GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

Dimension: px
Commencer à balayer dès la page:

Download "GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY."

Transcription

1 ISO & PCI-DSS Une approche commune a-t-elle du sens? version 1.00 ( ) GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY. Rodolphe SIMONETTI CISSP, CISM, PCI-QSA, ISO Lead Auditor, ISO Risk Manager Principal Security Consultant 2008 Verizon. All Rights Reserved. PTEXXXXX XX/08

2 Introduction Acronymes PCI : Payment Card Industry PCI SSC : Payment Card Industry Security Standards Council PCI-DSS : Payment Card Industry Data Security Standard PCI-PA-DSS : Payment Card Industry Payment Application Data Security Standard PCI-PED : Payment Card Industry PIN Entry Device ASV : Approved Scan Vendor QSA : Qualified Security Assessor PSP : Payment Service Provider 2

3 Introduction Données porteur (cardholder data) PAN Only PAN + Expiry PAN + CVC2 PAN + PIN Track Two 3

4 Introduction Données porteur (cardholder data) Catégorie de données Type de données Stockage autorisé? Protection nécessaire? Cardholder Data PAN (Primary Account Number) OUI OUI Nom du porteur OUI OUI Service Code OUI OUI Date d expiration OUI OUI Sensitive Authentication Data Piste magnétique complète NON N/A CVC2/CVV2/CID NON N/A PIN/PIN Block NON N/A 4

5 Introduction Risques et Coûts Un cas de fraude : TJX» Activité de TJX: distributeur en Amérique du Nord (US, Canada) et en Europe (UK)»18 décembre 2006, exploitation d une faille de sécurité dans le système d information de TJX.»94 millions de données bancaires piratées dont 45 millions de données cartes avérées. Ces données proviennent de paiements en ligne mais également de paiements classiques (face to face).»l utilisation de ces données cartes a été identifiée par les banques et utilisateurs. Conséquences et coût de la fraude»pertes sèches (619 millions de dollars de pertes pour TJX)»Perte de confiance du consommateur, image de marque 5

6 Introduction Risques et Coûts Boa Factory : des cartes bancaires à vendre *Source: 6

7 Payment Card Industry (PCI) Security Standards Council (SSC) GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY Verizon. All Rights Reserved. PTEXXXXX XX/08

8 PCI SSC A l origine Des méthodes de paiements diverses : Paiement immédiat Paiement différé Pré-paiement Des standards de sécurités divers : EMV 4.1, CPA 1.0, CPS, etc. Chip and Pin, Link PCI DSS 1.2 Attention : la conformité avec un standard n implique pas la conformité avec les autres standards Prepaid MasterCard 8

9 PCI SSC PCI DSS, PCI PA-DSS, PCI PED En 2006, VISA, MasterCard, American Express, Discover et JCB ont fondé le Payment Card Data Security Standards Council (PCI SSC). Les exigences de conformité des programmes PCI-DSS, PCI PA-DSS et PCI PED sont maintenues par le PCI SSC. 9

10 PCI SSC Programmes VISA, MasterCard, AMEX, JCB, Disc Les exigences de conformité PCI sont en alignement avec les programmes de gestions des risques des réseaux cartes : - American Express : Data Security Operating Policy (DSOP) - Discover : Discover Information Security Compliance (DISC) - JCB : Data Security Program - MasterCard : Site Data Protection (SDP) - Visa USA : Cardholder Information Security Program (CISP) - Visa Europe : Account Information Security Program (AIS) 10

11 PCI SSC Objectifs Les objectifs du PCI SSC sont : Emettre et gérer le cycle de vie des standards PCI (PCI-DSS, PCI PA-DSS, PCI PED) Améliorer la sécurité des paiements Susciter une prise de conscience et accélérer l adoption des standards PCI Favoriser la participation des banques, marchands et Payment Service Providers Gérer le processus de qualification et de validation des QSA (Qualified Security Assesor), ASV (Approved Scan Vendor), et des laboratoires PED (Pin Entry Device) Maintenir les listes des QSA, ASV et PED certifiés 11

12 PCI SSC Ressources fournies par le PCI SSC Les ressources mises à disposition par le PCI SSC sont : Les standards PCI-DSS, PCI-PA-DSS et PED-DSS et la documentation liée à ceux-ci : PCI Data Security Standard PCI DSS Security Audit Procedures PCI DSS Security Scanning Procedures PCI DSS Self Assessment Questionnaires (SAQ) PCI PED Standard PCI Payment Application Data Security Standard (PA-DSS) PCI SSC FAQ PCI SSC Education (pour les auditeurs et Scan Vendors) Participation au PCI SSC (règles de fonctionnement, formulaire d adhésion) Ces documents sont disponibles sur le site web du PCI SCC : https://www.pcisecuritystandards.org 12

13 PCI SSC Ce qui dépend directement des réseaux cartes Ce que les réseaux cartes gèrent directement : Modalités d application des standards PCI Frais, pénalités et échéances pour la conformité Processus de validation Approbation et publication des entités conformes à PCI-DSS et PA-DSS Définition des niveaux des marchands et fournisseurs de services Investigations (Forensics) et réponses aux compromissions Ces documents sont disponibles sur les sites webs des émetteurs de cartes :

14 Relations entre les différents interlocuteurs concernant les standards PCI 14

15 Payment Card Industry (PCI) Data Security Standard (DSS) GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY Verizon. All Rights Reserved. PTEXXXXX XX/08

16 PCI-DSS En résumé But principal : Protéger les données cartes Réduire la fraude Cible: les pré requis s appliquent à tous les membres (des réseaux cartes), marchands et fournisseurs de service qui stockent, traitent ou transmettent des données cartes. Plus d infos sur : 12 chapitres regroupés en 6 sections La conformité ne varie pas, seules les méthodes de validation peuvent différer. Activités soumises à validation : Scans externes trimestriels ASV Questionnaires d auto-évaluation (SAQ) Audit (RoC) Les différences dans les méthodes de validation dépendent de la cible (Marchand ou Payment Service Provider), ainsi que des volumes de transaction. 16

17 PCI DSS Les volumes de transaction Comment déterminer le volume de transaction? Les volumes de transactions sont déterminés par chaque acquéreur. Le volume de transactions est basé sur l agrégation du nombre de transactions d un commerce, d une chaine de commerces ou d un Payment Service Provider (PSP). Le cas particulier des franchises dépend du nombre et des modalités des transactions qui transitent par l infrastructure Corporate. Dans tous les cas c est l acquéreur, voire le réseau carte, qui décide du niveau final du marchand ou du PSP : L exposition aux risques, les fraudes passées ou tout autre élément peuvent inciter l acquéreur ou l organisme émetteur de cartes à exiger un niveau 1 de la part des marchands et/ou PSP. 17

18 PCI-DSS Niveau de validation pour les marchands Type Critères Eléments nécessaires à la conformité : Qui doit fournir/réaliser ces éléments : Marchand (niveau 1) Marchand (niveau 2) VISA: 6+ M² de transactions MasterCard: 6+ M² de transactions AMEX: 2.5+ M² de transactions JCB : 1+ M² de transactions DISCOVER : - VISA: 1 à 6 M² de transactions MasterCard: 1 à 6 M² de transactions AMEX: 0.05 M² à 2.5 M² de transactions JCB: moins de 1 M² de transactions Marchand (niveau 3) VISA: e-commerce de 0.02 M² à 1 M² de transactions annuelles MasterCard: e-commerce de 0.02 M² à 1 M² de transactions annuelles AMEX: - de 0.05 M² de transactions Audit sur site annuel récurrent Scan ASV trimestriel Questionnaire annuel d auto évaluation (SAQ) Scan ASV trimestriel Questionnaire annuel d auto évaluation (SAQ) Scan ASV trimestriel QSA (Qualified Security Assessor ) ASV (Approved Scan Vendor) Marchand ASV (Approved Scan Vendor) Marchand ASV (Approved Scan Vendor) Marchand (niveau 4) VISA: moins de 1M² de transactions tous canaux confondus ou moins de 0.02 M² de transactions e- commerce. MasterCard: tous les autres marchands. Questionnaire annuel d auto évaluation (SAQ) Scan ASV trimestriel Marchand ASV (Approved Scan Vendor) 18

19 PCI-DSS Niveau de validation pour les PSP Type Critères Eléments nécessaires à la conformité : Qui doit fournir/réaliser ces éléments : PSP (niveau 1) VISA: + de 0.3 M² de transactions MasterCard: + de 1M² de transactions AMEX : tous les PSP JCB: tous les PSP Discover: tous les PSP Audit sur site annuel récurrent Scan ASV trimestriel QSA (Qualified Security Assessor ) ASV (Approved Scan Vendor) PSP (niveau 2) VISA: - de 0.3 M² de transactions MasterCard: - de 1 M² de transactions Questionnaire d auto évaluation (SAQ) Scan ASV trimestriel PSP ASV 19

20 PCI-DSS Rôles et responsabilités des QSA Les Qualified Security Assessor (QSA) sont en charge de : Effectuer les évaluations (audits) PCI-DSS Vérifier les informations techniques fournies par les marchands ou service provider Supporter et orienter l audité durant le processus de mise en conformité S assurer de l application des pré-requis PCI-DSS 20

21 PCI-DSS Rôles et responsabilités des QSA (suite) Les Qualified Security Assessor (QSA) sont en charge de (suite) : Identifier le périmètre de l audit (celui-ci est défini par le standard) Identifier et justifier tout échantillonnage effectué durant l audit Evaluer les contrôles compensatoires Produire le rapport final (RoC) 21

22 PCI-DSS: Périmètre (Scope) Définition (standard PCI-DSS 1.2, p5) Les clauses de la norme PCI DSS en matière de sécurité s'appliquent à tous les composants du système. Les «composants du système» désignent tout composant réseau, serveur ou application inclus dans l environnement des données des titulaires de cartes, ou connectés à cet environnement. L environnement des données des titulaires de cartes correspond à la partie du réseau qui contient les données des titulaires de cartes ou les données d authentification sensibles. Les composants réseau comprennent notamment les pare-feu, les commutateurs, les routeurs, les points d accès sans fil, les équipements réseau et d'autres appareils de sécurité. Les types de serveurs comprennent notamment les serveurs Web, d application, de base de données, d authentification, de messagerie, proxy, NTP (Network Time Protocol) et DNS (Domain Name Server). Les applications comprennent toutes les applications achetées et personnalisées, y compris les applications internes et externes (Internet). 22

23 PCI-DSS: Périmètre (Scope), en résumé Les pré requis PCI DSS s appliquent à tous les composants du SI Un composant système est tout élément réseau, serveur, ou applicatif inclus ou connecté à l environnement qui traite, stocke et supporte les données porteurs. Les composants réseaux incluent sans limitation : Pare-feu, Switch, routeurs, points d accès WIFI, Appliance Les composants serveurs incluent sans limitation : Web, Base de données, Authentification, , proxy, DNS. Les composants applications incluent sans limitation : Toute application qu elle soit achetée ou développée en propre. 23

24 PCI-DSS: Périmètre (Scope) 24

25 PCI-DSS Classification des Exigences PCI Métiers et contractuelles Règles de régulation Exigences contractuelles qui définissent un cadre juridique de partage des responsabilités Politiques et organisationnelles Cadre de référence sécuritaire (PSSI) pour les métiers de la monétique Formaliser les politiques et les procédures nécessaires à la conformité Techniques Sécuriser l infrastructure du périmètre qui traite, stocke et transmet le flux de paiement Renforcement des contrôles d accès des salles informatiques, sécurisation des composants réseaux du périmètre, séparation des tâches, Exploitation Exigences d exploitation à travers un certain nombre de tâches récurrentes Supervision des traces d audits générées par toutes les applications de paiement Détecter tout incident de fraude ou de tentative de compromission Maintien de la conformité 25

26 Conformité à PCI-DSS GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY Verizon. All Rights Reserved. PTEXXXXX XX/08

27 Démarche de Mise en Conformité Etape 1 : Préparation Cartographie des flux de données : Les canaux d acceptations (fournisseurs impliqués?) La liste des applications qui traitent, stockent et transmettent des données porteurs Les types de données porteurs (ou autres) stockées (données électroniques, documents papiers, ) Les infrastructures, et les systèmes impactés par les applications qui traitent, stockent et transmettent des données porteurs La politique de conservation des données, les contraintes réglementaires Qui est responsable de la donnée, de l application? Identification des fournisseurs : Faire une liste des fournisseurs : PSP, éditeurs logiciels (POS), constructeurs, Etat de la conformité (PCI DSS ou PA-DSS) des fournisseurs (la version 1.2 de PCI- DSS permet de certifier un fournisseur sur son périmètre) 27

28 Démarche de Mise en Conformité Etape 2 : Identifier (et ajuster) le Périmètre PCI Réduction du périmètre PCI : Ne stocker que les données porteurs nécessaires Utiliser des applications PA-DSS Isoler les systèmes et les applications qui traitent, stockent et transmettent les données Sensibiliser les services internes (gestion de la relation client, gestion de la fraude, ) Travailler en amont avec les métiers avant d apporter une réponse technique Faire appel à un QSA Faire une analyse d écart : Sensibilisant les interlocuteurs aux exigences Répondant aux questions d interprétations des exigences Validant le périmètre d application des exigences PCI et d audit Proposant une stratégie de mise en conformité Proposant des recommandations sur la démarche de mise en œuvre (mesures compensatoires, ) Permettant de communiquer avec la banque sur l état d avancement du plan de mise en conformité 28

29 Démarche de Mise en Conformité Etape 2 : Réduction du périmètre - Exemple Exemple de réduction d un périmètre via la segmentation : La segmentation du réseau permet de réduire le périmètre d application (des prérequis) et d audit PCI-DSS Combinée à l utilisation de mécanisme de troncature et/ou de hash, la segmentation permet un second niveau de réduction du périmètre Ces réductions successives permettent d obtenir le périmètre minimal d application et d audit des mesures PCI-DSS A défaut d une segmentation pertinente le périmètre peut s étendre à l ensemble du système d information. Illustration de la réduction d un périmètre : Dans les schémas qui suivent, le périmètre d application des pré-requis PCI-DSS est indiqué en vert clair. Le reste du système d information de l entreprise est lui représenté en vert foncé

30 Démarche de Mise en Conformité Etape 2 : Réduction du périmètre - Exemple (suite) 30 30

31 Démarche de Mise en Conformité Etape 2 : Réduction du périmètre - Exemple (suite) 31 31

32 Démarche de Mise en Conformité Etape 2 : Réduction du périmètre - Exemple (suite) 32 32

33 Démarche de Mise en Conformité Etapes 3 : Mise en oeuvre des Exigences PCI DSS Mettre en place une équipe projet PCI DSS : Avec le support de la direction et des parties prenantes indispensables Equipe projet multi-compétences (technique, monétique, sécurité, ) Définir les rôles et les responsabilités de chacun (interlocuteurs internes et externes, fournisseurs, les métiers, les banques) Sensibiliser le personnel aux exigences de conformité (pas de stockage de données interdites) Travailler en amont avec les métiers avant d apporter une réponse technique Mise en œuvre des exigences : Documenter les pratiques puis s assurer de leurs conformité (et non l inverse) Capitaliser sur les projets internes, sur les périmètres identiques (gestion des logs, scans externes, SOX, ISO27001, Bâle II, PSSI, ) Réaliser les scans PCI DSS Mettre en œuvre des mesures compensatoires Mettre en œuvre les exigences PCI DSS sur le périmètre Externaliser le stockage des données porteurs pour externalisation de la mise en conformité 33

34 Démarche de Mise en Conformité Etapes 4 : Maintien de la Conformité La certification rentre dans une démarche d amélioration continue (Plan, Do, Check, Act) à l image des démarches ISO. Une fois acquise une première fois, il faut la maintenir dans le temps Plan Act Do Your Organization Check 34

35 Démarche de Mise en Conformité Au début Réaction Evaluation Remédiation Conformité Execution du plan Pre-Audit Plan de remédiation Maintien Acceptation Analyse d écart Audit Réduction des couts? Confirmation Information Externalisation éventuelle Rumeurs Comité Budget Premier scan ASV 35

36 L audit PCI-DSS Pour les marchands et les PSP de niveau 1 un audit externe effectué par un QSA est obligatoire. Cet audit donne lieu à un rapport d audit appelé Report on Compliance (RoC). La structure, et le contenu du RoC doivent respecter les conditions et procédures d évaluation de sécurité émises par le PCI SSC. pci_dss_v1-2.pdf 36

37 PCI-DSS & ISO GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY Verizon. All Rights Reserved. PTEXXXXX XX/08

38 PCI-DSS et ISO : les principales différences L exigibilité Initialement PCI-DSS est une contrainte externe. Initialement ISO est une démarche spontanée. Le périmètre Défini par le standard pour PCI-DSS Défini par l audité pour ISO (en respectant certaines contraintes de la norme). Le fond ISO / SMSI : adresse l organisation de la sécurité. PCI-DSS : adresse un niveau de sécurité. 38

39 PCI-DSS et ISO : des points communs De nombreux points de contrôles du DdA (SoA) et pré-requis PCI-DSS sont identiques ou très proches : Exemple 1 (séparation des environnements) ISO A Séparation des équipements de développement, d'essai et d exploitation Mesure : Les équipements de développement, d'essai et d exploitation doivent être séparés pour réduire les risques d accès ou de changements non autorisés dans le système d information en exploitation. PCI-DSS v : Séparer les environnements de développement/test et de production. Procédure de test : Les environnements de test/développement sont distincts de l environnement de production, et il existe un contrôle d accès pour garantir la séparation. 39

40 PCI-DSS et ISO : des points communs De nombreux points de contrôles du DdA (SoA) et pré-requis PCI-DSS sont identiques ou très proches : Exemple 2 (autorisation formelle pour l accès aux ressources) ISO A Politique relative à l utilisation des services en réseau Mesure : Les utilisateurs doivent avoir uniquement accès aux services pour lesquels ils ont spécifiquement reçu une autorisation. PCI-DSS v : Nécessité de faire signer par les responsables un formulaire d'autorisation qui précise les privilèges requis Procédure de test : Confirmer qu'un formulaire d'autorisation est requis pour tous les accès, qu'il doit préciser les privilèges exigés et qu il doit être signé par des responsables. 40

41 PCI-DSS et ISO : des points communs De nombreux points de contrôles du DdA (SoA) et pré-requis PCI-DSS sont identiques ou très proches : Exemple 3 (formalisation des responsabilités) ISO A : Attribution des responsabilités en matière de sécurité de l information Mesure : Toutes les responsabilités en matière de sécurité de l information doivent être définies clairement. PCI-DSS v : S assurer que la politique et les procédures de sécurité définissent clairement les responsabilités de tous les employés et sous-traitants en matière de sécurité des informations. Mesure : Vérifier que les politiques de sécurité des informations définissent clairement les responsabilités des employés et des sous-traitants en matière de sécurité des données. 41

42 PCI-DSS et ISO : des points communs Objectifs et mesures de sécurité du DdA et les pré-requis PCI-DSS : 42

43 PCI-DSS et ISO Un standard et une norme qui sont complémentaires Il est possible d utiliser les points de contrôles PCI-DSS comme points complémentaires dans le SoA. La mise en place d un SMSI (ISO 27001) apporte l approche PDCA. Les contraintes PCI-DSS apportent un niveau de sécurité (données cartes). PCI-DSS et ISO s auto-entretiennent, par leurs points de contrôles et leur approche itérative : maintenir un certain niveau dans le temps. Aucune incompatibilité entre ISO et PCI-DSS n a été identifié. 43

44 PCI-DSS et ISO Une approche commune à quelles conditions? Une telle approche a du sens si on peut faire cohabiter le périmètre PCI- DSS défini par le standard (des actions techniques permettent de l ajuster), et le périmètre du SMSI pour lequel on dispose d une plus grande latitude. De nombreux points de contrôles PCI-DSS et ISO Annexe A sont semblables, il faut sélectionner ces points de contrôles en conséquence lors de l élaboration du SoA. Le SMSI doit prendre en compte les contraintes PCI-DSS. 44

45 PCI-DSS et ISO Avantages de l approche commune Le principal avantage concerne les coûts, puisque une démarche commune permettant d adresser le standard PCI-DSS et la norme ISO peut induire des économies d échelles importantes : coût PCI-DSS + coût ISO >>> coût (PCI-DSS + ISO 27001) 45

46 ISO & PCI-DSS Une approche commune a-t-elle du sens? Oui à certaines conditions GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY. Rodolphe SIMONETTI CISSP, CISM, PCI-QSA, ISO Lead Auditor, ISO Risk Manager Principal Security Consultant 2008 Verizon. All Rights Reserved. PTEXXXXX XX/08

Foire aux questions (FAQ)

Foire aux questions (FAQ) Foire aux questions (FAQ) Norme de sécurité des données du secteur des cartes de paiement (PCI DSS) Qu est-ce que la Norme PCI DSS? Qui définit cette Norme? Où puis-je obtenir plus d informations sur la

Plus en détail

PCI DSS : une présentation

PCI DSS : une présentation LES DOSSIERS TECHNIQUES PCI DSS : une présentation Novembre 2009 Groupe de travail «PCI DSS» CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 30, rue Pierre Sémard, 75009 PARIS Tél. : +33 1 53 25 08 80 Fax

Plus en détail

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? Leif Kremkow Dir. Technical Account Managemet, CISSP Mardi, 5 Février, 2009 PCI Security Standards Council

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

PCI DSS * Le paradoxe français

PCI DSS * Le paradoxe français * Le paradoxe français Thierry AUTRET Groupement des Cartes Bancaires CB (* Payment Card Industry Data Security Standards) Contexte Environ 2.000 millions de cartes bancaires en circulation dans le monde

Plus en détail

Clusir Rhône-Alpes Club SSI, le 15/10/2014. CLUSIF / CLUSIR Rha PCI-DSS

Clusir Rhône-Alpes Club SSI, le 15/10/2014. CLUSIF / CLUSIR Rha PCI-DSS 1 Origines, principes, histoire 2 exemples de mise en œuvre Chez un industriel avec une démarche ISO 27001 (Yvan Rolland-Chatila) Chez un autoroutier avec une intégration dans un SMSI (Dominique Blas)

Plus en détail

Accompagnement PCI DSS

Accompagnement PCI DSS Accompagnement PCI DSS Présentation de l offre Octobre 2015 20151001-Galitt-Offre PCI DSS.pptx Sommaire 1. Introduction 2. Présentation de la norme PCI DSS 3. Démarche de mise en conformité Copyright Galitt

Plus en détail

Certification PCI-DSS. Janvier 2016

Certification PCI-DSS. Janvier 2016 Certification PCI-DSS Janvier 2016 Définitions La certification PCI DSS (Payment Card Industry Data Security Standard) est destinée aux entités appelées à transmettre, manipuler et/ou stocker des données

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité Commerçants carte absente, toutes les fonctions de données de titulaires de carte sont

Plus en détail

Comment traiter de manière sûre et responsable les données relatives aux cartes de paiement de vos clients? Document PCI DSS

Comment traiter de manière sûre et responsable les données relatives aux cartes de paiement de vos clients? Document PCI DSS Comment traiter de manière sûre et responsable les données relatives aux cartes de paiement de vos clients? Document PCI DSS Table des matières Introduction Gagner la confiance 3 Définition La norme de

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation Instructions et directives Version 2.0 Octobre 2010 Modifications apportées au document Date Version Description 1er Octobre

Plus en détail

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS?

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS? 1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS? Au titre de sa mission de suivi des politiques de sécurité mises en œuvre par les émetteurs et les accepteurs, l Observatoire a souhaité,

Plus en détail

cartes bancaires PCI DSS et le système CB Thierry Autret Groupement des Cartes Bancaires CB

cartes bancaires PCI DSS et le système CB Thierry Autret Groupement des Cartes Bancaires CB Sécurité des données cartes bancaires PCI DSS et le système CB Thierry Autret Groupement des Cartes Bancaires CB Comment faire passer PCI DSS Version américaine Source : http://www.youtube.com/watch?v=xpfcr4by71u

Plus en détail

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement La sécurisation des transactions électroniques a toujours été au cœur des préoccupations des acteurs du paiement, qu'ils soient commerçants, institutions financières ou fournisseurs de services. L'industrie

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Industrie des cartes de paiement (PCI) Norme de sécurité des données Attestation de conformité des évaluations sur site Prestataires de services Version 3.0 Février 2014 Section 1 : Informations relatives

Plus en détail

Livre blanc, août 2013 Par Peer1 et CompliancePoint www.peer1.fr. Certification PCI DSS De la complexité à la simplicité

Livre blanc, août 2013 Par Peer1 et CompliancePoint www.peer1.fr. Certification PCI DSS De la complexité à la simplicité Livre blanc, août 2013 Par Peer1 et CompliancePoint www.peer1.fr Certification PCI DSS De la complexité à la simplicité Table des matières Introduction 1 Des entreprises perdent des données client 1 Les

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Industrie des cartes de paiement (PCI) Norme de sécurité des données Attestation de conformité du Questionnaire d'auto-évaluation C-VT Version 3.0 Février 2014 Section 1 : Informations relatives à l évaluation

Plus en détail

PCI-DSS : un standard contraignant?!

PCI-DSS : un standard contraignant?! PCI-DSS : un standard contraignant?! Synthèse de la conférence thématique du CLUSIF du 7 avril 2011 à Paris Devant l augmentation des fraudes et des incidents liés à la carte bancaire, les cinq grands

Plus en détail

CERTIFICATION AUX NORMES DE SECURITE DE VISA, MASTERCARD ET AMERICAN EXPRESS FORMATION SUR PCI-DSS (PAYMENT CARD INDUSTRY DATA SECURITY STANDARD)

CERTIFICATION AUX NORMES DE SECURITE DE VISA, MASTERCARD ET AMERICAN EXPRESS FORMATION SUR PCI-DSS (PAYMENT CARD INDUSTRY DATA SECURITY STANDARD) CERTIFICATION AUX NORMES DE SECURITE DE VISA, MASTERCARD ET FORMATION SUR PCI-DSS (PAYMENT CARD INDUSTRY DATA SECURITY STANDARD) Deux (2) jours sur PCI DSS formation au Yaoundé, le Cameroun 7-8 Mai 2013

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3. Industrie des cartes de paiement (PCI) Norme de sécurité des données Conditions et procédures d évaluation de sécurité Version 3.0 Novembre 2013 Modifications apportées au document Date Version Description

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Industrie des cartes de paiement (PCI) Norme de sécurité des données Attestation de conformité du Questionnaire d'auto-évaluation B-IP Version 3.0 Février 2014 Section 1 : Informations relatives à l évaluation

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Industrie des cartes de paiement (PCI) Norme de sécurité des données Attestation de conformité du Questionnaire d'auto-évaluation P2PE-HW Version 3.0 Février 2014 Section 1 : Informations relatives à l

Plus en détail

Payment Card Industry (PCI) Normes en matière de sécurité des données

Payment Card Industry (PCI) Normes en matière de sécurité des données Payment Card Industry (PCI) Normes en matière de sécurité des données Procédures de balayage de sécurité Version 1.1 Date de publication : septembre 2006 Table des matières Niveau 5... 6 Niveau 4... 6

Plus en détail

Payment Card Industry (PCI) Payment Application Data Security Standard (PA-DSS) Guide du programme Version 1.2

Payment Card Industry (PCI) Payment Application Data Security Standard (PA-DSS) Guide du programme Version 1.2 Payment Card Industry (PCI) Payment Application Data Security Standard (PA-DSS) Guide du programme Version 1.2 Octobre 2008 Modifications apportées au document Date Version Description 1 er octobre 2008

Plus en détail

MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné

MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné NetBenefit Green Side 400 Avenue Roumanille 06906 Sophia Antipolis Cedex France +33 (0)4 97 212 212 www.netbenefit.fr MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné Ce document

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B-IP et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B-IP et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B-IP et attestation de conformité Commerçants utilisant des terminaux autonomes, à connexion IP de PTS Point d interaction

Plus en détail

PCI DSS un retour d experience

PCI DSS un retour d experience PCI DSS un retour d experience Jean-Marc Darées, IT architect PSSC Customer Center, NTC France jmdarees@fr.ibm.com EUROPE IOT Agenda Le standard PCI Un réveil soudain Retours d Expérience IBM PCI DSS Un

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

Norme PCI Septembre 2008. La norme PCI : transformer une contrainte en opportunité

Norme PCI Septembre 2008. La norme PCI : transformer une contrainte en opportunité Norme PCI Septembre 2008 La norme PCI : transformer une contrainte en opportunité Page 2 Sommaire 2 Synthèse 2 Une autre vision des exigences PCI 4 Corréler la conformité PCI avec votre stratégie globale

Plus en détail

Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA. à la norme PCI-DSS, level 1

Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA. à la norme PCI-DSS, level 1 POUR L EVALUATION DE LA CONFORMITE DU GIM-UEMOA A LA NORME PCI-DSS, LEVEL 1 TERMES DE REFERENCE Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA à la norme

Plus en détail

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Sécurisation des paiements en lignes et méthodes alternatives de paiement Comment sécuriser vos paiements en ligne? Entre 2010 et 2013, les chiffres démontrent que c est sur internet que la fraude à la carte bancaire a montré sa plus forte progression. Même si le taux de fraude

Plus en détail

PCI (Payment Card Industry) Data Security Standard

PCI (Payment Card Industry) Data Security Standard PCI (Payment Card Industry) Data Security Standard Conditions et procédures d'évaluation de sécurité Version 2.0 Octobre 2010 Modifications apportées au document Version Description Pages Octobre 2008

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

Payment Card Industry (PCI) Payment Application Data Security Standard

Payment Card Industry (PCI) Payment Application Data Security Standard Payment Card Industry (PCI) Payment Application Data Security Standard Conditions et procédures d'évaluation de sécurité Version 2.0 Octobre 2008 Modifications apportées au document Version Description

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement

Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement Conditions et procédures d évaluation de sécurité Version 3.0 Novembre 2013 Modifications apportées au document

Plus en détail

Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement

Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement Assurer la conformité PCI et la protection des données des porteurs de cartes avec les bonnes pratiques de sécurité. Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des

Plus en détail

Consultation du SEPA Cards Standardisation Volume V5.5 Chapitre 5 : «Exigences sécuritaires»

Consultation du SEPA Cards Standardisation Volume V5.5 Chapitre 5 : «Exigences sécuritaires» Consultation du SEPA Cards Standardisation Volume V5.5 Chapitre 5 : «Exigences sécuritaires» Contribution du Commerce PCI-DSS et protection des données cartes de paiement : évolution vers le «chiffrement

Plus en détail

Brève info CLUSIF PCI v2.0 : quels changements?

Brève info CLUSIF PCI v2.0 : quels changements? LES DOSSIERS TECHNIQUES Brève info CLUSIF Décembre 2010 Groupe de travail «PCI DSS» CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11 rue de Mogador - 75009 Paris Tél. : +33 1 53 25 08 80 Fax : +33 1 53

Plus en détail

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014 Retour d expérience PCI DSS Gérard Boudin 8 avril 2014 Fraude Adobe 2,9 puis 38 millions de comptes affectés 2 Autres fraudes SONY (2011) 77 millions de comptes Network PlayStation affectés Subway (Sept

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation C et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation C et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation C et attestation de conformité Commerçants possédant des systèmes d application de paiement connectés à Internet- Sans

Plus en détail

Présentation ITS Interactive Transaction Solutions

Présentation ITS Interactive Transaction Solutions Présentation ITS Interactive Transaction Solutions ITS Interactive Transaction Solutions Plus de 10 ans d expérience dans les transactions sécurisées et la carte d achat 150 000 transactions / jour 25

Plus en détail

www.thales-esecurity.com COMMERCIAL IN CONFIDENCE

www.thales-esecurity.com COMMERCIAL IN CONFIDENCE www.thales-esecurity.com www.thales-esecurity.com PCI-DSS data protection : Impact sur l industrie de paiement Aurélien Narcisse 3 / Introduction PCI DSS? Signification? Conformité? 4 / Introduction au

Plus en détail

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT. 27 avril 2011.

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT. 27 avril 2011. Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO 27001 CNIS EVENT 27 avril 2011 Paris ) ) ) ) Ce document est la propriété de Provadys SAS et ne peut être reproduit

Plus en détail

Secteur de la carte de paiement (Payment Card Industry, PCI) Normes de sécurité des données (Data Security Standard, DSS)

Secteur de la carte de paiement (Payment Card Industry, PCI) Normes de sécurité des données (Data Security Standard, DSS) Secteur de la carte de paiement (Payment Card Industry, PCI) Normes de sécurité des données (Data Security Standard, DSS) Conditions et procédures d'évaluation de sécurité Version 2.0 Octobre 2010 Copyright

Plus en détail

L impact de PCI-DSS sur les différents acteurs du marché. Marchands, PSP, Banques quel est-il?

L impact de PCI-DSS sur les différents acteurs du marché. Marchands, PSP, Banques quel est-il? L impact de PCI-DSS sur les différents acteurs du marché Marchands, PSP, Banques quel est-il? Présentation Sébastien MAZAS Verizon Business QSA Responsable GRC France 15 ans d expériences dans la sécuritédes

Plus en détail

Payment Card Industry (PCI) Data nt Standard Questionnaire d auto-évaluation C-VT et attestation de conformité

Payment Card Industry (PCI) Data nt Standard Questionnaire d auto-évaluation C-VT et attestation de conformité Payment Card Industry (PCI) Data nt Standard Questionnaire d auto-évaluation C-VT et attestation de conformité Commerçants utilisant des terminaux virtuels basés sur le Web - sans stockage électronique

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation D et attestation de conformité pour les prestataires de service

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation D et attestation de conformité pour les prestataires de service Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation D et attestation de conformité pour les prestataires de service Prestataires de services éligibles pour le SAQ Version

Plus en détail

Sécurité des cartes de paiement

Sécurité des cartes de paiement Sécurité des cartes de paiement Université de Montréal mars 2011 Nicolas Guay Directeur de pratique, Monétique Groupe GFI Solutions Au menu Le paiement par carte, les risques et objectifs de sécurité Carte

Plus en détail

Nouveau Programme 2010. Formation Monétique

Nouveau Programme 2010. Formation Monétique EESTEL vous propose en cette année 2010 une formation à la monétique rénovée, en fonction : - D une part, des nouvelles architectures fonctionnelles issues du SEPA et de l irruption de nouveaux Opérateurs

Plus en détail

UIA - Enjeux européens et mondiaux de la protection des données personnelles 19-20 Septembre 2014

UIA - Enjeux européens et mondiaux de la protection des données personnelles 19-20 Septembre 2014 1. Sécurisation des paiements en ligne (via carte de paiement) Pourquoi parler de la sécurité des paiements en ligne, et plus particulièrement des paiements effectués via une carte de paiement sur internet,

Plus en détail

Questionnaire d'auto-évaluation A et attestation de conformité

Questionnaire d'auto-évaluation A et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation A et attestation de conformité Toutes les fonctions de données de titulaires de carte sous-traitées. Aucun stockage, traitement

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation A et attestation de conformité Toutes les fonctions de données de titulaire de carte sous-traitées. Aucun stockage, traitement

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation D et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation D et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation D et attestation de conformité Toutes les fonctions de données de titulaires de carte sous-traitées. Aucun stockage, traitement

Plus en détail

Sécurité à l heure de la DME2: Le point de vue de la Banque de France

Sécurité à l heure de la DME2: Le point de vue de la Banque de France Sécurité à l heure de la DME2: Le point de vue de la Banque de France Jerome FANOUILLERE Surveillance des moyens de paiement scripturaux Banque de France Conférence EIFR 28/02/2013 1 Plan Le Rôle de la

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité Dispositif d impression ou terminal par ligne commutée autonome uniquement, aucun stockage

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

+213 (0) 21 56 25 00. FAX:

+213 (0) 21 56 25 00. FAX: EMV Mme Nejla Belouizdad Directrice Organisation et Sécurité Monétique TEL: +213 (0) 21 56 25 00. FAX: +213 (0) 21 56 18 98. E-mail : nejla.belouizdad@satim-dz.com 46, Rue des fréres Bouadou (Ex Ravin

Plus en détail

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS.

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS. Guide à l attention des développeurs / hébergeurs de sites web marchands sur le niveau minimum de sécurité pour le traitement de numéros de cartes bancaires Préambule Ce guide n a pas vocation à se substituer

Plus en détail

Payment Card Industry (PCI) Data Security Standard (DSS) et Payment Application Data Security Standard (PA-DSS) Glossaire, abréviations et acronymes

Payment Card Industry (PCI) Data Security Standard (DSS) et Payment Application Data Security Standard (PA-DSS) Glossaire, abréviations et acronymes Payment Card Industry (PCI) Data Security Standard (DSS) et Payment Application Data Security Standard (PA-DSS) Glossaire, abréviations et acronymes Version 1.2 Octobre 2008 AAA Accès à distance Acquéreur

Plus en détail

Rapport PCI Verizon 2014

Rapport PCI Verizon 2014 Résumé Rapport PCI Verizon 2014 Compte rendu de nos analyses sur l'état actuel de la conformité au standard de sécurité PCI. En 2013, 64,4 % des entreprises n avaient pas restreint à un seul utilisateur

Plus en détail

Sécuriser. connecter. simplifier. Your multi-channel payment partner.

Sécuriser. connecter. simplifier. Your multi-channel payment partner. Sécuriser. connecter. simplifier. Your multi-channel payment partner. Anticiper l innovation pour offrir à nos clients une technologie de pointe. Technologies de proximité Le groupe Verifone est leader

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

Démarche d un projet PCI DSS

Démarche d un projet PCI DSS LES DOSSIERS TECHNIQUES Démarche d un projet PCI DSS Août 2013 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11 rue de Mogador - 75009 Paris Tél. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 clusif@clusif.fr

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

2012-2013 Formations. Cabinet d Expertise en Sécurité des Systèmes d Information CESSI

2012-2013 Formations. Cabinet d Expertise en Sécurité des Systèmes d Information CESSI 2012-2013 Formations Cabinet d Expertise en Sécurité des Systèmes d Information CESSI 01/11/2012 Table des Matières Présentation du Cabinet CESSI... 3 1- ISO 27001 Foundation... 5 2- ISO 27001 Lead Auditor...

Plus en détail

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI Compte rendu de recherche de Websense Prévention de la perte de données et conformité PCI Normes de sécurité des cartes de crédit Plus d une décennie après l avènement du commerce électronique, beaucoup

Plus en détail

contactless & payment des solutions de test pour mener à bien vos projets

contactless & payment des solutions de test pour mener à bien vos projets contactless & payment des solutions de test pour mener à bien vos projets contactless & payment certification et tests de bout en bout pour des dispositifs de paiement sans contact Conseil indépendant

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

L'approche Iso27001 au sein du Gie Systalians de Réunica Bayard

L'approche Iso27001 au sein du Gie Systalians de Réunica Bayard L'approche Iso27001 au sein du Gie Systalians de Réunica Bayard Club Iso 27001 - Emmanuel GARNIER 21 novembre 2007 L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

Label sécurité ITrust : ITrust Security Metrics

Label sécurité ITrust : ITrust Security Metrics ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions

Plus en détail

DSOP - Canada Service Providers FR 07/10 1/5

DSOP - Canada Service Providers FR 07/10 1/5 Lignes directrices opérationnelles sur la sécurité des données d American Express à l intention des fournisseurs de services canadiens* Chef de file en protection des consommateurs, American Express s

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

La puissance dans toute sa simplicité

La puissance dans toute sa simplicité La puissance dans toute sa simplicité Solutions de paiement par Internet de Desjardins TABLE DES MATIÈRES Une foule d avantages pour le marchand 05 La puissance dans toute sa simplicité 06 Les Solutions

Plus en détail

Introduction à l'iso 27001

Introduction à l'iso 27001 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'iso 27001 Séminaire sur la Sécurité Informatique

Plus en détail

Frais de remboursement d interchange de Visa Canada

Frais de remboursement d interchange de Visa Canada de Visa Canada Les tableaux suivants font état des frais de remboursement d interchange appliqués aux transactions financières Visa effectuées au Canada. 1 Visa utilise les frais de remboursement d interchange

Plus en détail

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation

Plus en détail

Payment Card Industry (PCI) Normes en matière de sécurité des données

Payment Card Industry (PCI) Normes en matière de sécurité des données Payment Card Industry (PCI) Normes en matière de sécurité des données Procédures d audit de sécurité Version 1.1 Date de publication : septembre 2006 Table des matières Procédures d audit de sécurité...

Plus en détail

L Evolution de PCI DSS en Europe. Mercredi 13 juin 2012 Les Salons de la Maison des Arts & Métiers. Mathieu.gorge@vigitrust.com. www.vigitrust.

L Evolution de PCI DSS en Europe. Mercredi 13 juin 2012 Les Salons de la Maison des Arts & Métiers. Mathieu.gorge@vigitrust.com. www.vigitrust. L Evolution de PCI DSS en Europe Mercredi 13 juin 2012 Les Salons de la Maison des Arts & Métiers Mathieu.gorge@vigitrust.com www.vigitrust.com Thursday, 14 June 2012 (c) VigiTrust 2003-2012 1 2 nd Edition

Plus en détail

GUIDE DE DÉMARRAGE - SERVICE DE CONFORMITÉ PCI VERSION 4.0

GUIDE DE DÉMARRAGE - SERVICE DE CONFORMITÉ PCI VERSION 4.0 ! Guide de l utilisateur GUIDE DE DÉMARRAGE - SERVICE DE CONFORMITÉ PCI VERSION 4.0 14 Septembre 2009 Copyright 2006-2009 Qualys, Inc. Tous droits réservés. Qualys, le logo Qualys et QualysGuard sont des

Plus en détail

Mise en œuvre et sécurisation d une plateforme monétique pédagogique

Mise en œuvre et sécurisation d une plateforme monétique pédagogique Mise en œuvre et sécurisation d une plateforme monétique pédagogique Emilie Sulmont (emilie.sulmont@ensicaen.fr) Marc Pasquet (marc.pasquet@ensicaen.fr) Joan Reynaud (joan.reynaud@ensicaen.fr) Résumé :

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Formation Monétique : approfondissement technique

Formation Monétique : approfondissement technique EESTEL vous propose une formation à la monétique rénovée, en fonction : - D une part, des nouvelles architectures fonctionnelles issues du SEPA et de l irruption de nouveaux Opérateurs de paiement (DSP)

Plus en détail

Très faible nombre de sociétés certifiées ISO 27001 en France

Très faible nombre de sociétés certifiées ISO 27001 en France Conférence CLUSIF, 23 Octobre 2008 Très faible nombre de sociétés certifiées ISO 27001 en France Retour d expérience de la dernière en date Stéphane Duproz Directeur Général stephane.duproz@telecity.com

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Veille technologique. la finance solidaire Chapitre ou éthique 3. 1 La sécurité des terminaux de paiement

Veille technologique. la finance solidaire Chapitre ou éthique 3. 1 La sécurité des terminaux de paiement la finance solidaire Chapitre ou éthique 3 Veille technologique 1 La sécurité des terminaux de paiement Les terminaux de paiement évoluent régulièrement au gré des changements technologiques liés par exemple

Plus en détail

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,

Plus en détail

www.cmcicpaiement.fr plateforme de paiements sécurisés sur internet Groupe Crédit Mutuel-CIC La carte d identité 2009

www.cmcicpaiement.fr plateforme de paiements sécurisés sur internet Groupe Crédit Mutuel-CIC La carte d identité 2009 CM-CIC PAIEMENT www.cmcicpaiement.fr plateforme de paiements sécurisés sur internet Le Groupe CM-CIC Groupe Crédit Mutuel-CIC La carte d identité 2009 PNB : 13,6 milliards Résultat net part du groupe :

Plus en détail

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation D et attestation de conformité

Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation D et attestation de conformité Payment Card Industry (PCI) Data Security Standard Questionnaire d'auto-évaluation D et attestation de conformité Tous les autres commerçants et prestataires de services qualifiés SAQ Version 2.0 Octobre

Plus en détail

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d application de paiement (PA-DSS)

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d application de paiement (PA-DSS) Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d application de paiement (PA-DSS) Glossaire des termes, abréviations et acronymes Version 3.0

Plus en détail

Directeur Département Monétique

Directeur Département Monétique Directeur Département Monétique FORMATIONS Ingénieur EPF Option aérospatiale Master Génie industriel option Systèmes Electroniques Paris Sud (Orsay) Lead Auditor ISO/IEC 27001 PCI DSS PA DSS PRA, PCA,

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données

Industrie des cartes de paiement (PCI) Norme de sécurité des données Industrie des cartes de paiement (PCI) Norme de sécurité des données Condition d'application de la norme PCI DSS dans un environnement EMV Document de directives Version 1.0 Publication : 14 septembre

Plus en détail

Conférence CLUSIF PCI-DSS. L externalisation : une échappatoire à PCI-DSS?

Conférence CLUSIF PCI-DSS. L externalisation : une échappatoire à PCI-DSS? Conférence CLUSIF PCI-DSS L externalisation : une échappatoire à PCI-DSS? Introduction en quelques chiffres Fraudes àla carte bancaire en hausse de 9,8%*par an en France pour un montant de 342,5M *en 2009

Plus en détail

Être conforme à la norme PCI. OUI, c est possible!

Être conforme à la norme PCI. OUI, c est possible! Être conforme à la norme PCI OUI, c est possible! Présentation Réseau Action TI 8 mai 2013 Johanne Darveau Directrice systèmes, portefeuille de projets et support applicatif Technologies de l information

Plus en détail

COMPRÉHENSION DES PRIX DES MARCHANDS

COMPRÉHENSION DES PRIX DES MARCHANDS COMPRÉHENSION DES PRIX DES MARCHANDS 0 TABLE DES MATIÈRES Définitions.. 1 Structures de prix... 2 Catégories de prix 3 Taux fixe... 4 Majoration des coûts...5 Ressources supplémentaires. 6 Tableau des

Plus en détail

Solutions de paiement embarquées. 21 Octobre 2011 Matthieu Bontrond Expert Cryptographie

Solutions de paiement embarquées. 21 Octobre 2011 Matthieu Bontrond Expert Cryptographie Solutions de paiement embarquées 21 Octobre 2011 Matthieu Bontrond Expert Cryptographie Agenda 1. Introduction à la monétique 2. Présentation de la société 3. Normes et Standards 4. Enjeux techniques 5.

Plus en détail

Sécurisation avancée des données de cartes bancaires Guide Hôtel v1.0 SECURISATION AVANCEE DES DONNEES BANCAIRES. Guide Hôtel

Sécurisation avancée des données de cartes bancaires Guide Hôtel v1.0 SECURISATION AVANCEE DES DONNEES BANCAIRES. Guide Hôtel SECURISATION AVANCEE DES DONNEES BANCAIRES Guide Hôtel Février 2011 1 Table des Matières 1. PRESENTATION GENERALE 2. PRESENTATION TECHNIQUE 3. GENERER VOTRE CODE D ACCES 4. CONSULTER LES COORDONNEES BANCAIRES

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail