Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement

Transcription

1 Assurer la conformité PCI et la protection des données des porteurs de cartes avec les bonnes pratiques de sécurité. Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement Points clés Évaluation préalable Bilan PCI annuel sur site avec établissement du rapport de conformité (Report On Compliance) Services de contrôles trimestriels par balayage (scanning) Tests d intrusion Bilan de la sécurité applicative pour les fournisseurs d applications de paiement Sécuriser les données, c est rassurer les consommateurs Pour toute entreprise ou organisation amenée à collecter, à stocker ou à transmettre les données personnelles des titulaires de cartes de paiement, la sécurité est vitale : il en va de sa crédibilité. Face à la multiplication des vols d identité, à des incidents de sécurité faisant régulièrement la une des journaux et au sentiment général d un certain laxisme dans le contrôle des données des porteurs, le secteur des cartes de paiement (payment card industry, ou PCI) a décidé d instaurer des standards pour protéger les clients contre les détournements et les escroqueries. En septembre 2006, American Express, Discover Financial Services, JCB, MasterCard Worldwide et Visa International ont fondé le PCI Security Standards Council (PCI SSC). La mission de ce comité : établir des normes de sécurisation des données de carte de paiement, les perfectionner, les diffuser et faciliter leur mise en application. C est ainsi qu est né PCI Data Security Standard (PCI DSS), qui fixe des exigences standardisées pour la protection des données des porteurs de cartes. Pour généraliser PCI DSS, les émetteurs incitent les institutions financières et les commerçants en les alertant sur les conséquences et sanctions du non respect de ce standard.

2 Il y a des milliards de cartes de paiement : l impact de la norme PCI est énorme À elle seule, Visa totalise 1,5 milliard de cartes en circulation. Autant dire que les exigences PCI concernent beaucoup de monde. Les commerçants, les fournisseurs de services et, de manière générale, toutes les organisations qui stockent, traitent ou transmettent des données de porteurs de cartes sont tenues de se conformer aux exigences PCI. Faute de quoi, ils encourent des amendes ou la facturation par les banques de commissions majorées sur les transactions. De nombreux secteurs d activité sont concernés : Distribution sites de vente en ligne, points de vente traditionnels, vente par correspondance et par téléphone Métiers d accueil restauration, hôtellerie, centres de villégiature et de loisirs Transport compagnies aériennes, loueurs automobiles, services de location avec chauffeur Services financiers banques, gestionnaires de paiements, courtiers et compagnies d assurances Santé et enseignement hôpitaux, médecins, dentistes, universités Télécommunications et services publics opérateurs fixes et mobiles, compagnies d eau, de gaz et d électricité, etc. Assurez votre conformité PCI et protégez vos clients avec les solutions IBM PCI Dans la mesure où les exigences PCI concernent toute entité en contact avec les données des cartes de paiement des consommateurs, la norme PCI DSS s applique également aux sociétés de services qui traitent les transactions acceptées par les commerçants. Si les contraintes des commerçants et des prestataires varient en fonction du volume d activité et des opérations effectuées, tous ont deux grandes obligations : 1. Réaliser et justifier leur mise en conformité initiale 2. Maintenir leur conformité au fil du temps. Les solutions IBM PCI sont conçues pour aider les entreprises à obtenir et à maintenir leur conformité PCI de manière à satisfaire aux critères des audits annuels. IBM s appuie sur un ensemble de bonnes pratiques pour assister les entreprises dans les cinq grands aspects de la mise en conformité : évaluation, conception, déploiement, gestion et support, formation. Notre approche leur permet d identifier les causes premières des non-conformités, de les traiter et d instaurer des mécanismes de contrôle Phase 5. Formation Accompagnement continu de l entreprise face à des exigences croissantes en matière de prudence et de vigilance Phase 4. Gestion et support Fourniture de services de support essentiels tels que des interventions d urgence ou des services d investigation GESTION ET FORMATION SUPPORT DEPLOIEMENT EVALUATION CONCEPTION interne pour préserver leur conformité année après année. Les consultants IBM connaissent bien les écueils propres à chaque étape de la mise en conformité. Voici quelques-uns des problèmes courants qui entravent le processus et auxquels les entreprises doivent être attentives : Absence de chiffrement des courriers et des messages électroniques Absence de chiffrement des données sur le lieu de stockage Méconnaissance de l emplacement des différentes données Manque de cloisonnement des rôles Absence de contrôles d accès adéquats (utilisation d identifiants génériques, par défaut ou partagés) Manque de cloisonnement entre les réseaux Les réseaux chargés des traitements opérationnels compromettent souvent l isolement des réseaux PCI Multiplication des règles de pare-feu, sans justification opérationnelle Documentation insuffisante des règles et des procédures IBM et la mise en conformité PCI Une approche en cinq phases Phase 1. Évaluation Détermination de la situation actuelle de l entreprise à travers des bilans de sécurité des applications et des informations, des tests d intrusion et l évaluation des lacunes à combler Phase 2. Conception Élaboration d une stratégie de sécurité pouvant inclure diverses composantes comme la préparation aux situations de crise, le développement de normes et de procédures, et la planification de la mise en œuvre Phase 3. Déploiement Mise en place à travers des services de mise en œuvre et d optimisation, de migration et de correction des failles de sécurité 2

3 IBM : tous les produits et les services nécessaires pour votre solution PCI Pour satisfaire à la norme PCI, les entreprises ont souvent besoin à la fois de services et de technologies. IBM leur propose tout un éventail de produits et de services conçus pour les aider à se conformer à chacune des douze exigences de la norme ( The Digital Dozen ). Nos solutions PCI aident les dirigeants d entreprise et les responsables concernés à déployer des procédures de bout en bout pour protéger les données des porteurs conformément à ces douze commandements. La norme PCI DSS se compose de 12 exigences ( The Digital Dozen ) avec lesquelles les entreprises doivent établir leur conformité chaque année. Les douze exigences de la norme PCI DSS Req 1. Install and maintain a firewall configuration to protect cardholder data Req 2. Do not use vendor-supplied defaults for system passwords and other security parameters Req 3. Protect stored cardholder data Req 4. Encrypt transmission of cardholder data sent across open, public networks Req 5. Use and regularly update anti-virus software Req 6. Develop and maintain secure systems and applications Req 7. Restrict access to cardholder data by business need-to-know Req 8. Assign a unique ID to each person with computer access Req 9. Restrict physical access to cardholder data Req 10. Track and monitor all access to network resources and cardholder data Req 11. Regularly test security systems and processes Req 12. Maintain a policy that addresses information security Solutions de conformité PCI Non-application des correctifs Stockage de données sensibles issues de la piste magnétique des cartes 3

4 Conseil, missions d évaluation, technologies de sécurité, services gérés... toutes les solutions IBM sont conçues pour permettre une mise en conformité à l échelle de l entreprise. Avec les solutions IBM PCI, vous avez accès à un large éventail de produits et de services offrant une série d avantages : Une offre globale Qu il s agisse de l évaluation et du conseil ou des interventions d urgence et de la gestion quotidienne, IBM associe le savoir-faire de ses spécialistes de la sécurité à des solutions fiables pour bâtir des programmes de protection efficaces pour vos systèmes et vos données clients. Une expérience mutisectorielle Grâce à sa vaste expérience au service des secteurs d activité les plus divers, IBM peut apporter des réponses adaptées à tous les types d entreprises et d organisations concernées par les exigences PCI. L accès à des experts de la sécurité IBM possède une équipe sécurité sans équivalent animée par des experts de haut niveau qui ont fait leurs armes dans des missions de stratégie, de conseil et d investigation pour le compte de grandes entreprises, du gouvernement, des forces de l ordre et de laboratoires de recherche et développement. Des solutions sur mesure Les consultants IBM savent comment collaborer avec les membres clés de la direction et du personnel pour élaborer un plan d action sur mesure en parfaite adéquation avec les objectifs de l entreprise. Des compétences et des outils dédiés Les spécialistes IBM conduisent une analyse en profondeur des vulnérabilités de l entreprise, en s appuyant sur les meilleurs outils disponibles (propriétaires et du marché) pour bien cerner sa situation et définir un programme de sécurisation adapté et efficace. Des services gérés efficaces L offre de services de sécurité gérés d IBM est l une des plus complètes du marché. Elle permet aux entreprises de se décharger des opérations de la gestion de la sécurité sur des spécialistes aguerris. Les solutions de conformité IBM PCI commencent par une évaluation Les entreprises manquent souvent de recul par rapport à leurs propres systèmes pour bien apprécier l ensemble des facteurs de risque. Mieux vaut confier cette tâche à des professionnels indépendants et qualifiés dont c est le travail quotidien. Un bilan initial précis et objectif de l environnement informatique en fonction des critères PCI DSS fournira une base de départ solide à partir de laquelle les consultants pourront aider l entreprise à combler ses lacunes, à renforcer ses technologies de sécurisation et à améliorer ses règles de sécurité de manière à satisfaire aux exigences de la norme. IBM Professional Security Services fournit des services de conseil spécialisés pour aider les entreprises de toutes tailles à atteindre leurs objectifs en matière de sécurité, à se mettre en conformité en réduisant les risques et en assurant leur continuité opérationnelle. IBM Internet Security Systems (ISS) est un fournisseur certifié de services d évaluation PCI (Qualified Security Assessor QSA) et de balayages de sécurité (Approved Scanning Vendor ASV). Son expérience et son savoir-faire sont des atouts précieux pour les entreprises qui doivent assurer leur conformité PCI DSS. L offre PCI d IBM correspond à la toute première étape vers la conformité PCI. Elle recouvre les services suivants : Évaluation préalable Un bilan personnalisé des écarts permet d apprécier le statut actuel de l entreprise et de déterminer les actions nécessaires à sa mise en conformité avant l évaluation officielle. Bilan PCI annuel sur site avec établissement du rapport de conformité Évaluation complète du programme de sécurité des informations par rapport aux spécifications de la norme PCI applicables aux réseaux, aux serveurs et aux bases de données intervenant dans la transmission, le stockage et le traitement des données des cartes de paiement. 4

5 Contrôles trimestriels (balayages, ou scanning) Recherche et évaluation des failles de sécurité (ou vulnérabilités) pour assurer et valider la mise en œuvre de mesures de sécurité appropriées. Tests d intrusion (Penetration Testing) Ce service de contrôle consiste à effectuer une attaque sous contrôle (sans risque pour les données ni les systèmes) afin d identifier les failles de sécurité et d évaluer les répercussions d une véritable attaque. Solutions IBM ISS d aide à la conformité PCI IBM Internet Security Systems (ISS) propose toute une palette de produits et de services qui aident les entreprises à satisfaire aux exigences PCI et à protéger les données des porteurs de cartes en renforçant leurs procédures de sécurité. IBM Professional Security Services (PSS) Fournit des services d évaluation, de conception et de déploiement pour vous aider à bâtir de puissantes solutions de sécurisation des réseaux. PSS peut notamment vous aider à satisfaire à la 11e exigence à travers des services de tests d intrusion en simulant des attaques souterraines pour identifier les failles éventuelles dans la protection des données sensibles. Avec son assistance, vous pourrez définir rapidement vos plans de sécurité et identifier les actions nécessaires pour votre mise en conformité PCI. Bilan de la sécurité applicative pour les fournisseurs d applications de paiement Service de validation des applications de paiement par rapport à la norme PCI. IBM ISS possède l agrément QPASC (Qualified Payment Application Security Company), exigé pour conduire ce type d évaluations. Les certifications et les compétences PCI d IBM Internet Security Systems QDSC (Qualified Data Security Company) QSA (Qualified Security Assessor) ASV (Approved Scanning Vendor) QPASC (Qualified Payment Application Security Company) IBM ISS est habilité à valider les applications de paiement. QIRA (Qualified CISP Incident Response Assessor) IBM ISS est habilité à intervenir et à mener des investigations dans les situations d urgence et de crise. 5

6 IBM Proventia Server Intrusion Prevention System (IPS) Assure l identification et le blocage des menaces connues ou inconnues et simplifie la mise en œuvre de la politique de sécurité de l entreprise sur les serveurs. Ce logiciel associe un pare-feu local, un système de détection et de prévention des intrusions (IDS/IPS) et un module de contrôle de l intégrité des applications afin de protéger les serveurs tout en facilitant le respect des obligations réglementaires. Proventia Server IPS contribue à la mise en application de plusieurs exigences PCI 1, 5, 6, 10 et 11. IBM Proventia Network Enterprise Scanner Aide les clients à contrôler les failles de sécurité, de leur détection initiale à leur colmatage. Avec ce produit, vos responsables sécurité disposent des mêmes outils que des auditeurs professionnels externes pour évaluer l exposition du réseau. Proventia Network Enterprise Scanner facilite la mise en conformité avec la 6e et la 11e exigence PCI. IBM Proventia Desktop Endpoint Security Associe dans un seul agent un pare-feu personnel, un système de contrôle des applications et des fonctions de prévention contre les virus, les intrusions et les attaques par dépassement de mémoire. Les postes de travail bénéficient ainsi d une puissante sécurisation multiniveau qui contribue au respect des règles de l entreprise et bloque les attaques qui pourraient provoquer des pannes, empêcher les utilisateurs de travailler et nécessiter de multiples interventions du support technique. Proventia Desktop facilite le respect des 5e et 6e exigences. Produits de la Plate-forme de protection IBM Des produits intégrés qui complètent la gamme IBM. Proventia Management SiteProtector permet de centraliser l administration, la supervision et la mise en corrélation d un vaste arsenal d agents et de boîtiers de sécurité, et notamment de Proventia Network Anomaly Detection System (ADS), de Proventia Network Multi-Function Security (MFS) et des produits IPS. IBM Managed Security Services (MSS) Aide les clients dans leur démarche de conformité en assurant, sous la forme d un service géré, la gestion et la surveillance 24x7 des pare-feu et des systèmes IDS/IPS ce qui répond directement à la 1re exigence PCI. L offre de services gérés MSS inclut IBM Vulnerability Management Service, IBM Security Event and Log Management Services et IBM Managed Protection Services. Les clients ont accès aux états et au suivi des procédures correctives sur le portail clients MSS. Ce portail peut aussi les aider à respecter les exigences PCI 1, 5, 6, 10, 11 et 12 en leur permettant d effectuer la mise en corrélation des événements réseau et des événements de sécurité. Solutions logicielles IBM Tivoli de sécurité et de conformité PCI Les produits Tivoli contribuent au respect d une série d exigences de la norme PCI. Avec les logiciels Tivoli, les entreprises peuvent intégrer et automatiser leurs processus, leurs tâches et leurs circuits de validation pour fournir un service de qualité et atteindre leurs objectifs. 6

7 IBM Tivoli Access Manager for e-business and IBM Tivoli Identity Manager Ces logiciels aident les entreprises à définir et à administrer une politique centralisée d identification, d accès et de contrôle. Ils assurent un nouveau service d audit et de reporting collectant des données à partir de leurs différents points de contrôle ainsi que d autres plates-formes et applications de sécurité, ce qui facilite le respect des exigences PCI 6, 8 et 12. Tivoli Compliance Insight Manager Ce composant essentiel de l offre IBM de solutions de conformité facilite le contrôle des activités des utilisateurs privilégiés. Il assure la collecte, la centralisation et l archivage des informations de sécurité pertinentes issues de sources hétérogènes, les confronte aux règles de sécurité internes et réglementaires, et fournit un outil de consultation et de reporting consolidé sous la forme d un tableau de bord axé sur la conformité. Tivoli Compliance Insight Manager peut vous faire gagner du temps dans la préparation des audits et vous aide à respecter les obligations de surveillance dictées par les exigences PCI 10 et 11. Tivoli Identity Manager (TIM) Cette solution de gestion automatisée des utilisateurs fondée sur des règles et dotée de puissantes fonctions de sécurisation facilite la création de nouveaux comptes et de mots de passe pour les employés et les clients, ainsi que la validation individuelle des comptes utilisateur, sur chaque ressource, et permet aux utilisateurs de redéfinir et de synchroniser leurs mots de passe personnels pour accéder facilement aux bonnes ressources. ITIM contribue à la mise en œuvre des exigences PCI 2 et 8. Tivoli Security Compliance Manager Système d alerte précoce assurant l identification des failles de sécurité et la détection des infractions à la politique de sécurité. Tivoli Security Compliance Manager aide les entreprises à définir et à superviser des règles cohérentes tenant compte à la fois des normes de sécurité et de leurs besoins internes, ce qui répond à la 6e exigence PCI. Tivoli Security Operations Manger (TSOM) Plate-forme de gestion de la sécurisation et des risques assurant la centralisation et le stockage des données de sécurité pour l ensemble de l infrastructure informatique. TSOM rationalise la gestion des incidents en automatisant leur identification et leur résolution. Il facilite l application et le contrôle des règles de sécurité. Ses fonctions de reporting complètes fournissent la visibilité et la traçabilité nécessaires aux actions de conformité. Avec TSOM, vous disposez d une solution efficace et économique pour satisfaire à la 10e exigence PCI. IBM Tivoli zsecure Facilite la sécurisation des grands systèmes en automatisant les opérations d administration et d audit. zsecure est une famille de logiciels modulaires qui couvre l administration des grands systèmes, le suivi des menaces, le contrôle des configurations et de l utilisation, et la conformité aux règles de sécurité. Le composant Tivoli zsecure Audit permet d authentifier les données historiques séquentielles résidant sur bande ou sur disque pour contrôler l intégrité des journaux SMF (System Management Facility). Les fonctions de reporting des outils zsecure permettent de documenter les actions de conformité demandées par les exigences PCI 1, 2, 10, 11 et 12. 7

8 Pour en savoir plus sur les solutions IBM PCI et la protection des données des porteurs de cartes Avec son vaste catalogue de produits et de services, son expertise métier et une parfaite connaissance des exigences de la norme PCI, IBM peut apporter aux entreprises le soutien dont elles ont besoin pour assurer et préserver leur conformité PCI. IBM offre un ensemble de solutions qui aident les entreprises à analyser leur situation sécuritaire globale et à mettre en œuvre les contrôles et les technologies de sécurisation adéquats pour répondre à la norme PCI DSS. Pour toute information complémentaire sur les logiciels et les services IBM de conformité PCI : Visitez ibm.com/services/fr Appelez-nous au Copyright IBM Corporation 2008 Compagnie IBM France 17 AVENUE DE L EUROPE BOIS COLOMBES CEDEX Imprimé en France Tous droits réservés IBM, le logo IBM et ibm.com sont des marques d International Business Machines Corp. déposées dans de nombreux pays dans le monde entier. Les autres noms de produits et de services peuvent être des marques d IBM ou d autres sociétés. Vous pouvez consulter la liste actualisée des marques d IBM sur le site ibm.com/legal/ copytrade.shtml Proventia et X-Force sont des marques d Internet Security Systems, Inc., aux États-Unis et /ou dans certains autres pays. Internet Security Systems, Inc., est une filiale à 100 % d International Business Machines Corporation. Les autres noms de société, de produit et de service peuvent appartenir à des tiers. Le fait que des produits ou des services IBM soient mentionnés dans le présent document ne signifie pas qu IBM ait l intention de les commercialiser dans tous les pays où elle exerce une activité Avertissement : Il appartient aux clients de respecter leurs obligations légales. Il est de leur seule responsabilité de se faire assister par des conseillers juridiques compétents pour tout ce qui concerne l identification et l interprétation des dispositions légales et réglementaires applicables à leur entreprise et à ses activités ainsi que les éventuelles actions et mesures qu ils doivent prendre pour être en conformité avec ces dispositions. IBM ne fournit pas de conseil ni d avis en matière juridique et ne donne aucune garantie d aucune sorte quant au fait que ses produits ou services assurent le respect de la législation. SEB03008-FRFR-00