paiement se sont rapprochés pour élaborer des règles standardisées de sécurité de l information et ont institué un comité chargé de les faire appliquer. La norme PCI DSS (Payment Card Industry Data Security Standard) a aujourd hui une portée mondiale, mais beaucoup d entreprises rechignent encore à l adopter. Déjà accablées par quantité d obligations réglementaires, elles ne voient souvent dans la conformité PCI DSS qu un casse-tête supplémentaire. IBM est au contraire convaincue que le standard PCI peut constituer une véritable opportunité. Il est en effet si bien conçu qu il peut servir de tremplin au développement et à l optimisation de votre stratégie de gestion des risques. Ce document présente les gains d efficacité que peut engendrer une stratégie articulée autour de la conformité PCI. Il montre également la valeur ajoutée que peut vous apporter une assistance extérieure dans votre démarche de conformité, ainsi que les qualifications que vous devez attendre du prestataire. Une autre vision des exigences PCI De graves incidents de sécurité et vols d identités dont certains ont été fatals aux entreprises victimes ont montré la nécessité de protocoles assurant une protection efficace des données des cartes de paiement. Le «cybercasse» le plus spectaculaire à ce jour a frappé le distributeur anglo-saxon TJX, qui s est fait dérober les données bancaires de plus de 45 millions de clients. Ce genre de catastrophes et toute une série de problèmes de moindre ampleur (et donc moins médiatisés) ont fini par saper la confiance des clients et par vulnérabiliser les entreprises qui acceptent les paiements par carte. Initialement, ce sont les grands réseaux Visa International et MasterCard Worldwide qui ont forgé ensemble le standard PCI, avant de se regrouper, en septembre 2006, avec American Express, Discover Financial Services et JCB au sein du PCI Security Standards Council pour le généraliser à tous les réseaux de cartes.

3 Page 3 Les six volets des bonnes pratiques PCI Les six domaines couverts par la norme PCI en matière de protection des données vous aident à élaborer une approche complète de la sécurité de la protection des réseaux aux règles de gouvernance. Mettre en place et gérer un réseau sécurisé. - Installer un pare-feu pour protéger les données des porteurs de carte. - Ne pas conserver les paramètres par défaut des fournisseurs pour les mots de passe et les autres paramètres de sécurité. Protéger les données des porteurs de carte. - Protéger les données qui sont enregistrées. - Chiffrer la transmission des données. Mettre en œuvre un programme de gestion des vulnérabilités. - Utiliser et mettre à jour régulièrement un logiciel antivirus. - Développer et gérer des applications sécurisées. La norme PCI peut être perçue comme une contrainte supplémentaire pour des entreprises déjà accablées par la lourdeur de la réglementation du secteur des services financiers norme ISO (Organisation internationale de normalisation) / IEC (Commission électrotechnique internationale) 27002, loi Sarbanes-Oxley, etc. Pourtant, elle peut considérablement simplifier votre travail. Parce qu elle est très complète et bien conçue, la norme PCI peut faciliter la mise en conformité par rapport à de nombreuses obligations légales. Et parce que la confidentialité est au cœur des préoccupations des entreprises, la conformité PCI ne peut que favoriser votre rentabilité. Cette norme peut en fait devenir le principe de base de l organisation de votre stratégie globale de gouvernance et de gestion des risques. Son adoption en tant que bonne pratique et la mise en corrélation de ses préconisations avec vos processus métier peuvent vous apporter des gains significatifs en termes d efficacité et de sécurité de l information. Comme vous pouvez le voir dans l encadré ci-contre, les préconisations de la norme PCI constituent de bonnes pratiques dans l absolu, pour n importe quelle stratégie de sécurisation. Qui est concerné par la norme PCI DSS? Tous les commerçants et tous les prestataires qui stockent, traitent, exploitent ou transmettent des données de porteurs de carte doivent respecter ce standard de sécurité. Ce sont les sociétés de cartes de paiement et leurs banques acquéreurs qui veillent à sa mise en application. Mettre en œuvre des mesures de contrôle d accès efficaces. - Limiter l accès aux données des porteurs de carte aux cas de nécessité professionnelle absolue - Attribuer un identifiant unique à chaque utilisateur. - Limiter l accès physique aux données des porteurs de carte. Surveiller et tester régulièrement les réseaux. - Suivre et surveiller les accès aux ressources du réseau et aux données - Tester régulièrement les systèmes et procédures de sécurité. Mettre en œuvre une politique en matière de sécurité de l information. - Développer et gérer des protocoles de sécurité fondés sur des règles.

4 Page 4 Points clés Le framework COSO a été conçu pour aider les entreprises à développer des stratégies de gestion des risques efficaces. Corréler la conformité PCI avec votre stratégie globale de gouvernance et de gestion des risques Le problème de la compliance PCI ne relève pas d une approche «à part». La gouvernance et la gestion des risques sont au cœur de la norme PCI. En 2004, le Committee of Sponsoring Organizations (COSO) de la Treadway Commission a publié un «framework» intégré pour la gestion des risques en vue de fournir aux entreprises un guide et une référence dans plusieurs domaines : Adapter leur tolérance aux risques à leurs objectifs opérationnels Mesurer les risques et déterminer l impact d une prise de risques sur la croissance Accroître leur flexibilité dans la réduction des risques et la résolution des incidents Identifier et corréler les risques transversaux Développer une capacité transversale en matière de gouvernance et de gestion des risques Réagir aux opportunités commerciales en cernant l ensemble des événements qui interviennent au sein de l entreprise Optimiser les investissements par une meilleure évaluation des risques La norme PCI prépare votre mise en conformité par rapport à différentes réglementations. La norme PCI a été conçue pour couvrir les quatre domaines cruciaux du framework COSO : L identification des événements reconnaît à la fois les opportunités commerciales offertes par la vente en ligne et les problèmes de protection des données personnelles des porteurs de cartes. À travers l évaluation des risques, les entreprises analysent de façon réaliste les risques pour elles-mêmes, pour la protection des données personnelles des clients et pour les émetteurs de cartes. La réponse aux risques réduit le coût de la gestion des risques en proposant un même ensemble de standards de sécurité qui permettent aux entreprises de respecter différents contrats d émetteurs de carte. Les activités de contrôle définissent des recommandations et des règles claires que tout le monde doit suivre pour susciter la confiance des consommateurs et réduire le risque de non-conformité. Heureusement, les processus d identification des événements, d évaluation des risques, de réponse aux risques et de contrôle sont pertinents pour quantité d autres réglementations Sarbanes-Oxley, GLBA (Gramm-Leach-Bliley Act), HIPAA (Health Insurance Portability and Accountability)... En adoptant une stratégie de gouvernance et de gestion des risques incluant la conformité PCI, votre entreprise peut rationaliser ses activités de mise en conformité et réduire ses coûts.

5 Page 5 Points clés Il faut bien identifier les obstacles sur la voie de la compliance PCI. Les défis de la mise en conformité La norme PCI est énoncée dans des termes simples et forme une base solide pour votre stratégie de gouvernance et de gestion des risques. Vous devez cependant bien cerner une série de facteurs susceptibles de compliquer votre démarche de compliance. Par exemple, si tous les émetteurs de cartes de paiement adhèrent aux mêmes normes de base, chacun a ses exigences particulières et ses propres mécanismes de mise en œuvre. Ces éléments doivent être pris en compte dans l élaboration de votre stratégie. Vous devez mettre en place certains points de contrôle et être en mesure de démontrer votre conformité. Pour subir avec succès l évaluation de conformité, vous devez prévoir un certain nombre de contrôles. Vous devez également être en mesure de démontrer que vous ne conservez pas d informations que, selon la norme PCI, vous n êtes pas habilité à détenir. Ainsi, vous ne devez jamais conserver l ensemble des données stockées sur la carte ou le code de vérification de la carte (CVC, CVV2 ou CID). L obligation de supprimer les informations qui ne doivent pas être conservées implique aussi l élimination des données inadéquates de l ensemble des flots de données. Aux États-Unis, l utilisation d un processus d élimination certifié par le ministère de la Défense répond à cette exigence, tandis que le processus d élimination prévu par la loi de protection des données personnelles (américain ou européen) est exigé dans d autres régions du monde. Ces flots de données incluent les bases de données, les fichiers de sauvegarde, les fichiers de journalisation (transactions, applications, équipements, erreurs), les rapports d erreurs et les «renifleurs» de paquets réseau, de même que les images mémoire utilisées à des fins de diagnostic.

6 Page 6 Comment éviter les erreurs courantes Il peut être utile de connaître certaines anomalies fréquemment rencontrées lors des évaluations de conformité, notamment : Stockage illicite de données de porteurs de carte Utilisation de données porteurs en environnement de test Non-chiffrement du numéro complet de la carte de paiement Absence d un système de segmentation réseau permettant d isoler l environnement transactionnel Absence de cloisonnement dans les missions du personnel interne Absence de classification confidentielle des supports contenant des données porteurs L intérêt d une assistance extérieure Si certaines entreprises décident de développer, de mettre en œuvre, d évaluer et de tester leur propre stratégie de conformité, d autres préfèrent s appuyer sur un prestataire pour conduire ces activités. Elles estiment par exemple qu un fournisseur peut apporter une validation extérieure des règles et des processus mis en place, cette validation pouvant conforter la confiance des clients, des partenaires, des actionnaires et des émetteurs de cartes. Un intervenant extérieur peut également produire une analyse objective de votre situation en termes de compliance, avec des recommandations pour combler les lacunes. (Les évaluateurs externes devant proposer au moins trois fournisseurs de technologie et de services, vous êtes protégé contre un fournisseur qui se contenterait de préconiser ses propres solutions.) Lorsque les activités de mise en conformité sont réalisées en interne, les dirigeants sont pleinement responsables des erreurs ou des omissions. Le recours à un prestataire extérieur peut atténuer ce risque. Les entreprises peuvent conduire elles-mêmes leurs tests d intrusion si elles le souhaitent. Les commerçants et les prestataires de services sont généralement tenus de faire effectuer des analyses trimestrielles du réseau externe par un évaluateur externe agréé. Quand le montant des paiements par carte atteint un certain seuil, il est obligatoire de faire appel à un évaluateur PCI certifié pour valider la conformité de l entreprise. Le programme Qualified Security Assessor (QSA) mis en place par le PCI Security Standards Council a pour objectif de certifier les fournisseurs chargés de ces évaluations. Identifier le bon prestataire On pourrait s interroger sur l opportunité de laisser un consultant extérieur passer au crible les informations de votre entreprise : il est donc important de choisir un prestataire sûr, expérimenté et certifié, capable de déployer le standard PCI DSS dans votre secteur. Ce prestataire doit pouvoir prendre en charge toutes les phases de la validation de votre conformité des tests préliminaires au certificat de compliance final. Il doit être prêt à vous proposer plusieurs alternatives pour atteindre le même niveau de protection, avec un plan de route détaillé pour chacune d elles. Ses compétences doivent aller au-delà des services de compliance pour couvrir la situation globale de votre entreprise en termes de sécurité et vous soumettre des recommandations pour protéger votre infrastructure. Et les services fournis doivent être clairement définis, surtout si le contrat court sur plusieurs années.

7 Page 7 Les outils et les technologies propriétaires IBM Suite Consul InSight : collecte et centralise les données de sécurité journalisées, les filtre par rapport aux règles de sécurité, déclenche automatiquement les mesures et les alertes appropriées, archive les données de journalisation, et fournit un tableau de bord offrant une vision et un reporting consolidés. Solutions IBM Internet Security Systems : cette plate-forme, qui assure une protection automatique contre les menaces Internet connues et inconnues, s appuie sur les outils d analyse sophistiqués développés par les experts de la X-Force l équipe de recherche et développement d IBM Internet Security Systems. D autres matériels, logiciels et services IBM dont le logiciel IBM Tivoli, les solutions de chiffrement IBM System z et le programme IBM Resource Access Control Facility (RACF ) optimisent la sécurité, la conformité et la mise en corrélation de l informatique avec les objectifs stratégiques de l entreprise.. À mesure que vous progresserez dans votre processus de sélection, vous aurez intérêt à vous poser les questions suivantes : Que vais-je obtenir en retour de mon investissement? Un simple résultat d analyse, ou l expertise sécurité du fournisseur? Quel est le degré de personnalisation de l évaluation que me propose ce fournisseur? Ce fournisseur est-il vraiment certifié pour toutes les phases de la validation de la conformité PCI? Ce fournisseur a-t-il clairement précisé le calendrier? De l évaluation préliminaire au rapport de conformité, le processus peut prendre 9 à 18 mois. Sommes-nous prêts à faire face? En bref, il vous faut un conseiller en sécurité capable de vous défendre auprès de votre banque acquéreur et des sociétés émettrices de cartes de paiement.

8 Pourquoi choisir IBM? IBM Internet Security Systems (ISS) est un prestataire validé et reconnu par le secteur des cartes de paiement pour ses services d évaluation de la sécurité dans le cadre de la mise en conformité avec le standard PCI. Fournisseur certifié de services d évaluation (Qualified Security Assessor QSA), de services de balayages de sécurité (Approved Scanning Vendor ASV) et de services d évaluation des bonnes pratiques en matière d applications de paiement (Payment Application Best Practices PABP), IBM ISS peut aider les organisations à répondre aux exigences PCI DSS. IBM ISS est également un prestataire certifié dans le domaine de la résolution des incidents (Qualified Incident Response Company QIRC). Les consultants sécurité de haut niveau d IBM possèdent une expertise sectorielle et s appuient sur des méthodes fondées sur les bonnes pratiques ISO/IEC Ces compétences nous permettent d aller au-delà de la simple évaluation de votre conformité PCI et de vous présenter des recommandations détaillées pour l élaboration d une stratégie de sécurité globale. Copyright IBM Corporation 2008 Compagnie IBM France Tour Descartes - La Défense 5 2, avenue Gambetta Paris La Défense Cedex Imprimé en France Tous droits réservés IBM, le logo IBM, Internet Security Systems, RACF, System z, Tivoli et X-Force sont des marques d International Business Machines Corporation aux États-Unis et/ou dans certains autres pays. Les autres noms de société, de produit et de service peuvent appartenir à des tiers. Le fait que des produits ou des services IBM soient mentionnés dans le présent document ne signifie pas qu IBM ait l intention de les commercialiser dans tous les pays où elle exerce une activité. Les technologies et les outils IBM vous aident en outre à préserver durablement votre conformité. Et nos références attestent que nous pouvons gérer vos informations sensibles en toute confidentialité. Pour en savoir plus Pour toute information complémentaire sur la compliance PCI et sur l aide qu IBM peut vous apporter, contactez IBM ou un Partenaire IBM, ou visitez : ibm.com/services/fr GTW01773-FRFR-00