Norme PCI Septembre 2008. La norme PCI : transformer une contrainte en opportunité



Documents pareils
Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement

Foire aux questions (FAQ)

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS?

GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

IBM Tivoli Compliance Insight Manager

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

PCI DSS un retour d experience

Gestion des identités et des accès pour garantir la conformité et réduire les risques

Présentation ITS Interactive Transaction Solutions

IBM Tivoli Monitoring, version 6.1

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

IBM Software Business Analytics. IBM Cognos FSR Automatisation du processus de reporting interne

Une approche à multiples niveaux en matière de sécurité des cartes de paiement

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Solution de gestion des journaux pour le Big Data

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA. à la norme PCI-DSS, level 1

La gestion des risques en entreprise de nouvelles dimensions

Application Portfolio Management (APM) : Redonner de la valeur à l entreprise

PCI (Payment Card Industry) Data Security Standard

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014

Soyez plus réactifs que vos concurrents, optimisez votre chaîne logistique

Solutions EMC Documentum pour les assurances

R E G U L A T I O N & S E N S I B I L I S A T I O N : L A C O N F O R M I T E EN 3 ETAPES

Gestion des Incidents SSI

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

IBM Maximo Asset Management for IT

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM


Atteindre la flexibilité métier grâce au data center agile

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.

IBM Business Process Manager

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

RÈGLEMENT RELATIF À LA SÉCURITÉ DES VOYAGEURS. TC numéro 0-16 Approuvé le 31 mars, 2000 {R- 33}

Découverte et investigation des menaces avancées PRÉSENTATION

Tirez plus vite profit du cloud computing avec IBM

Symantec Control Compliance Suite 8.6

Soutenir la mise en oeuvre de processus basés sur ITIL avec une approche unifiée de la gestion des actifs et services

Solutions SAP Crystal

IBM Global Technology Services CONSEIL EN STRATÉGIE ET ARCHITECTURE INFORMATIQUE. La voie vers une plus grande effi cacité

Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé

ISO/CEI 27001:2005 ISMS -Information Security Management System

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L DU CODE DE COMMERCE)

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Nouveau Programme Formation Monétique

Stella-Jones pilier du secteur grâce à IBM Business Analytics

Application Management Services pour le secteur de l assurance vie : optimiser votre patrimoine applicatif

L espace SEPA comprend les Etats membres de l Union européenne ainsi que l Islande, le Liechtenstein, la Norvège et la Suisse.

La consolidation des centres informatiques permet de restructurer vos coûts informatiques en vue d une productivité soutenue.

Cadre de gestion du risque de fraude Rapport d audit Rapport n o 5/14 2 septembre 2014

Pourquoi les entreprises privilégient OpenText Cloud Fax Services

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

curité des TI : Comment accroître votre niveau de curité

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Approche holistique en huit étapes pour la sécurité des bases de données

IBM Cognos Disclosure Management

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Situation actuelle : Sommaire d une recommandation Page 1 de 5


L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Gestion des incidents de sécurité. Une approche MSSP

INF4420: Sécurité Informatique

Améliorez la sécurité en matière de soins de santé et de soins aux patients grâce à la VDI avancée d Imprivata

La protection des systèmes Mac et Linux : un besoin réel?

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Sécurisation avancée des données de cartes bancaires Guide Hôtel v1.0 SECURISATION AVANCEE DES DONNEES BANCAIRES. Guide Hôtel

PCI-DSS : un standard contraignant?!

Politique de sécurité de l information

Comment reconnaître et lutter contre la fraude avec des cartes de crédit et de débit? Document Fraude

CRM Assurance. Fonctionnalités clés. Vue globale de l assuré. Gestion des échanges en Multicanal

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Distribuez une information fiable. IBM InfoSphere Master Data Management Server 9.0. Des données fiables pour de meilleurs résultats

Découvrir les vulnérabilités au sein des applications Web

Solutions de gestion de la sécurité Livre blanc

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Tufin Orchestration Suite

Copyright Verifone - Paybox e-commerce - Document non contractuel SOLUTIONS DE PAIEMENT E-COMMERCE

ccredit Des paiements sans frontières en toute sécurité. Paiements par carte au point de vente (POS).

Transcription:

Norme PCI Septembre 2008 La norme PCI : transformer une contrainte en opportunité

Page 2 Sommaire 2 Synthèse 2 Une autre vision des exigences PCI 4 Corréler la conformité PCI avec votre stratégie globale de gouvernance et de gestion des risques 5 Les défis de la mise en conformité 6 L intérêt d une assistance extérieure 6 Identifier le bon prestataire 8 Pourquoi choisir IBM? Synthèse Les principaux réseaux de cartes de paiement se sont rapprochés pour élaborer des règles standardisées de sécurité de l information et ont institué un comité chargé de les faire appliquer. La norme PCI DSS (Payment Card Industry Data Security Standard) a aujourd hui une portée mondiale, mais beaucoup d entreprises rechignent encore à l adopter. Déjà accablées par quantité d obligations réglementaires, elles ne voient souvent dans la conformité PCI DSS qu un casse-tête supplémentaire. IBM est au contraire convaincue que le standard PCI peut constituer une véritable opportunité. Il est en effet si bien conçu qu il peut servir de tremplin au développement et à l optimisation de votre stratégie de gestion des risques. Ce document présente les gains d efficacité que peut engendrer une stratégie articulée autour de la conformité PCI. Il montre également la valeur ajoutée que peut vous apporter une assistance extérieure dans votre démarche de conformité, ainsi que les qualifications que vous devez attendre du prestataire. Une autre vision des exigences PCI De graves incidents de sécurité et vols d identités dont certains ont été fatals aux entreprises victimes ont montré la nécessité de protocoles assurant une protection efficace des données des cartes de paiement. Le «cybercasse» le plus spectaculaire à ce jour a frappé le distributeur anglo-saxon TJX, qui s est fait dérober les données bancaires de plus de 45 millions de clients. Ce genre de catastrophes et toute une série de problèmes de moindre ampleur (et donc moins médiatisés) ont fini par saper la confiance des clients et par vulnérabiliser les entreprises qui acceptent les paiements par carte. Initialement, ce sont les grands réseaux Visa International et MasterCard Worldwide qui ont forgé ensemble le standard PCI, avant de se regrouper, en septembre 2006, avec American Express, Discover Financial Services et JCB au sein du PCI Security Standards Council pour le généraliser à tous les réseaux de cartes.

Page 3 Les six volets des bonnes pratiques PCI Les six domaines couverts par la norme PCI en matière de protection des données vous aident à élaborer une approche complète de la sécurité de la protection des réseaux aux règles de gouvernance. Mettre en place et gérer un réseau sécurisé. - Installer un pare-feu pour protéger les données des porteurs de carte. - Ne pas conserver les paramètres par défaut des fournisseurs pour les mots de passe et les autres paramètres de sécurité. Protéger les données des porteurs de carte. - Protéger les données qui sont enregistrées. - Chiffrer la transmission des données. Mettre en œuvre un programme de gestion des vulnérabilités. - Utiliser et mettre à jour régulièrement un logiciel antivirus. - Développer et gérer des applications sécurisées. La norme PCI peut être perçue comme une contrainte supplémentaire pour des entreprises déjà accablées par la lourdeur de la réglementation du secteur des services financiers norme ISO (Organisation internationale de normalisation) / IEC (Commission électrotechnique internationale) 27002, loi Sarbanes-Oxley, etc. Pourtant, elle peut considérablement simplifier votre travail. Parce qu elle est très complète et bien conçue, la norme PCI peut faciliter la mise en conformité par rapport à de nombreuses obligations légales. Et parce que la confidentialité est au cœur des préoccupations des entreprises, la conformité PCI ne peut que favoriser votre rentabilité. Cette norme peut en fait devenir le principe de base de l organisation de votre stratégie globale de gouvernance et de gestion des risques. Son adoption en tant que bonne pratique et la mise en corrélation de ses préconisations avec vos processus métier peuvent vous apporter des gains significatifs en termes d efficacité et de sécurité de l information. Comme vous pouvez le voir dans l encadré ci-contre, les préconisations de la norme PCI constituent de bonnes pratiques dans l absolu, pour n importe quelle stratégie de sécurisation. Qui est concerné par la norme PCI DSS? Tous les commerçants et tous les prestataires qui stockent, traitent, exploitent ou transmettent des données de porteurs de carte doivent respecter ce standard de sécurité. Ce sont les sociétés de cartes de paiement et leurs banques acquéreurs qui veillent à sa mise en application. Mettre en œuvre des mesures de contrôle d accès efficaces. - Limiter l accès aux données des porteurs de carte aux cas de nécessité professionnelle absolue - Attribuer un identifiant unique à chaque utilisateur. - Limiter l accès physique aux données des porteurs de carte. Surveiller et tester régulièrement les réseaux. - Suivre et surveiller les accès aux ressources du réseau et aux données - Tester régulièrement les systèmes et procédures de sécurité. Mettre en œuvre une politique en matière de sécurité de l information. - Développer et gérer des protocoles de sécurité fondés sur des règles.

Page 4 Points clés Le framework COSO a été conçu pour aider les entreprises à développer des stratégies de gestion des risques efficaces. Corréler la conformité PCI avec votre stratégie globale de gouvernance et de gestion des risques Le problème de la compliance PCI ne relève pas d une approche «à part». La gouvernance et la gestion des risques sont au cœur de la norme PCI. En 2004, le Committee of Sponsoring Organizations (COSO) de la Treadway Commission a publié un «framework» intégré pour la gestion des risques en vue de fournir aux entreprises un guide et une référence dans plusieurs domaines : Adapter leur tolérance aux risques à leurs objectifs opérationnels Mesurer les risques et déterminer l impact d une prise de risques sur la croissance Accroître leur flexibilité dans la réduction des risques et la résolution des incidents Identifier et corréler les risques transversaux Développer une capacité transversale en matière de gouvernance et de gestion des risques Réagir aux opportunités commerciales en cernant l ensemble des événements qui interviennent au sein de l entreprise Optimiser les investissements par une meilleure évaluation des risques La norme PCI prépare votre mise en conformité par rapport à différentes réglementations. La norme PCI a été conçue pour couvrir les quatre domaines cruciaux du framework COSO : L identification des événements reconnaît à la fois les opportunités commerciales offertes par la vente en ligne et les problèmes de protection des données personnelles des porteurs de cartes. À travers l évaluation des risques, les entreprises analysent de façon réaliste les risques pour elles-mêmes, pour la protection des données personnelles des clients et pour les émetteurs de cartes. La réponse aux risques réduit le coût de la gestion des risques en proposant un même ensemble de standards de sécurité qui permettent aux entreprises de respecter différents contrats d émetteurs de carte. Les activités de contrôle définissent des recommandations et des règles claires que tout le monde doit suivre pour susciter la confiance des consommateurs et réduire le risque de non-conformité. Heureusement, les processus d identification des événements, d évaluation des risques, de réponse aux risques et de contrôle sont pertinents pour quantité d autres réglementations Sarbanes-Oxley, GLBA (Gramm-Leach-Bliley Act), HIPAA (Health Insurance Portability and Accountability)... En adoptant une stratégie de gouvernance et de gestion des risques incluant la conformité PCI, votre entreprise peut rationaliser ses activités de mise en conformité et réduire ses coûts.

Page 5 Points clés Il faut bien identifier les obstacles sur la voie de la compliance PCI. Les défis de la mise en conformité La norme PCI est énoncée dans des termes simples et forme une base solide pour votre stratégie de gouvernance et de gestion des risques. Vous devez cependant bien cerner une série de facteurs susceptibles de compliquer votre démarche de compliance. Par exemple, si tous les émetteurs de cartes de paiement adhèrent aux mêmes normes de base, chacun a ses exigences particulières et ses propres mécanismes de mise en œuvre. Ces éléments doivent être pris en compte dans l élaboration de votre stratégie. Vous devez mettre en place certains points de contrôle et être en mesure de démontrer votre conformité. Pour subir avec succès l évaluation de conformité, vous devez prévoir un certain nombre de contrôles. Vous devez également être en mesure de démontrer que vous ne conservez pas d informations que, selon la norme PCI, vous n êtes pas habilité à détenir. Ainsi, vous ne devez jamais conserver l ensemble des données stockées sur la carte ou le code de vérification de la carte (CVC, CVV2 ou CID). L obligation de supprimer les informations qui ne doivent pas être conservées implique aussi l élimination des données inadéquates de l ensemble des flots de données. Aux États-Unis, l utilisation d un processus d élimination certifié par le ministère de la Défense répond à cette exigence, tandis que le processus d élimination prévu par la loi de protection des données personnelles (américain ou européen) est exigé dans d autres régions du monde. Ces flots de données incluent les bases de données, les fichiers de sauvegarde, les fichiers de journalisation (transactions, applications, équipements, erreurs), les rapports d erreurs et les «renifleurs» de paquets réseau, de même que les images mémoire utilisées à des fins de diagnostic.

Page 6 Comment éviter les erreurs courantes Il peut être utile de connaître certaines anomalies fréquemment rencontrées lors des évaluations de conformité, notamment : Stockage illicite de données de porteurs de carte Utilisation de données porteurs en environnement de test Non-chiffrement du numéro complet de la carte de paiement Absence d un système de segmentation réseau permettant d isoler l environnement transactionnel Absence de cloisonnement dans les missions du personnel interne Absence de classification confidentielle des supports contenant des données porteurs L intérêt d une assistance extérieure Si certaines entreprises décident de développer, de mettre en œuvre, d évaluer et de tester leur propre stratégie de conformité, d autres préfèrent s appuyer sur un prestataire pour conduire ces activités. Elles estiment par exemple qu un fournisseur peut apporter une validation extérieure des règles et des processus mis en place, cette validation pouvant conforter la confiance des clients, des partenaires, des actionnaires et des émetteurs de cartes. Un intervenant extérieur peut également produire une analyse objective de votre situation en termes de compliance, avec des recommandations pour combler les lacunes. (Les évaluateurs externes devant proposer au moins trois fournisseurs de technologie et de services, vous êtes protégé contre un fournisseur qui se contenterait de préconiser ses propres solutions.) Lorsque les activités de mise en conformité sont réalisées en interne, les dirigeants sont pleinement responsables des erreurs ou des omissions. Le recours à un prestataire extérieur peut atténuer ce risque. Les entreprises peuvent conduire elles-mêmes leurs tests d intrusion si elles le souhaitent. Les commerçants et les prestataires de services sont généralement tenus de faire effectuer des analyses trimestrielles du réseau externe par un évaluateur externe agréé. Quand le montant des paiements par carte atteint un certain seuil, il est obligatoire de faire appel à un évaluateur PCI certifié pour valider la conformité de l entreprise. Le programme Qualified Security Assessor (QSA) mis en place par le PCI Security Standards Council a pour objectif de certifier les fournisseurs chargés de ces évaluations. Identifier le bon prestataire On pourrait s interroger sur l opportunité de laisser un consultant extérieur passer au crible les informations de votre entreprise : il est donc important de choisir un prestataire sûr, expérimenté et certifié, capable de déployer le standard PCI DSS dans votre secteur. Ce prestataire doit pouvoir prendre en charge toutes les phases de la validation de votre conformité des tests préliminaires au certificat de compliance final. Il doit être prêt à vous proposer plusieurs alternatives pour atteindre le même niveau de protection, avec un plan de route détaillé pour chacune d elles. Ses compétences doivent aller au-delà des services de compliance pour couvrir la situation globale de votre entreprise en termes de sécurité et vous soumettre des recommandations pour protéger votre infrastructure. Et les services fournis doivent être clairement définis, surtout si le contrat court sur plusieurs années.

Page 7 Les outils et les technologies propriétaires IBM Suite Consul InSight : collecte et centralise les données de sécurité journalisées, les filtre par rapport aux règles de sécurité, déclenche automatiquement les mesures et les alertes appropriées, archive les données de journalisation, et fournit un tableau de bord offrant une vision et un reporting consolidés. Solutions IBM Internet Security Systems : cette plate-forme, qui assure une protection automatique contre les menaces Internet connues et inconnues, s appuie sur les outils d analyse sophistiqués développés par les experts de la X-Force l équipe de recherche et développement d IBM Internet Security Systems. D autres matériels, logiciels et services IBM dont le logiciel IBM Tivoli, les solutions de chiffrement IBM System z et le programme IBM Resource Access Control Facility (RACF ) optimisent la sécurité, la conformité et la mise en corrélation de l informatique avec les objectifs stratégiques de l entreprise.. À mesure que vous progresserez dans votre processus de sélection, vous aurez intérêt à vous poser les questions suivantes : Que vais-je obtenir en retour de mon investissement? Un simple résultat d analyse, ou l expertise sécurité du fournisseur? Quel est le degré de personnalisation de l évaluation que me propose ce fournisseur? Ce fournisseur est-il vraiment certifié pour toutes les phases de la validation de la conformité PCI? Ce fournisseur a-t-il clairement précisé le calendrier? De l évaluation préliminaire au rapport de conformité, le processus peut prendre 9 à 18 mois. Sommes-nous prêts à faire face? En bref, il vous faut un conseiller en sécurité capable de vous défendre auprès de votre banque acquéreur et des sociétés émettrices de cartes de paiement.

Pourquoi choisir IBM? IBM Internet Security Systems (ISS) est un prestataire validé et reconnu par le secteur des cartes de paiement pour ses services d évaluation de la sécurité dans le cadre de la mise en conformité avec le standard PCI. Fournisseur certifié de services d évaluation (Qualified Security Assessor QSA), de services de balayages de sécurité (Approved Scanning Vendor ASV) et de services d évaluation des bonnes pratiques en matière d applications de paiement (Payment Application Best Practices PABP), IBM ISS peut aider les organisations à répondre aux exigences PCI DSS. IBM ISS est également un prestataire certifié dans le domaine de la résolution des incidents (Qualified Incident Response Company QIRC). Les consultants sécurité de haut niveau d IBM possèdent une expertise sectorielle et s appuient sur des méthodes fondées sur les bonnes pratiques ISO/IEC 27002. Ces compétences nous permettent d aller au-delà de la simple évaluation de votre conformité PCI et de vous présenter des recommandations détaillées pour l élaboration d une stratégie de sécurité globale. Copyright IBM Corporation 2008 Compagnie IBM France Tour Descartes - La Défense 5 2, avenue Gambetta 92066 Paris La Défense Cedex Imprimé en France 09-08 Tous droits réservés IBM, le logo IBM, Internet Security Systems, RACF, System z, Tivoli et X-Force sont des marques d International Business Machines Corporation aux États-Unis et/ou dans certains autres pays. Les autres noms de société, de produit et de service peuvent appartenir à des tiers. Le fait que des produits ou des services IBM soient mentionnés dans le présent document ne signifie pas qu IBM ait l intention de les commercialiser dans tous les pays où elle exerce une activité. Les technologies et les outils IBM vous aident en outre à préserver durablement votre conformité. Et nos références attestent que nous pouvons gérer vos informations sensibles en toute confidentialité. Pour en savoir plus Pour toute information complémentaire sur la compliance PCI et sur l aide qu IBM peut vous apporter, contactez IBM ou un Partenaire IBM, ou visitez : ibm.com/services/fr GTW01773-FRFR-00

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back