GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

Dimension: px
Commencer à balayer dès la page:

Download "GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY."

Transcription

1 ISO & PCI-DSS Une approche commune a-t-elle du sens? version 1.00 ( ) GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY. Rodolphe SIMONETTI CISSP, CISM, PCI-QSA, ISO Lead Auditor, ISO Risk Manager Principal Security Consultant 2008 Verizon. All Rights Reserved. PTEXXXXX XX/08

2 Introduction Acronymes PCI : Payment Card Industry PCI SSC : Payment Card Industry Security Standards Council PCI-DSS : Payment Card Industry Data Security Standard PCI-PA-DSS : Payment Card Industry Payment Application Data Security Standard PCI-PED : Payment Card Industry PIN Entry Device ASV : Approved Scan Vendor QSA : Qualified Security Assessor PSP : Payment Service Provider 2

3 Introduction Données porteur (cardholder data) PAN Only PAN + Expiry PAN + CVC2 PAN + PIN Track Two 3

4 Introduction Données porteur (cardholder data) Catégorie de données Type de données Stockage autorisé? Protection nécessaire? Cardholder Data PAN (Primary Account Number) OUI OUI Nom du porteur OUI OUI Service Code OUI OUI Date d expiration OUI OUI Sensitive Authentication Data Piste magnétique complète NON N/A CVC2/CVV2/CID NON N/A PIN/PIN Block NON N/A 4

5 Introduction Risques et Coûts Un cas de fraude : TJX» Activité de TJX: distributeur en Amérique du Nord (US, Canada) et en Europe (UK)»18 décembre 2006, exploitation d une faille de sécurité dans le système d information de TJX.»94 millions de données bancaires piratées dont 45 millions de données cartes avérées. Ces données proviennent de paiements en ligne mais également de paiements classiques (face to face).»l utilisation de ces données cartes a été identifiée par les banques et utilisateurs. Conséquences et coût de la fraude»pertes sèches (619 millions de dollars de pertes pour TJX)»Perte de confiance du consommateur, image de marque 5

6 Introduction Risques et Coûts Boa Factory : des cartes bancaires à vendre *Source: 6

7 Payment Card Industry (PCI) Security Standards Council (SSC) GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY Verizon. All Rights Reserved. PTEXXXXX XX/08

8 PCI SSC A l origine Des méthodes de paiements diverses : Paiement immédiat Paiement différé Pré-paiement Des standards de sécurités divers : EMV 4.1, CPA 1.0, CPS, etc. Chip and Pin, Link PCI DSS 1.2 Attention : la conformité avec un standard n implique pas la conformité avec les autres standards Prepaid MasterCard 8

9 PCI SSC PCI DSS, PCI PA-DSS, PCI PED En 2006, VISA, MasterCard, American Express, Discover et JCB ont fondé le Payment Card Data Security Standards Council (PCI SSC). Les exigences de conformité des programmes PCI-DSS, PCI PA-DSS et PCI PED sont maintenues par le PCI SSC. 9

10 PCI SSC Programmes VISA, MasterCard, AMEX, JCB, Disc Les exigences de conformité PCI sont en alignement avec les programmes de gestions des risques des réseaux cartes : - American Express : Data Security Operating Policy (DSOP) - Discover : Discover Information Security Compliance (DISC) - JCB : Data Security Program - MasterCard : Site Data Protection (SDP) - Visa USA : Cardholder Information Security Program (CISP) - Visa Europe : Account Information Security Program (AIS) 10

11 PCI SSC Objectifs Les objectifs du PCI SSC sont : Emettre et gérer le cycle de vie des standards PCI (PCI-DSS, PCI PA-DSS, PCI PED) Améliorer la sécurité des paiements Susciter une prise de conscience et accélérer l adoption des standards PCI Favoriser la participation des banques, marchands et Payment Service Providers Gérer le processus de qualification et de validation des QSA (Qualified Security Assesor), ASV (Approved Scan Vendor), et des laboratoires PED (Pin Entry Device) Maintenir les listes des QSA, ASV et PED certifiés 11

12 PCI SSC Ressources fournies par le PCI SSC Les ressources mises à disposition par le PCI SSC sont : Les standards PCI-DSS, PCI-PA-DSS et PED-DSS et la documentation liée à ceux-ci : PCI Data Security Standard PCI DSS Security Audit Procedures PCI DSS Security Scanning Procedures PCI DSS Self Assessment Questionnaires (SAQ) PCI PED Standard PCI Payment Application Data Security Standard (PA-DSS) PCI SSC FAQ PCI SSC Education (pour les auditeurs et Scan Vendors) Participation au PCI SSC (règles de fonctionnement, formulaire d adhésion) Ces documents sont disponibles sur le site web du PCI SCC : 12

13 PCI SSC Ce qui dépend directement des réseaux cartes Ce que les réseaux cartes gèrent directement : Modalités d application des standards PCI Frais, pénalités et échéances pour la conformité Processus de validation Approbation et publication des entités conformes à PCI-DSS et PA-DSS Définition des niveaux des marchands et fournisseurs de services Investigations (Forensics) et réponses aux compromissions Ces documents sont disponibles sur les sites webs des émetteurs de cartes :

14 Relations entre les différents interlocuteurs concernant les standards PCI 14

15 Payment Card Industry (PCI) Data Security Standard (DSS) GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY Verizon. All Rights Reserved. PTEXXXXX XX/08

16 PCI-DSS En résumé But principal : Protéger les données cartes Réduire la fraude Cible: les pré requis s appliquent à tous les membres (des réseaux cartes), marchands et fournisseurs de service qui stockent, traitent ou transmettent des données cartes. Plus d infos sur : 12 chapitres regroupés en 6 sections La conformité ne varie pas, seules les méthodes de validation peuvent différer. Activités soumises à validation : Scans externes trimestriels ASV Questionnaires d auto-évaluation (SAQ) Audit (RoC) Les différences dans les méthodes de validation dépendent de la cible (Marchand ou Payment Service Provider), ainsi que des volumes de transaction. 16

17 PCI DSS Les volumes de transaction Comment déterminer le volume de transaction? Les volumes de transactions sont déterminés par chaque acquéreur. Le volume de transactions est basé sur l agrégation du nombre de transactions d un commerce, d une chaine de commerces ou d un Payment Service Provider (PSP). Le cas particulier des franchises dépend du nombre et des modalités des transactions qui transitent par l infrastructure Corporate. Dans tous les cas c est l acquéreur, voire le réseau carte, qui décide du niveau final du marchand ou du PSP : L exposition aux risques, les fraudes passées ou tout autre élément peuvent inciter l acquéreur ou l organisme émetteur de cartes à exiger un niveau 1 de la part des marchands et/ou PSP. 17

18 PCI-DSS Niveau de validation pour les marchands Type Critères Eléments nécessaires à la conformité : Qui doit fournir/réaliser ces éléments : Marchand (niveau 1) Marchand (niveau 2) VISA: 6+ M² de transactions MasterCard: 6+ M² de transactions AMEX: 2.5+ M² de transactions JCB : 1+ M² de transactions DISCOVER : - VISA: 1 à 6 M² de transactions MasterCard: 1 à 6 M² de transactions AMEX: 0.05 M² à 2.5 M² de transactions JCB: moins de 1 M² de transactions Marchand (niveau 3) VISA: e-commerce de 0.02 M² à 1 M² de transactions annuelles MasterCard: e-commerce de 0.02 M² à 1 M² de transactions annuelles AMEX: - de 0.05 M² de transactions Audit sur site annuel récurrent Scan ASV trimestriel Questionnaire annuel d auto évaluation (SAQ) Scan ASV trimestriel Questionnaire annuel d auto évaluation (SAQ) Scan ASV trimestriel QSA (Qualified Security Assessor ) ASV (Approved Scan Vendor) Marchand ASV (Approved Scan Vendor) Marchand ASV (Approved Scan Vendor) Marchand (niveau 4) VISA: moins de 1M² de transactions tous canaux confondus ou moins de 0.02 M² de transactions e- commerce. MasterCard: tous les autres marchands. Questionnaire annuel d auto évaluation (SAQ) Scan ASV trimestriel Marchand ASV (Approved Scan Vendor) 18

19 PCI-DSS Niveau de validation pour les PSP Type Critères Eléments nécessaires à la conformité : Qui doit fournir/réaliser ces éléments : PSP (niveau 1) VISA: + de 0.3 M² de transactions MasterCard: + de 1M² de transactions AMEX : tous les PSP JCB: tous les PSP Discover: tous les PSP Audit sur site annuel récurrent Scan ASV trimestriel QSA (Qualified Security Assessor ) ASV (Approved Scan Vendor) PSP (niveau 2) VISA: - de 0.3 M² de transactions MasterCard: - de 1 M² de transactions Questionnaire d auto évaluation (SAQ) Scan ASV trimestriel PSP ASV 19

20 PCI-DSS Rôles et responsabilités des QSA Les Qualified Security Assessor (QSA) sont en charge de : Effectuer les évaluations (audits) PCI-DSS Vérifier les informations techniques fournies par les marchands ou service provider Supporter et orienter l audité durant le processus de mise en conformité S assurer de l application des pré-requis PCI-DSS 20

21 PCI-DSS Rôles et responsabilités des QSA (suite) Les Qualified Security Assessor (QSA) sont en charge de (suite) : Identifier le périmètre de l audit (celui-ci est défini par le standard) Identifier et justifier tout échantillonnage effectué durant l audit Evaluer les contrôles compensatoires Produire le rapport final (RoC) 21

22 PCI-DSS: Périmètre (Scope) Définition (standard PCI-DSS 1.2, p5) Les clauses de la norme PCI DSS en matière de sécurité s'appliquent à tous les composants du système. Les «composants du système» désignent tout composant réseau, serveur ou application inclus dans l environnement des données des titulaires de cartes, ou connectés à cet environnement. L environnement des données des titulaires de cartes correspond à la partie du réseau qui contient les données des titulaires de cartes ou les données d authentification sensibles. Les composants réseau comprennent notamment les pare-feu, les commutateurs, les routeurs, les points d accès sans fil, les équipements réseau et d'autres appareils de sécurité. Les types de serveurs comprennent notamment les serveurs Web, d application, de base de données, d authentification, de messagerie, proxy, NTP (Network Time Protocol) et DNS (Domain Name Server). Les applications comprennent toutes les applications achetées et personnalisées, y compris les applications internes et externes (Internet). 22

23 PCI-DSS: Périmètre (Scope), en résumé Les pré requis PCI DSS s appliquent à tous les composants du SI Un composant système est tout élément réseau, serveur, ou applicatif inclus ou connecté à l environnement qui traite, stocke et supporte les données porteurs. Les composants réseaux incluent sans limitation : Pare-feu, Switch, routeurs, points d accès WIFI, Appliance Les composants serveurs incluent sans limitation : Web, Base de données, Authentification, , proxy, DNS. Les composants applications incluent sans limitation : Toute application qu elle soit achetée ou développée en propre. 23

24 PCI-DSS: Périmètre (Scope) 24

25 PCI-DSS Classification des Exigences PCI Métiers et contractuelles Règles de régulation Exigences contractuelles qui définissent un cadre juridique de partage des responsabilités Politiques et organisationnelles Cadre de référence sécuritaire (PSSI) pour les métiers de la monétique Formaliser les politiques et les procédures nécessaires à la conformité Techniques Sécuriser l infrastructure du périmètre qui traite, stocke et transmet le flux de paiement Renforcement des contrôles d accès des salles informatiques, sécurisation des composants réseaux du périmètre, séparation des tâches, Exploitation Exigences d exploitation à travers un certain nombre de tâches récurrentes Supervision des traces d audits générées par toutes les applications de paiement Détecter tout incident de fraude ou de tentative de compromission Maintien de la conformité 25

26 Conformité à PCI-DSS GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY Verizon. All Rights Reserved. PTEXXXXX XX/08

27 Démarche de Mise en Conformité Etape 1 : Préparation Cartographie des flux de données : Les canaux d acceptations (fournisseurs impliqués?) La liste des applications qui traitent, stockent et transmettent des données porteurs Les types de données porteurs (ou autres) stockées (données électroniques, documents papiers, ) Les infrastructures, et les systèmes impactés par les applications qui traitent, stockent et transmettent des données porteurs La politique de conservation des données, les contraintes réglementaires Qui est responsable de la donnée, de l application? Identification des fournisseurs : Faire une liste des fournisseurs : PSP, éditeurs logiciels (POS), constructeurs, Etat de la conformité (PCI DSS ou PA-DSS) des fournisseurs (la version 1.2 de PCI- DSS permet de certifier un fournisseur sur son périmètre) 27

28 Démarche de Mise en Conformité Etape 2 : Identifier (et ajuster) le Périmètre PCI Réduction du périmètre PCI : Ne stocker que les données porteurs nécessaires Utiliser des applications PA-DSS Isoler les systèmes et les applications qui traitent, stockent et transmettent les données Sensibiliser les services internes (gestion de la relation client, gestion de la fraude, ) Travailler en amont avec les métiers avant d apporter une réponse technique Faire appel à un QSA Faire une analyse d écart : Sensibilisant les interlocuteurs aux exigences Répondant aux questions d interprétations des exigences Validant le périmètre d application des exigences PCI et d audit Proposant une stratégie de mise en conformité Proposant des recommandations sur la démarche de mise en œuvre (mesures compensatoires, ) Permettant de communiquer avec la banque sur l état d avancement du plan de mise en conformité 28

29 Démarche de Mise en Conformité Etape 2 : Réduction du périmètre - Exemple Exemple de réduction d un périmètre via la segmentation : La segmentation du réseau permet de réduire le périmètre d application (des prérequis) et d audit PCI-DSS Combinée à l utilisation de mécanisme de troncature et/ou de hash, la segmentation permet un second niveau de réduction du périmètre Ces réductions successives permettent d obtenir le périmètre minimal d application et d audit des mesures PCI-DSS A défaut d une segmentation pertinente le périmètre peut s étendre à l ensemble du système d information. Illustration de la réduction d un périmètre : Dans les schémas qui suivent, le périmètre d application des pré-requis PCI-DSS est indiqué en vert clair. Le reste du système d information de l entreprise est lui représenté en vert foncé

30 Démarche de Mise en Conformité Etape 2 : Réduction du périmètre - Exemple (suite) 30 30

31 Démarche de Mise en Conformité Etape 2 : Réduction du périmètre - Exemple (suite) 31 31

32 Démarche de Mise en Conformité Etape 2 : Réduction du périmètre - Exemple (suite) 32 32

33 Démarche de Mise en Conformité Etapes 3 : Mise en oeuvre des Exigences PCI DSS Mettre en place une équipe projet PCI DSS : Avec le support de la direction et des parties prenantes indispensables Equipe projet multi-compétences (technique, monétique, sécurité, ) Définir les rôles et les responsabilités de chacun (interlocuteurs internes et externes, fournisseurs, les métiers, les banques) Sensibiliser le personnel aux exigences de conformité (pas de stockage de données interdites) Travailler en amont avec les métiers avant d apporter une réponse technique Mise en œuvre des exigences : Documenter les pratiques puis s assurer de leurs conformité (et non l inverse) Capitaliser sur les projets internes, sur les périmètres identiques (gestion des logs, scans externes, SOX, ISO27001, Bâle II, PSSI, ) Réaliser les scans PCI DSS Mettre en œuvre des mesures compensatoires Mettre en œuvre les exigences PCI DSS sur le périmètre Externaliser le stockage des données porteurs pour externalisation de la mise en conformité 33

34 Démarche de Mise en Conformité Etapes 4 : Maintien de la Conformité La certification rentre dans une démarche d amélioration continue (Plan, Do, Check, Act) à l image des démarches ISO. Une fois acquise une première fois, il faut la maintenir dans le temps Plan Act Do Your Organization Check 34

35 Démarche de Mise en Conformité Au début Réaction Evaluation Remédiation Conformité Execution du plan Pre-Audit Plan de remédiation Maintien Acceptation Analyse d écart Audit Réduction des couts? Confirmation Information Externalisation éventuelle Rumeurs Comité Budget Premier scan ASV 35

36 L audit PCI-DSS Pour les marchands et les PSP de niveau 1 un audit externe effectué par un QSA est obligatoire. Cet audit donne lieu à un rapport d audit appelé Report on Compliance (RoC). La structure, et le contenu du RoC doivent respecter les conditions et procédures d évaluation de sécurité émises par le PCI SSC. pci_dss_v1-2.pdf 36

37 PCI-DSS & ISO GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY Verizon. All Rights Reserved. PTEXXXXX XX/08

38 PCI-DSS et ISO : les principales différences L exigibilité Initialement PCI-DSS est une contrainte externe. Initialement ISO est une démarche spontanée. Le périmètre Défini par le standard pour PCI-DSS Défini par l audité pour ISO (en respectant certaines contraintes de la norme). Le fond ISO / SMSI : adresse l organisation de la sécurité. PCI-DSS : adresse un niveau de sécurité. 38

39 PCI-DSS et ISO : des points communs De nombreux points de contrôles du DdA (SoA) et pré-requis PCI-DSS sont identiques ou très proches : Exemple 1 (séparation des environnements) ISO A Séparation des équipements de développement, d'essai et d exploitation Mesure : Les équipements de développement, d'essai et d exploitation doivent être séparés pour réduire les risques d accès ou de changements non autorisés dans le système d information en exploitation. PCI-DSS v : Séparer les environnements de développement/test et de production. Procédure de test : Les environnements de test/développement sont distincts de l environnement de production, et il existe un contrôle d accès pour garantir la séparation. 39

40 PCI-DSS et ISO : des points communs De nombreux points de contrôles du DdA (SoA) et pré-requis PCI-DSS sont identiques ou très proches : Exemple 2 (autorisation formelle pour l accès aux ressources) ISO A Politique relative à l utilisation des services en réseau Mesure : Les utilisateurs doivent avoir uniquement accès aux services pour lesquels ils ont spécifiquement reçu une autorisation. PCI-DSS v : Nécessité de faire signer par les responsables un formulaire d'autorisation qui précise les privilèges requis Procédure de test : Confirmer qu'un formulaire d'autorisation est requis pour tous les accès, qu'il doit préciser les privilèges exigés et qu il doit être signé par des responsables. 40

41 PCI-DSS et ISO : des points communs De nombreux points de contrôles du DdA (SoA) et pré-requis PCI-DSS sont identiques ou très proches : Exemple 3 (formalisation des responsabilités) ISO A : Attribution des responsabilités en matière de sécurité de l information Mesure : Toutes les responsabilités en matière de sécurité de l information doivent être définies clairement. PCI-DSS v : S assurer que la politique et les procédures de sécurité définissent clairement les responsabilités de tous les employés et sous-traitants en matière de sécurité des informations. Mesure : Vérifier que les politiques de sécurité des informations définissent clairement les responsabilités des employés et des sous-traitants en matière de sécurité des données. 41

42 PCI-DSS et ISO : des points communs Objectifs et mesures de sécurité du DdA et les pré-requis PCI-DSS : 42

43 PCI-DSS et ISO Un standard et une norme qui sont complémentaires Il est possible d utiliser les points de contrôles PCI-DSS comme points complémentaires dans le SoA. La mise en place d un SMSI (ISO 27001) apporte l approche PDCA. Les contraintes PCI-DSS apportent un niveau de sécurité (données cartes). PCI-DSS et ISO s auto-entretiennent, par leurs points de contrôles et leur approche itérative : maintenir un certain niveau dans le temps. Aucune incompatibilité entre ISO et PCI-DSS n a été identifié. 43

44 PCI-DSS et ISO Une approche commune à quelles conditions? Une telle approche a du sens si on peut faire cohabiter le périmètre PCI- DSS défini par le standard (des actions techniques permettent de l ajuster), et le périmètre du SMSI pour lequel on dispose d une plus grande latitude. De nombreux points de contrôles PCI-DSS et ISO Annexe A sont semblables, il faut sélectionner ces points de contrôles en conséquence lors de l élaboration du SoA. Le SMSI doit prendre en compte les contraintes PCI-DSS. 44

45 PCI-DSS et ISO Avantages de l approche commune Le principal avantage concerne les coûts, puisque une démarche commune permettant d adresser le standard PCI-DSS et la norme ISO peut induire des économies d échelles importantes : coût PCI-DSS + coût ISO >>> coût (PCI-DSS + ISO 27001) 45

46 ISO & PCI-DSS Une approche commune a-t-elle du sens? Oui à certaines conditions GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY. Rodolphe SIMONETTI CISSP, CISM, PCI-QSA, ISO Lead Auditor, ISO Risk Manager Principal Security Consultant 2008 Verizon. All Rights Reserved. PTEXXXXX XX/08

PCI DSS : une présentation

PCI DSS : une présentation LES DOSSIERS TECHNIQUES PCI DSS : une présentation Novembre 2009 Groupe de travail «PCI DSS» CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 30, rue Pierre Sémard, 75009 PARIS Tél. : +33 1 53 25 08 80 Fax

Plus en détail

Foire aux questions (FAQ)

Foire aux questions (FAQ) Foire aux questions (FAQ) Norme de sécurité des données du secteur des cartes de paiement (PCI DSS) Qu est-ce que la Norme PCI DSS? Qui définit cette Norme? Où puis-je obtenir plus d informations sur la

Plus en détail

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? Leif Kremkow Dir. Technical Account Managemet, CISSP Mardi, 5 Février, 2009 PCI Security Standards Council

Plus en détail

Clusir Rhône-Alpes Club SSI, le 15/10/2014. CLUSIF / CLUSIR Rha PCI-DSS

Clusir Rhône-Alpes Club SSI, le 15/10/2014. CLUSIF / CLUSIR Rha PCI-DSS 1 Origines, principes, histoire 2 exemples de mise en œuvre Chez un industriel avec une démarche ISO 27001 (Yvan Rolland-Chatila) Chez un autoroutier avec une intégration dans un SMSI (Dominique Blas)

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS?

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS? 1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS? Au titre de sa mission de suivi des politiques de sécurité mises en œuvre par les émetteurs et les accepteurs, l Observatoire a souhaité,

Plus en détail

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement La sécurisation des transactions électroniques a toujours été au cœur des préoccupations des acteurs du paiement, qu'ils soient commerçants, institutions financières ou fournisseurs de services. L'industrie

Plus en détail

PCI-DSS : un standard contraignant?!

PCI-DSS : un standard contraignant?! PCI-DSS : un standard contraignant?! Synthèse de la conférence thématique du CLUSIF du 7 avril 2011 à Paris Devant l augmentation des fraudes et des incidents liés à la carte bancaire, les cinq grands

Plus en détail

Livre blanc, août 2013 Par Peer1 et CompliancePoint www.peer1.fr. Certification PCI DSS De la complexité à la simplicité

Livre blanc, août 2013 Par Peer1 et CompliancePoint www.peer1.fr. Certification PCI DSS De la complexité à la simplicité Livre blanc, août 2013 Par Peer1 et CompliancePoint www.peer1.fr Certification PCI DSS De la complexité à la simplicité Table des matières Introduction 1 Des entreprises perdent des données client 1 Les

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3. Industrie des cartes de paiement (PCI) Norme de sécurité des données Conditions et procédures d évaluation de sécurité Version 3.0 Novembre 2013 Modifications apportées au document Date Version Description

Plus en détail

MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné

MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné NetBenefit Green Side 400 Avenue Roumanille 06906 Sophia Antipolis Cedex France +33 (0)4 97 212 212 www.netbenefit.fr MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné Ce document

Plus en détail

Norme PCI Septembre 2008. La norme PCI : transformer une contrainte en opportunité

Norme PCI Septembre 2008. La norme PCI : transformer une contrainte en opportunité Norme PCI Septembre 2008 La norme PCI : transformer une contrainte en opportunité Page 2 Sommaire 2 Synthèse 2 Une autre vision des exigences PCI 4 Corréler la conformité PCI avec votre stratégie globale

Plus en détail

Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA. à la norme PCI-DSS, level 1

Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA. à la norme PCI-DSS, level 1 POUR L EVALUATION DE LA CONFORMITE DU GIM-UEMOA A LA NORME PCI-DSS, LEVEL 1 TERMES DE REFERENCE Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA à la norme

Plus en détail

Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement

Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement Assurer la conformité PCI et la protection des données des porteurs de cartes avec les bonnes pratiques de sécurité. Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des

Plus en détail

PCI (Payment Card Industry) Data Security Standard

PCI (Payment Card Industry) Data Security Standard PCI (Payment Card Industry) Data Security Standard Conditions et procédures d'évaluation de sécurité Version 2.0 Octobre 2010 Modifications apportées au document Version Description Pages Octobre 2008

Plus en détail

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014 Retour d expérience PCI DSS Gérard Boudin 8 avril 2014 Fraude Adobe 2,9 puis 38 millions de comptes affectés 2 Autres fraudes SONY (2011) 77 millions de comptes Network PlayStation affectés Subway (Sept

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

Brève info CLUSIF PCI v2.0 : quels changements?

Brève info CLUSIF PCI v2.0 : quels changements? LES DOSSIERS TECHNIQUES Brève info CLUSIF Décembre 2010 Groupe de travail «PCI DSS» CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11 rue de Mogador - 75009 Paris Tél. : +33 1 53 25 08 80 Fax : +33 1 53

Plus en détail

PCI DSS un retour d experience

PCI DSS un retour d experience PCI DSS un retour d experience Jean-Marc Darées, IT architect PSSC Customer Center, NTC France jmdarees@fr.ibm.com EUROPE IOT Agenda Le standard PCI Un réveil soudain Retours d Expérience IBM PCI DSS Un

Plus en détail

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Sécurisation des paiements en lignes et méthodes alternatives de paiement Comment sécuriser vos paiements en ligne? Entre 2010 et 2013, les chiffres démontrent que c est sur internet que la fraude à la carte bancaire a montré sa plus forte progression. Même si le taux de fraude

Plus en détail

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT. 27 avril 2011.

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT. 27 avril 2011. Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT 27 avril 2011 Paris ) ) ) ) Ce document est la propriété de Provadys SAS et ne peut être reproduit

Plus en détail

Présentation ITS Interactive Transaction Solutions

Présentation ITS Interactive Transaction Solutions Présentation ITS Interactive Transaction Solutions ITS Interactive Transaction Solutions Plus de 10 ans d expérience dans les transactions sécurisées et la carte d achat 150 000 transactions / jour 25

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

Démarche d un projet PCI DSS

Démarche d un projet PCI DSS LES DOSSIERS TECHNIQUES Démarche d un projet PCI DSS Août 2013 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11 rue de Mogador - 75009 Paris Tél. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 clusif@clusif.fr

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité Dispositif d impression ou terminal par ligne commutée autonome uniquement, aucun stockage

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

www.thales-esecurity.com COMMERCIAL IN CONFIDENCE

www.thales-esecurity.com COMMERCIAL IN CONFIDENCE www.thales-esecurity.com www.thales-esecurity.com PCI-DSS data protection : Impact sur l industrie de paiement Aurélien Narcisse 3 / Introduction PCI DSS? Signification? Conformité? 4 / Introduction au

Plus en détail

Mise en œuvre et sécurisation d une plateforme monétique pédagogique

Mise en œuvre et sécurisation d une plateforme monétique pédagogique Mise en œuvre et sécurisation d une plateforme monétique pédagogique Emilie Sulmont (emilie.sulmont@ensicaen.fr) Marc Pasquet (marc.pasquet@ensicaen.fr) Joan Reynaud (joan.reynaud@ensicaen.fr) Résumé :

Plus en détail

Frais de remboursement d interchange de Visa Canada

Frais de remboursement d interchange de Visa Canada de Visa Canada Les tableaux suivants font état des frais de remboursement d interchange appliqués aux transactions financières Visa effectuées au Canada. 1 Visa utilise les frais de remboursement d interchange

Plus en détail

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d application de paiement (PA-DSS)

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d application de paiement (PA-DSS) Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d application de paiement (PA-DSS) Glossaire des termes, abréviations et acronymes Version 3.0

Plus en détail

Payment Card Industry (PCI) Normes en matière de sécurité des données

Payment Card Industry (PCI) Normes en matière de sécurité des données Payment Card Industry (PCI) Normes en matière de sécurité des données Procédures d audit de sécurité Version 1.1 Date de publication : septembre 2006 Table des matières Procédures d audit de sécurité...

Plus en détail

L Evolution de PCI DSS en Europe. Mercredi 13 juin 2012 Les Salons de la Maison des Arts & Métiers. Mathieu.gorge@vigitrust.com. www.vigitrust.

L Evolution de PCI DSS en Europe. Mercredi 13 juin 2012 Les Salons de la Maison des Arts & Métiers. Mathieu.gorge@vigitrust.com. www.vigitrust. L Evolution de PCI DSS en Europe Mercredi 13 juin 2012 Les Salons de la Maison des Arts & Métiers Mathieu.gorge@vigitrust.com www.vigitrust.com Thursday, 14 June 2012 (c) VigiTrust 2003-2012 1 2 nd Edition

Plus en détail

Nouveau Programme 2010. Formation Monétique

Nouveau Programme 2010. Formation Monétique EESTEL vous propose en cette année 2010 une formation à la monétique rénovée, en fonction : - D une part, des nouvelles architectures fonctionnelles issues du SEPA et de l irruption de nouveaux Opérateurs

Plus en détail

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation

Plus en détail

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI Compte rendu de recherche de Websense Prévention de la perte de données et conformité PCI Normes de sécurité des cartes de crédit Plus d une décennie après l avènement du commerce électronique, beaucoup

Plus en détail

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Sécuriser. connecter. simplifier. Your multi-channel payment partner.

Sécuriser. connecter. simplifier. Your multi-channel payment partner. Sécuriser. connecter. simplifier. Your multi-channel payment partner. Anticiper l innovation pour offrir à nos clients une technologie de pointe. Technologies de proximité Le groupe Verifone est leader

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

contactless & payment des solutions de test pour mener à bien vos projets

contactless & payment des solutions de test pour mener à bien vos projets contactless & payment des solutions de test pour mener à bien vos projets contactless & payment certification et tests de bout en bout pour des dispositifs de paiement sans contact Conseil indépendant

Plus en détail

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d'application de paiement (PA-DSS)

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d'application de paiement (PA-DSS) Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d'application de paiement (PA-DSS) Glossaire des termes, abréviations et acronymes Version 2.0

Plus en détail

COMPRÉHENSION DES PRIX DES MARCHANDS

COMPRÉHENSION DES PRIX DES MARCHANDS COMPRÉHENSION DES PRIX DES MARCHANDS 0 TABLE DES MATIÈRES Définitions.. 1 Structures de prix... 2 Catégories de prix 3 Taux fixe... 4 Majoration des coûts...5 Ressources supplémentaires. 6 Tableau des

Plus en détail

Veille technologique. la finance solidaire Chapitre ou éthique 3. 1 La sécurité des paiements par carte sans contact au regard des évolutions récentes

Veille technologique. la finance solidaire Chapitre ou éthique 3. 1 La sécurité des paiements par carte sans contact au regard des évolutions récentes la finance solidaire Chapitre ou éthique 3 Veille technologique 1 La sécurité des paiements par carte sans contact au regard des évolutions récentes L OSCP a publié dans ses rapports de 2007 et 2009 un

Plus en détail

Une approche à multiples niveaux en matière de sécurité des cartes de paiement

Une approche à multiples niveaux en matière de sécurité des cartes de paiement Une approche à multiples niveaux en matière de sécurité des cartes de paiement Une approche à multiples niveaux en matière de sécurité des cartes de paiement SANS PRÉSENCE DE LA CARTE 1 Une récente étude

Plus en détail

www.cmcicpaiement.fr plateforme de paiements sécurisés sur internet Groupe Crédit Mutuel-CIC La carte d identité 2009

www.cmcicpaiement.fr plateforme de paiements sécurisés sur internet Groupe Crédit Mutuel-CIC La carte d identité 2009 CM-CIC PAIEMENT www.cmcicpaiement.fr plateforme de paiements sécurisés sur internet Le Groupe CM-CIC Groupe Crédit Mutuel-CIC La carte d identité 2009 PNB : 13,6 milliards Résultat net part du groupe :

Plus en détail

Copyright Point / Paybox - Document non contractuel SOLUTIONS DE PAIEMENT E-COMMERCE

Copyright Point / Paybox - Document non contractuel SOLUTIONS DE PAIEMENT E-COMMERCE SOLUTIONS DE PAIEMENT E-COMMERCE Perso de page SOMMAIRE Packs e-commerce Moyens de paiement Flexibilité Outils anti-fraude Paybox Facilitez le paiement 3 Les bonnes raisons de choisir Paybox 4 Nos équipes

Plus en détail

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008

Plus en détail

Payment Card Industry (PCI) Normes en matière de sécurité des données. Glossaire, abréviations et acronymes

Payment Card Industry (PCI) Normes en matière de sécurité des données. Glossaire, abréviations et acronymes Payment Card Industry (PCI) Normes en matière de sécurité des données Glossaire, abréviations et acronymes AAA Acquéreur Actif Administrateur de base de données Adresse IP Analyse cryptographique (AES)

Plus en détail

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation GRIFES Gestion des risques et au-delà Pablo C. Martinez TRMG Product Leader, EMEA Symantec Corporation Gestion des risques et conformité Principaux soucis Se conformer aux mandats Rester loin des menaces

Plus en détail

Sécurisation avancée des données de cartes bancaires Guide Hôtel v1.0 SECURISATION AVANCEE DES DONNEES BANCAIRES. Guide Hôtel

Sécurisation avancée des données de cartes bancaires Guide Hôtel v1.0 SECURISATION AVANCEE DES DONNEES BANCAIRES. Guide Hôtel SECURISATION AVANCEE DES DONNEES BANCAIRES Guide Hôtel Février 2011 1 Table des Matières 1. PRESENTATION GENERALE 2. PRESENTATION TECHNIQUE 3. GENERER VOTRE CODE D ACCES 4. CONSULTER LES COORDONNEES BANCAIRES

Plus en détail

Formation Monétique : approfondissement technique

Formation Monétique : approfondissement technique EESTEL vous propose une formation à la monétique rénovée, en fonction : - D une part, des nouvelles architectures fonctionnelles issues du SEPA et de l irruption de nouveaux Opérateurs de paiement (DSP)

Plus en détail

www.paybox.com Copyright Verifone - Paybox e-commerce - Document non contractuel SOLUTIONS DE PAIEMENT E-COMMERCE

www.paybox.com Copyright Verifone - Paybox e-commerce - Document non contractuel SOLUTIONS DE PAIEMENT E-COMMERCE www.paybox.com SOLUTIONS DE PAIEMENT E-COMMERCE Perso de page Copyright Point / Paybox - Document non contractuel Packs e-commerce Moyens de paiement Solution européenne VOS INTERLOCUTEURS Service Commercial

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

PayShield 9000 Présentation générale

PayShield 9000 Présentation générale 1 www.thales-esecurity.com PayShield 9000 Présentation générale 3 Agenda Situation actuelle des produits HSM de Thales Fin de vie HSM8000 Migration vers PayShield9000 Le PayShield9000 Récentes améliorations

Plus en détail

3 minutes. pour tout savoir sur. Orange Consulting le conseil par Orange Business Services

3 minutes. pour tout savoir sur. Orange Consulting le conseil par Orange Business Services 3 minutes pour tout savoir sur Orange Consulting le conseil par Orange Business Services la technologie digitale est partout et n a jamais été aussi riche en promesses Notre ambition dans notre plan stratégique

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

Vector Security Consulting S.A

Vector Security Consulting S.A Vector Security Consulting S.A Nos prestations Info@vectorsecurity.ch «La confiance c est bien, le contrôle c est mieux!» Qui sommes nous? Vector Security Consulting S.A est une société suisse indépendante

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

Newsletter. since 2001. Chère cliente, cher client,

Newsletter. since 2001. Chère cliente, cher client, Newsletter since 2001 3 2014 Chère cliente, cher client, Nous commençons le numéro d automne de notre newsletter par la présentation d un projet client intéressant: «Le billet en deux clics». Derrière

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

Comprendre l'objectif des conditions

Comprendre l'objectif des conditions Payment Card Industry (PCI) Data Security Standard Navigation dans la norme PCI DSS Comprendre l'objectif des conditions Version 2.0 Octobre 2010 Modifications apportées au document Date Version Description

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

Récapitulatif des modifications entre les versions 2.0 et 3.0

Récapitulatif des modifications entre les versions 2.0 et 3.0 Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement Récapitulatif des modifications entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte

Plus en détail

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques

Plus en détail

Être conforme à la norme PCI. OUI, c est possible!

Être conforme à la norme PCI. OUI, c est possible! Être conforme à la norme PCI OUI, c est possible! Présentation Réseau Action TI 8 mai 2013 Johanne Darveau Directrice systèmes, portefeuille de projets et support applicatif Technologies de l information

Plus en détail

RAPPORT ANNUEL DE L OBSERVATOIRE DE LA SÉCURITÉ DES CARTES DE PAIEMENT. bservatoire de la sécurité des cartes de paiement. www.observatoire-cartes.

RAPPORT ANNUEL DE L OBSERVATOIRE DE LA SÉCURITÉ DES CARTES DE PAIEMENT. bservatoire de la sécurité des cartes de paiement. www.observatoire-cartes. 2013 RAPPORT ANNUEL DE L OBSERVATOIRE DE LA SÉCURITÉ DES CARTES DE PAIEMENT bservatoire de la sécurité des cartes de paiement www.observatoire-cartes.fr bservatoire de la sécurité des cartes de paiement

Plus en détail

PCI DSS: La sécurité des cartes de crédit sans les maux de tête. PCI DSS: PCI Proxy de Datatrans. Nouveaux moyens de paiement: curabill

PCI DSS: La sécurité des cartes de crédit sans les maux de tête. PCI DSS: PCI Proxy de Datatrans. Nouveaux moyens de paiement: curabill since 2001 News 3 2013 Chère cliente, cher client, Nous ouvrons la lettre d information d automne par une description générale des directives de sécurité PCI DSS que chaque commerçant est dû de respecter

Plus en détail

Formations certifiantes dans le domaine du paiement électronique

Formations certifiantes dans le domaine du paiement électronique Trophée 2013 des Solutions Bancaires Innovantes Formations certifiantes dans le domaine du paiement électronique Sommaire : Electronic Payment System Manager... 3 Acquiring Electronic Payment Officer...

Plus en détail

Traitement de Visa Débit

Traitement de Visa Débit Traitement de Visa Débit Information à l intention des marchands sur le traitement des transactions du commerce électronique et des commandes par téléphone Table des matières À propos de ce guide 3 Procédures

Plus en détail

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco De l utilisation de la supervision de sécurité en Cyber-Defense? Orange Business Services Direction de la sécurité JSSI 2011 Stéphane Sciacco 1 Groupe France Télécom Sommaire Introduction Organisation

Plus en détail

AUDIT CONSEIL CERT FORMATION

AUDIT CONSEIL CERT FORMATION www.lexsi.com AUDIT CONSEIL CERT FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN SECURITE DE L INFORMATION / PARIS LYON LILLE MONTREAL SINGAPOUR A PROPOS DE LEXSI Avec plus de 10 ans d expérience,

Plus en détail

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance Votre partenaire pour les meilleures pratiques La Gouvernance au service de la Performance & de la Compliance PRESENTATION CONSILIUM, mot latin signifiant «Conseil», illustre non seulement le nom de notre

Plus en détail

Une protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre

Une protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre Une protection ICT optimale Du conseil à la gestion en passant par le développement et la mise en oeuvre 1 Sommaire Cette brochure vous donne de plus amples informations sur la manière dont Telenet peut

Plus en détail

Vers un nouveau modèle de sécurisation

Vers un nouveau modèle de sécurisation Vers un nouveau modèle de sécurisation Le «Self-Defending Network» Christophe Perrin, CISSP Market Manager Security cperrin@cisco.com Juin 2008 1 La vision historique de la sécurité Réseaux partenaires

Plus en détail

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE sommaire MIEUX COMPRENDRE LES CERTIFICATS SSL...1 SSL et certificats SSL : définition...1

Plus en détail

EMV, S.E.T et 3D Secure

EMV, S.E.T et 3D Secure Sécurité des transactionsti A Carte Bancaire EMV, S.E.T et 3D Secure Dr. Nabil EL KADHI nelkadhi@club-internet.fr; Directeur du Laboratoire L.E.R.I.A. www.leria.eu Professeur permanant A EPITECH www.epitech.net

Plus en détail

Payment Card Industry (PCI) Normes en matière de sécurité des données. Version 1.1

Payment Card Industry (PCI) Normes en matière de sécurité des données. Version 1.1 Payment Card Industry (PCI) Normes en matière de sécurité des données Version 1.1 Date de publication : septembre 2006 Mettre en place et gérer un réseau sécurisé 1 ère exigence : installer et gérer une

Plus en détail

Comment reconnaître et lutter contre la fraude avec des cartes de crédit et de débit? Document Fraude

Comment reconnaître et lutter contre la fraude avec des cartes de crédit et de débit? Document Fraude Comment reconnaître et lutter contre la fraude avec des cartes de crédit et de débit? Document Fraude Table des matières Introduction Investir dans la sécurité 3 Types de fraude Une criminalité aux nombreux

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Comparatif avec la version 2005 Béatrice Joucreau Julien

Plus en détail

Panorama sur les nouveaux modes de paiement

Panorama sur les nouveaux modes de paiement Panorama sur les nouveaux modes de paiement Présence sur 4 continents Europe Amériques Asie Afrique E-paiement par Lyra Network PayZen plateforme de paiement en ligne du groupe Lyra Network 50 Millions

Plus en détail

Les Ateliers Info Tonic. La Sécurité sur Internet Mardi 11 Juin 2013

Les Ateliers Info Tonic. La Sécurité sur Internet Mardi 11 Juin 2013 Les Ateliers Info Tonic La Sécurité sur Internet Mardi 11 Juin 2013 La Sécurité sur Internet par Sommaire 1. Introduction 2. L évolution des risques 3. Types d attaques 4. L importance de la sécurité 5.

Plus en détail

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques» Information Technology Services - Learning & Certification «Développement et Certification des Compétences Technologiques» www.pluralisconsulting.com 1 IT Training and Consulting Services Pluralis Consulting

Plus en détail

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Sommaire 1 L évolution des menaces 2 L évolution du SMSI

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

Conférence, formation et solution. Mais aussi DOSSIER LA SÉCURITÉ DANS LE CLOUD. L e-learning sur le SMSI Exclusivité HTS page 2 et 3

Conférence, formation et solution. Mais aussi DOSSIER LA SÉCURITÉ DANS LE CLOUD. L e-learning sur le SMSI Exclusivité HTS page 2 et 3 L actu des experts 02 Octobre-Novembre-Décembre 2013 DOSSIER LA SÉCURITÉ DANS LE CLOUD Conférence, formation et solution Pages 4, 5 et 6 Mais aussi L e-learning sur le SMSI Exclusivité HTS page 2 et 3

Plus en détail

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014 Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs

Plus en détail

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde 3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques

Plus en détail

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI,

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI, Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information Awatef HOMRI, ISO27001 Lead Auditor, ITIL Ingénieur en chef, ANSI Awatef.homri@ansi.tn 1 Agenda Management de la Sécurité

Plus en détail

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité Table of Contents 3 10 étapes essentielles 3 Comprendre les exigences 4 Mettre en œuvre des contrôles informatiques

Plus en détail

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking. Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking. Face à la recrudescence des actes de malveillance et des opérations frauduleuses liés à l utilisation d Internet,

Plus en détail

METIERS DE L INFORMATIQUE

METIERS DE L INFORMATIQUE METIERS DE L INFORMATIQUE ISO 27001 LEAD AUDITOR REF : GOMO019 DUREE : 5 JOURS TARIF : 3 500 HT Public Toute personne amenée à conduire des audits dans le domaine de la sécurité des systèmes d'information.

Plus en détail

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007 QUELLE PLACE POUR UN FRAMEWORK CLOUD SÉCURISÉ? Cybersecurite Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007 Fondateurs Jean-Nicolas Piotrowski

Plus en détail

Symantec Control Compliance Suite 8.6

Symantec Control Compliance Suite 8.6 Automatiser et gérer la conformité IT dans le cadre de la réduction des coûts et de la complexité Présentation Symantec Control Compliance Suite automatise les principaux processus de conformité informatique.

Plus en détail

4 VEILLE TECHNOLOGIQUE

4 VEILLE TECHNOLOGIQUE 4 VEILLE TECHNOLOGIQUE 4 1 Standardisation européenne et sécurité dans le domaine des cartes de paiement Le Conseil européen des paiements (European Payments Council EPC 29 ) est l organisme représentatif

Plus en détail

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents Créée en 1989, Hervé Schauer Consultants (HSC), est une société spécialisée dans l expertise de conseil en sécurité des systèmes d information. De taille humaine (28 personnes dont 22 consultants), HSC

Plus en détail

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1

Plus en détail

Acquisition transfrontière

Acquisition transfrontière Acquisition transfrontière Un projet d optimisation des encaissements cartes aux enjeux multiples L acquisition transfrontière contribue à l optimisation de la gestion des encaissements par carte en autorisant

Plus en détail