Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA. à la norme PCI-DSS, level 1

Transcription

1 POUR L EVALUATION DE LA CONFORMITE DU GIM-UEMOA A LA NORME PCI-DSS, LEVEL 1 TERMES DE REFERENCE Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA à la norme PCI-DSS, level 1 TDR : Mise en conformité PCI-DSS Page : 1/8

2 1. PRESENTATION DU GIM-UEMOA L Union Economique et Monétaire Ouest Africaine (UEMOA) est une zone intégrée regroupant les Etats membres suivants : Bénin, Burkina Faso, Côte d Ivoire, Guinée Bissau, Mali, Niger, Sénégal et Togo. Elle présente les caractéristiques essentielles ci-après : environ 94 millions d habitants ; une centaine de banques, établissements financiers et postaux ; un Institut d émission commun aux huit Etats, la Banque Centrale des Etats de l Afrique de l Ouest (BCEAO) ; une monnaie unique, une même langue et une politique commune monétaire et de crédit. Ces spécificités constituent un atout considérable pour le développement de la monétique dans la région. Cependant, les marchés monétiques nationaux des pays francophones d Afrique de l Ouest sont pour la plupart à l état embryonnaire et caractérisés, il y a quelques années, par une absence d interbancarité entre les systèmes existants, mais leur potentiel d évolution pour les services monétiques est important. Aussi, la BCEAO a-t-elle initié un important projet de modernisation des systèmes et moyens de paiement dont l un des volets principaux est la mise en place d un système interbancaire de paiement et de retrait par carte au sein des huit Etats membres. Dans le cadre de ce volet pour lequel la BCEAO joue un rôle fédérateur, la mise en place dudit système est assurée pour le compte des banques, établissements financiers et postaux et institutions de micro finance membres par le GIM-UEMOA. Le GIM-UEMOA est la structure de gouvernance, de tutelle et de traitement de la monétique régionale. Il a été constitué en février 2003, sous forme de Groupement d'intérêt Economique doté d un capital et dénommée le Groupement Interbancaire Monétique de l Union Economique et Monétaire Ouest Africaine (GIM-UEMOA). Le GIM-UEMOA regroupe à ce jour 104 membres qui sont des banques, établissements financiers et postaux et de monnaie électronique et institutions de microfinance de l UEMOA. L objectif principal visé par le projet monétique interbancaire régional est de faire de la carte bancaire GIM le premier instrument de paiement dans la zone UEMOA. Les banques, établissements financiers et postaux et institutions de micro finance de l UEMOA, membres du GIM-UEMOA, parties prenantes au système interbancaire de paiement par carte ou tout autre moyen de paiement électronique au sein de l'union, visent à travers la mise en place de l interbancarité régionale à : développer de manière efficace des moyens modernes de paiement, afin d augmenter leur productivité interne, d apporter de nouveaux services à la clientèle, et de promouvoir l utilisation des moyens de paiement modernes ; mettre en commun les moyens nécessaires pour le traitement des opérations monétiques, et ainsi éviter la multiplication des investissements, aussi bien humains que matériels ; réaliser en commun ou partager la charge des investissements, particulièrement coûteux en monétique. En initiant le projet monétique interbancaire, les membres du GIM-UEMOA, promoteurs du projet se sont fixés les orientations ci-après : Développer l interbancarité monétique entre eux ; TDR : Mise en conformité PCI-DSS Page : 2/8

3 Faciliter une large acceptation et utilisation de la carte bancaire ou tout autre moyen de paiement électronique dans la zone UEMOA; Identifier et initier des projets à forte valeur ajoutée autour de la carte bancaire, du mobile banking, ou tout autre moyen de paiement électronique ; Réduire le coût de traitement des transactions ; Assurer la sécurité du système et réduire le risque systémique ; Renforcer les capacités de négociation auprès des émetteurs internationaux (Visa, MasterCard, Amex, UnionPay, etc.). Les principales missions du GIM-UEMOA sont : Définition et suivi de la réglementation interbancaire. Définition et suivi des normes techniques de l'interbancarité. Elaboration de la tarification interbancaire Représentation des membres auprès des émetteurs internationaux (Visa, MasterCard, Amex ). Promotion du système monétique interbancaire ou tout autre moyen de paiement. Veille technologique. Formation des membres. Du point de vue technique et opérationnel, le GIM-UEMOA met à la disposition des membres : les services interbancaires (Interopérabilité nationale, régionale et internationale) ; les services délégataires (traitements monétiques bancaires par délégation permanente, partielle ou en secours) ; les services de paiement centralisé à travers l exploitation d un Centre de traitement de commerçant ; les services de prépayée à travers une plateforme unique et centralisée de gestion des cartes prépayées ; les services complémentaires (Centre d appel, Personnalisation de cartes, Maintenance de parcs GAB, TPE, Mobile Banking, Paiement en ligne et diverses assistances ). Le Siège provisoire du GIM-UEMOA est situé à Dakar, en République du Sénégal. 2. DESCRIPTION DE LA PRESTATION DEMANDEE 2.1. Objet de la présente consultation Dans le cadre de l optimisation de la sécurité des données des cartes bancaires, le Groupement Interbancaire Monétique de l UEMOA, déjà conforme aux exigences PCI DSS level 2, lance une consultation en vue de se conformer à la norme PCI-DSS (Payment Card Industry Data Security Standard) Level 1. Il s agit principalement de procéder à l évaluation du GIM-UEMOA conformément à la norme PCI-DSS level 1 en vue de l obtention du certificat en accord avec toutes les exigences de la dernière version de la norme Lieu, périmètre de l intervention et étendue des contrôles Les interventions du QSA retenu se feront au niveau du GIM-UEMOA. TDR : Mise en conformité PCI-DSS Page : 3/8

4 Le QSA doit tout d abord valider la pertinence et l exhaustivité du périmètre technique et organisationnel nécessaire «CardHolder Data Environment (ou CDE )» pour la mise en conformité PCI- DSS du GIM-UEMOA. Le «CDE» inclut par définition l'ensemble des composants (serveurs physiques, applications, équipements réseaux et postes de travail des utilisateurs, mais aussi les sites géographiques et les différents personnels) stockant, traitant ou par lesquels transitent des numéros de cartes bancaires (ou "PAN", Primary Account Number). A ceux-ci s'ajoutent les composants non directement impliqués dans le traitement ou l'utilisation de PAN, mais susceptibles d'y avoir accès, par exemple en raison d'une absence de cloisonnement réseau. L auditeur QSA doit ensuite, lors de l audit de conformité, considérer l ensemble des aspects techniques et les pratiques organisationnelles encadrant le stockage et le traitement des données des cartes prévues par la norme PCI-DSS. Toutes les exigences de PCI-DSS devront être couvertes notamment les domaines suivants : 1. Création et gestion d un réseau sécurisé. 2. Protection des données des titulaires de cartes de crédit. 3. Gestion d un programme de gestion des vulnérabilités. 4. Mise en œuvre des mesures de contrôle d accès strictes. 5. Surveillance et tests réguliers des réseaux. 6. Gestion d une politique de sécurité des informations. La vérification des points de contrôle associés aux exigences par le QSA devra être réalisée pour le GIM- UEMOA via : L examen des configurations et du paramétrage des systèmes. La revue documentaire. L interview du personnel. L observation directe des processus, des actions, des états Diligences à mettre en œuvre et résultats attendus du consultant Le QSA devra s assurer que le cadre organisationnel (politique et procédures) et technique (Architectures des réseaux, conception logicielle et filtrage) du GIM-UEMOA est conforme aux exigences de la norme PCI DSS. L'audit de conformité sera conclu par un rapport d'audit et l'obtention de l'attestation de conformité signée par le QSA. Les trois(3) documents qui seront livrés par le QSA à l'issue de l'audit de certification: Le Report On Compliance (RoC) : le rapport détaillé. L'Attestation of Compliance (AOC) : document signé par le QSA. Le certificat PCI : document rédigé et signé par le QSA à envoyer aux partenaires (Visa, MasterCard, etc ). Pour les scans de vulnérabilités exigés par la norme, le QSA retenu pourra travailler avec l ASV choisi par le GIM-UEMOA, pour fournir les documents et informations suivants: Le Self-Assessment Questionnaire» rempli pour le GIM-UEMOA. Un rapport détaillé des composants ayant passé avec succès ou non les exigences du scan de sécurité. TDR : Mise en conformité PCI-DSS Page : 4/8

5 Un document expliquant les différentes mesures correctives, si failles détectées. Une documentation fournie qui démontre clairement que le GIM-UEMOA remplit les exigences de sécurité du PCI-DSS Level 1, suite aux scans des différents composants testés ; Et, informer les brands (Visa, MasterCard, etc..) de la conformité du GIM-UEMOA, en incluant tous les documents et rapports de scans y afférents. Le QSA retenu devra également accompagner le GIM-UEMOA pour son éligibilité au «PCI SSC Internal Security Assessor Program» ( ISA Program ) en tant que Sponsor Company et ISA pour son personnel. Il devra notamment veiller au : Sponsor Company Qualification du GIM-UEMOA. ISA Qualification du personnel du GIM-UEMOA. Annual Re-Qualification and Good Standing du GIM-UEMOA et de son personnel ISA. Le QSA qui sera retenu devra être un partenaire sûr, expérimenté et certifié, capable de déployer le standard PCI DSS au niveau du GIM-UEMOA. Il doit pouvoir prendre entièrement en charge toutes les phases de la validation de la conformité des tests préliminaires au certificat de conformité final. Il doit être capable de proposer au GIM plusieurs alternatives pour atteindre le même niveau de protection avec un planning détaillé pour chacune d elles. Les fournisseurs QSA sont invités à présenter une offre globale des services et outils de sécurité, à même de leur permettre de mener la prestation conformément aux exigences du standard PCI-DSS Prise en compte des changements et des évolutions Le prestataire devra adapter sa mission pour la prise en charge des évolutions et des changements suivants pouvant impacter: L environnement du GIM-UEMOA (normes EMV, évolutions des produits et services, ). Les moyens technologiques utilisés par le GIM-UEMOA (système de paiement et informatique). Les évolutions et les nouvelles recommandations de PCI SSC (nouvelle version, nouvelle recommandation, clarifications,.). Les nouvelles recommandations des organismes internationaux de standardisation (Visa, Mastercard, EMVco, etc ) Durée de la Mission Le prestataire devra proposer au GIM-UEMOA une durée de mission permettant d avoir le certificat au plus tard fin septembre Profil du soumissionnaire Pour la présente consultation, il est fait appel à des fournisseurs QSA dûment certifiés, ayant leur certificat PCI-SSC en cours de validité, des outils de scan de vulnérabilités agréés par le consortium et des procédures et processus conformes à ceux qu exige la norme PCI-DSS. La langue de travail du GIM-UEMOA est le français. Tout soumissionnaire doit s y conformer. TDR : Mise en conformité PCI-DSS Page : 5/8

6 Certificat QSA Le fournisseur retenu doit fournir au GIM-UEMOA un certificat PCI-SSC en cours de validité, prouvant qu il est agréé QSA Profil des intervenants Pour chacun des membres de l'équipe de scan de vulnérabilité, il s agira de décrire les attributions dans la mission et fournir le niveau de participation. De plus, pour chacun des intervenants, il faudra, en plus de son CV, présenter un résumé succinct de son expérience et de ses qualifications (formation, détails de son expérience dans son domaine de compétence, incluant ses expériences dans des missions similaires) Outils de scan Le prestataire doit prouver que les outils utilisés pour le scan de vulnérabilités sont validés par le PCI-SSC Interface avec les émetteurs internationaux Visa/MasterCard Le prestataire doit communiquer aux émetteurs internationaux partenaires du GIM-UEMOA, toute information souhaitée et requise. 3. LIVRABLES ATTENDUS DU PRESTATAIRE Le prestataire retenu devra fournir à l issue de ses interventions au GIM-UEMOA, tous les documents, rapports et certificats, tel que l exige l application de la norme PCI-DSS, imposée aux QSA. 4. PREPARATION ET PRESENTATION 4.1. Préparation de la soumission Pour la préparation de sa soumission et pour toutes informations complémentaires, le QSA peut s'adresser au GIM-UEMOA joignable aux contacts ci-après : Groupement Interbancaire Monétique de l'uemoa (GIM-UEMOA) Adresse : Lot P10, Ouest Foire, Route de l'aéroport Face Cité BCEAO Boîte Postale : 8853 Dakar Yoff (Sénégal) Tél. (221) (221) Fax (221) gim-uemoa@gim-uemoa.org ; Site internet : Présentation de la soumission Le soumissionnaire fournira dans deux enveloppes séparées une offre technique et une offre financière : - L offre technique comprendra une note de compréhension des termes de référence, la méthodologie et le planning proposés, le certificat QSA en cours de validité du fournisseur, la qualification du personnel chargé de TDR : Mise en conformité PCI-DSS Page : 6/8

7 la mission et les références du soumissionnaire. Elle doit être sur support papier en cinq exemplaires et sur CD ROM au format PDF. L enveloppe portera la mention «Offre technique». - L offre financière donnera avec les détails, le coût total de la prestation libellé en FCFA en HT et TTC. Elle doit être sur support papier en cinq exemplaires et sur CD ROM en format PDF. L enveloppe portera la mention «Offre financière». - Un avant-projet de contrat. Le soumissionnaire proposera un prototype de contrat de service ou de partenariat qu il a coutume de passer avec ses clients. [Il est porté à la connaissance des soumissionnaires relativement audit contrat, que le règlement des litiges sera soumis à la chambre de conciliation et d arbitrage de Dakar à défaut d un accord amiable. Le contrat est de ce fait régi par la loi sénégalaise. Aucune dérogation ne sera admise.] Les deux enveloppes seront insérées dans une grande enveloppe portant les mentions suivantes : [Offre pour «Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM- UEMOA à la norme PCI-DSS, level 1.» - A n ouvrir qu en séance d Ouverture de plis] Et adressée à : Monsieur le Directeur Général du GIM-UEMOA Lot P10, Ouest Foire, Route de l'aéroport Face Cité BCEAO Boîte Postale : 8853 Dakar Yoff (Sénégal) Cette grande enveloppe ne devra comporter aucun marquage extérieur permettant de reconnaître le soumissionnaire Validité des offres Le soumissionnaire reste engagé par son offre pendant une durée de quatre vingt dix (90) jours Conditions de paiement Les conditions de paiement seront discutées d accord parties Délai et lieu de dépôt Les offres devront être déposées au GIM-UEMOA ou envoyées à : Monsieur le Directeur Général du GIM-UEMOA Lot P10, Ouest Foire, Route de l'aéroport Face Cité BCEAO Boîte Postale : 8853 Dakar Yoff (Sénégal) TDR : Mise en conformité PCI-DSS Page : 7/8

8 La date limite de dépôt des offres est fixée au vendredi 13 mars Toute offre parvenue après la date limite et l heure indiquées sera considérée comme irrecevable. 5. MODALITES DE SELECTION Le QSA sera choisi par une commission composée de représentants des différentes directions du GIM- UEMOA. La grille de notation qui sera appliquée pour évaluer les offres est la suivante : 1. Offre Technique 70 Expérience générale dans le domaine et certification QSA valide 30 Qualifications et compétences (personnel et outil de scan) 15 Références 15 Méthodologie Offre Financière 30 Total 100 L'examen des offres financières est conditionné par l'obtention d'une note minimale de l'offre technique de 50/70 Ainsi la note définitive sera N = (70* N. Tech + 30 * N. Fin) / 100 FIN DU DOCUMENT TDR : Mise en conformité PCI-DSS Page : 8/8