Certification PCI-DSS. Janvier 2016



Documents pareils
Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA. à la norme PCI-DSS, level 1

GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

PCI-DSS : un standard contraignant?!

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS?

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.

Créer un tableau de bord SSI


Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité

PASSI Un label d exigence et de confiance?

Panorama général des normes et outils d audit. François VERGEZ AFAI

Auditabilité des SI et Sécurité

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Sommaire. Présentation OXIA. Le déroulement d un projet d infogérance. L organisation du centre de service. La production dans un centre de service

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Norme PCI Septembre La norme PCI : transformer une contrainte en opportunité

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Excellence. Technicité. Sagesse

MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Proposition technique et commerciale

AUDIT CONSEIL CERT FORMATION

ISO/CEI 27001:2005 ISMS -Information Security Management System

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité

PCI DSS un retour d experience

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

PCI (Payment Card Industry) Data Security Standard

Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement

+ DISCOVER " BENCHMARK DU SECTEUR, DE LA CONCURRENCE, + PLAN MÉTHODOLOGIE " STRATÉGIE COMMERCIALE, STRATÉGIE DE MARQUE, MARKETING,

Payment Card Industry (PCI) Normes en matière de sécurité des données

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Récapitulatif des modifications entre les versions 2.0 et 3.0

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Charte de contrôle interne

Autorité de Certification OTU

3 minutes. relation client. avec Orange Consulting. pour tout savoir sur la. construisez et pilotez votre relation client

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Indicateur et tableau de bord

PASCAL DECARY DIRECTEUR ACHATS GROUPE REDACTEUR : BENJAMIN HULOT VERSION - DATE : V1 : DATE D APPLICATION :

CAHIER DES CLAUSES TECHNIQUES PARTICULIERES

Auditabilité des SI Retour sur l expérience du CH Compiègne-Noyon

Conseil opérationnel en organisation, processus & système d Information. «Valorisation, Protection et Innovation de votre Patrimoine Numérique»

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

Etude des possibilités de passerelles entre les CQP des Entreprises de l industrie pharmaceutique et les CQP des industries chimiques

Hervé Le Coustumer - Directeur Business Unit Support & Services Managés

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

Être conforme à la norme PCI. OUI, c est possible!

Catalogue de services standard Référence : CAT-SERVICES-2010-A

Lancement du projet TOP (Tracabilité et Optimisation des Process)

Payment Card Industry (PCI) Normes en matière de sécurité des données. Version 1.1

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

Ministère de l intérieur

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Présentation ITS Interactive Transaction Solutions

LE COMPTE COURANT ING DIRECT TARIFS

Politique de sécurité de l information

Circuit du médicament informatisé

Foire aux questions (FAQ)

Tremplins de la Qualité. Tome 2

La présentation qui suit respecte la charte graphique de l entreprise GMF

SIMULER ET CONCEVOIR LE TRAVAIL FUTUR

Fiche de poste. Ingénieur systèmes Microsoft. Auteur : Pascal GUY Paris, le 16 mai 2011

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

Atelier " Gestion des Configurations et CMDB "

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Nouveau Programme Formation Monétique

Catalogue Audit «Test Intrusion»

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

La conformité et sa dérive par rapport à la gestion des risques

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Prestations d audit et de conseil 2015

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Brève étude de la norme ISO/IEC 27003

Symantec Control Compliance Suite 8.6

Audit interne. Audit interne

Charte de l'audit informatique du Groupe

Rapport de certification

Transcription:

Certification PCI-DSS Janvier 2016

Définitions La certification PCI DSS (Payment Card Industry Data Security Standard) est destinée aux entités appelées à transmettre, manipuler et/ou stocker des données de CB et d authentification Une organisation désirant l obtention de la certification PCI DSS doit se conformer aux exigences requises (env. 390) : «Requirement ans security assessment procedures, v3.1 Avril 2015». La conformité aux exigences est auditée formellement par un QSA (Qualified Security Assessor) qui délivre la certification. Le QSA est choisi et rémunéré par le candidat à la certification. La durée de l audit est limitée à trois mois. La certification délivrée par le biais de l AOC (Acceptance of Compliance) et du ROC (Report of Compliance) est valable 1 an. Tous les ans, un nouvel audit du QSA est nécessaire. Frédéric PACZKOWSKI Janvier 2016 2

QSA France C est le PCI SSC (Security Standards Council) qui accrédite les QSA, ci-dessous ceux œuvrant en France : Société Galitt Herve Schauer Consultants Orange Consulting Provadys PW Consultants Sysdream XMCO Partners Site www.galitt.com www.hsc.fr www.orange-business.com www.provadys.com www.pw-consultants.com www.sysdream.com www.xmco.fr Frédéric PACZKOWSKI Janvier 2016 3

Les données sensibles CHD Card Holder Data SAD Sensitive Authentication Data PAN : Primary Account Number : stockage permanent interdit même chiffré Frédéric PACZKOWSKI Janvier 2016 4

Périmètre PCI-DSS Zone périmètre PCI-DSS contenant des données CB, tous les processus s appliquent et les composants techniques font l objet d un très haut niveau de sécurité. Zone hors périmètre PCI-DSS : 1. Ne pas manipuler de données CB 2. Ne pas avoir d accès réseau à un système dans la zone PCI DSS 3. Ne pas pouvoir impacter la sécurité d un composant dans la zone PCI- DSS Les processus ne s appliquent pas obligatoirement sauf pour les parties ayant des flux entrants dans la zone PCI-DSS. Hors périmètre Dans le périmètre FireWall Données CB CDE Card Holder Data Environment Flux réseau utilisé par le Firewall Frédéric PACZKOWSKI Janvier 2016 5

Les 12 clauses d exigence Les exigences couvrent un large domaine, elles sont découpées 6 domaines et 12 clauses : Frédéric PACZKOWSKI Janvier 2016 6

Impacts L impulsion de la DG obligatoire (projet de gestion du changement). L organisation de l entreprise sera impactée, notamment par le biais des métiers, RH, Achats et équipes techniques. PSSI à formaliser. Un GAP méthodologique devra être franchi : Cycle de vie logiciel, Processus de livraison, Traçabilité Des chantiers technologiques seront nécessaires pour se conformer aux exigences techniques de protection des données bancaires. Toutes les ressources internes seront sollicitées : documentation, interviews, meetings, chantiers techniques, mise en œuvre des processus, formations, sessions d audit Le management devra tenir compte des exigences de sécurité Formations à la sécurité obligatoires y compris pour les personnels non techniques. Frédéric PACZKOWSKI Janvier 2016 7

Phases du projet Lancement du projet Cartographie métiers CHD tracking - Interviews Choix du QSA Constitution équipe projet et organisation 1 Elaboration du périmètre projet, du planning, du budget, des charges 3 Fourniture des livrables au QSA Traitement des retours QSA Préparation Audit final 5 1 mois 1 à 3 mois 1 mois 3 à 18 mois Maximum 3 mois GO Analyse d écart Plan de Remédiation Réalisation des remédiations Validation QSA - PréAudit Audit QSA AOC & ROC 1 2 3 4 5 6 7 2 Rédaction du corpus documentaire Réalisation des chantiers Optimisation Réalisation de périmètre PCI-DSS techniques Mise en place des l audit par le QSA Analyse d écart du QSA nouvelles procédures Preuves Frédéric PACZKOWSKI d application Formations Janvier 2016 8 Tests d intrusion 4 6 7 Finalisation ROC et AOC par le QSA

Acteurs du projet Nom Sponsor projet QSA Chef de Projet RSSI Top Management Experts techniques Equipes opérationnelles Prestataires Description Membre de la DG du candidat et propriétaire du budget Qualified Security Assessor choisi par le candidat Responsable du projet PCI-DSS du candidat Responsable Sécurité des SI du candidat DSI Directeur de Production Directeur des développements DRH Directeur Méthode Directeur Qualité Tests d intrusion Tests de Vulnérabilité Cryptographie HSM - Métiers, RH, équipes techniques PSP Hébergeur Banque acquéreur Entretien - Sécurité Frédéric PACZKOWSKI Janvier 2016 9

Corpus documentaire indicatif Exemples de documents PCI-DSS PSSI - Politique de Sécurité des Systèmes d'information Processus de Mise en Production Procédures de réponse aux incidents de sécurité Analyse de risques Document d'architecture Technique Procédures de gestion des données HSM Gestion des clefs de chiffrement & Personnalisation Journalisation et persistance des événements de la plateforme Dossier d exploitation Cycle de développement logiciel Procédure de recrutement et d intégration d un collaborateur Charte des achats Exemples de documents Projets Fiche projet Définition des responsabilités Plan de Management Projet & Maîtrise intégrée des modifications Cycle de vie (cf. slide précédent) Planning Budget Provisions pour Risques & aléas Périmètre Matrice des exigences Registre des parties prenantes (dont QSA) Registre des modifications Registre des Risques Registre des problèmes majeurs Tableau de Bord Projet Contrats type Reporting équipe projet (hebdo) Liste des contrôles récurrents CR type comité sécurité Reporting direction (bi-mensuel / mensuel) Frédéric PACZKOWSKI Janvier 2016 10

Facteurs clefs de succès Le périmètre PCI-DSS doit être cadré au plus juste (accord du QSA obligatoire). Toute extension du périmètre PCI-DSS entraîne des surcoûts (en année N mais aussi les années suivantes) et impacte le planning de certification. (cf. slide 8). L implication au plus tôt du QSA est indispensable afin de limiter au maximum les risques de rejet lors de l audit. Il faut établir une relation franche et sincère avec le QSA mais rester ferme, toutes les demandes du QSA doivent être consignées et suivies. Un RSSI doit exister chez le candidat ainsi qu un chef de projet PCI- DSS (cf. slide 8). Les processus et procédures fournis au QSA doivent être mis en applications avant l audit. Des preuves seront demandées par le QSA. Les chantiers techniques devront être réalisés avant l audit, là aussi des preuves seront demandées. La mise en place d une gestion de configuration, d une gestion documentaire et d une organisation projet est fortement recommandée. Le projet est à dominante méthodologique et organisationnelle. L exécution des chantiers techniques n est pas suffisante pour obtenir la certification, mais elle est nécessaire. Frédéric PACZKOWSKI Janvier 2016 11

Exemples de points bloquants Identifier / Indexer les clients avec leur PAN en clair (le pire possible et cela existe!) Transporter et stocker des informations CB non chiffrées. Stocker des information CB non permises (PIN, CVV, ) Utiliser des méthodes de cryptographie obsolètes. Ne pas cloisonner la zone PCI-DSS. Ne pas différencier le BUILD du RUN. Permettre aux équipes BUILD l accès aux zones de production. Permettre aux équipes RUN l accès aux données CB en clair. Pas de PSSI en place, ou absence de preuves. Pas de méthodologie sur le BUILD et le RUN, ou absence de preuves. Personnels non formés à la sécurité. Frédéric PACZKOWSKI Janvier 2016 12

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back