PCI DSS un retour d experience

Transcription

1 PCI DSS un retour d experience Jean-Marc Darées, IT architect PSSC Customer Center, NTC France jmdarees@fr.ibm.com EUROPE IOT

2 Agenda Le standard PCI Un réveil soudain Retours d Expérience IBM PCI DSS Un zoom sur les conditions 3 et 4 : Protection des données des titulaires de cartes de crédit IBM une offre intégrée pour répondre à PCI. 2

3 PCI Payment Card Industry Data Security Standard. Les données de la carte bancaire sont devenues sensibles car elle permettent de faire un paiement sur internet sans présence physique de la carte. Les fraudeurs cherchent à capturer ces numéros en attaquant les systèmes d information des acteurs qui stockent ces données. Le programme PCI DSS vise à améliorer la sécurité physique et logique des systèmes d information en demandant aux acteurs de respecter des bonnes pratiques de sécurité. 3

4 Rapports 2012 sur la Fraude à la Carte Bancaire Un coût de la perte de données en hausse pour les entreprises françaises (+12%), le coût moyen par données compromises est passé de 98 euros en 2010 à 122 euros en 2011 Internet reste le canal avec la hausse la plus importante (61% du montant de la fraude pour l ensemble des canaux de paiements à distance) Les secteurs les plus vulnérables restent les voyages, transports, commerce et télécommunications avec 70% de la fraude sur Internet Les fraudeurs de la zone SEPA ont ciblé les ATMs (Automatic Teller Machine) et les points de vente en lieu et place des fraudes sur les canaux carte non présente (Internet, MOTO ) La contrefaçon de cartes reste la principale source des fraudes sur les ATMs et des points de ventes avec 344 millions d Euros en 2010, et la première source de fraude liée à la contrefaçon Les entreprises victimes de fraudes n apprennent que très tardivement qu elles ont fait l objet d une compromission de données 4

5 A qui s applique la norme? PCI DSS s adresse à tous les acteurs qui capturent, transportent, stockent et/ou traitent des données de cartes bancaires. Les commerçants de proximité, les marchands sur internet, les réseaux de transport, les centres d appels, les banques, les émetteurs de cartes font partie des acteurs concernés par PCI DSS déc.-12

6 Les données a protéger 6

7 Directives relatives à la norme PCI DSS Création et gestion d un réseau sécurisé Condition 1 : Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes Condition 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur Protection des données des titulaires de cartes de crédit Condition 3 : Protéger les données de titulaires de cartes stockées Condition 4 : Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts Gestion d un programme de gestion des vulnérabilités Condition 5 : Utiliser des logiciels ou des programmes antivirus et les mettre à jour régulièrement Condition 6 : Développer et gérer des systèmes et des applications sécurisés Mise en œuvre de mesures de contrôle d accès strictes Condition 7 : Restreindre l'accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître Condition 8 : Affecter un ID unique à chaque utilisateur d ordinateur Condition 9 : Restreindre l accès physique aux données des titulaires de cartes Surveillance et test réguliers des réseaux Condition 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes Condition 11 : Tester régulièrement les processus et les systèmes de sécurité Gestion d une politique de sécurité des informations Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel 7

8 La France et l Europe en retard? Les banques européennes sont protégées par le système des cartes à puce EMV En France, la banque acquéreuse ne traite pas directement avec VISA ou Mastercard. Lorsque la banque émettrice de la carte est française, la transaction est traitée par le réseau des e-rsb sans passer par le réseau VISA ou Mastercard. 8

9 Un réveil soudain Les clients et les prospects étrangers demandent "d'être PCI DSS". PCI devient une condition à la signature de contrats de partenariat. Les sociétés Visa, MasterCard se font très pressantes. 9

10 Un changement profond pas toujours compris PCI n est pas seulement un datacenter certifié PCI DSS avec l'installation de quelques logiciels de sécurité pci C est :Une compliance pluri-disciplinaire un datacenter certifié PCI DSS des contraintes d'implémentations techniques des logiciels de sécurité. Mais surtout la mise en place des processus organisationnels, la rédaction de documentation précise et l'audit régulier des systèmes. 10

11 Services Professionnels PCI DSS d IBM Les Services Professionnels PCI DSS d IBM permettent aux entreprises d établir un environnement de confiance pour gérer l ensemble des exigences PCI DSS de bout en bout, et ainsi d atténuer les risques de fraudes. Plan Design Implement Operate Monitor Identification des enjeux métier et des objectifs de sécurité Définition des politiques et des procédures PCI DSS Sensibilisation et retour d expérience Gestion de la conformité PCI DSS via les services gérés Evaluation des processus d amélioration Définition et réduction du périmètre PCI DSS Développement d une stratégie Évaluation de l état actuel, analyse des écarts 11 Définition des rôles et des responsabilités (RACI, SOD pour PCI) Définition de plan de tests de la conformité Architecture de sécurité PCI DSS Documentation des politiques et des procédures PCI DSS Mise en œuvre des contrôles et mesures compensatoires Externalisation stratégique et sécurisation du Cloud Performance des pratiques PCI DSS Audit récurrents PCI DSS, PA-DSS 11

12 Un exemple d architecture: Protection des données cartes de crédit environnement bancaire Question comment realiser les conditions 3 et 4 en environnement bancaire mainframe? Condition 3 : Protéger les données de titulaires de cartes stockées Condition 4 : Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts 12

13 Partenaires : GIE CB (ersb), VISA, Datapower XG 45 Zone de confiance PCI DSS Utilisateurs : accès administrateurs (systèmes, DBA, outils, pilotage, applications ) et utilisateurs (gestionnaires, production ) Communication chiffrée (TVLS v1 / SSLV3) pour réduction du périmètre PCI DSS Référentiel porteur Référentiel automate Compensation Personnalisation Relevés de comptes IBM Data Access Control and Monitoring Gestion et Surveillance RACF des zsecure accès PANs Qradar SEIM Audit RACF et conformité Guardium Alertes Com Sever temps réels ISS PANs conservés en BDD ou fichiers SI bancaire (PANs désensibilisés : token ou troncature) Com Sever zos PANs chiffrés en BDD PANs chiffrés fichiers Gestion et stockage des clés (PCI DSS 3.5.x, 3.6.x) DKMS Guardium Encryption Expert Chiffrement PANs Guardium Data Redaction Guardium Data Encryption For DB2 Encryption facility PANs tronqués Troncature Guardium PANs format PCI DSS Data et Redaction GIE bulletin 13 Conservation des PANs désénsibilisés (fichiers journals, logs applicatives...) PANs tokenisés Zone de confiance PCI DSS 13

14 IBM une offre integrée pour Répondre à PCI The products outlined in this chart highlight IBM capabilities. IBM ISS Products & Services IBM Q1 Labs (SIEM) IBM Proventia Network Anomaly Detection System (ADS) IBM Rational AppScan Maintain an Information Security Policy IBM OpenPages IBM Q1 Labs (SIEM) Build and Maintain a Secure Network IBM Proventia Server Intrusion Prevention System (IPS) IBM Proventia Network (IPS) IBM Tivoli Access Manager IBM Tivoli Endpoint manager (MFS) IBM Global Services IBM Q1 Labs (SIEM) IBM Proventia Server IPS Monitor and IBM Digital Video Surveillance IBM Biometric Access Control Test Networks Data Protect Cardholder IBM Storage Manager IBM Proventia Server IPS IBM Tivoli Key Lifecycle Manager IBM PKI Services IBM System z Encryption Solutions IBM IMS and DB2 Encryption Tool Implement Strong IBM Tivoli Identity Manager IBM Tivoli Federated Identity Manager Access Control Measures Maintain a Vulnerability Management Program IBM Data Encryption of IMS and DB2 IBM System z network encryption DataPower XML Security Gateway Proventia Network Intrusion Prevention System 14 IBM Tivoli Access Manager IBM Tivoli zsecure Admin IBM Q1 Labs (SIEM) IBM Software Development Platform IBM Tivoli CCMBD IBM Rational AppScan IBM Systems and Storage IBM Proventia Desktop Endpoint Security IBM Proventia Network Enterprise 2012 Scanner IBM Corporation

15 15