IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

Documents pareils
GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement

Foire aux questions (FAQ)

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS?

PCI DSS un retour d experience

Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité

Norme PCI Septembre La norme PCI : transformer une contrainte en opportunité

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES


Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Accès réseau Banque-Carrefour par l Internet Version /06/2005

PCI (Payment Card Industry) Data Security Standard

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

STOCKAGE ET CONSERVATION DE L INFORMATION RELATIVE AUX CARTES DE CRÉDIT

Open Vulnerability Assessment System

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.

Sécurisation avancée des données de cartes bancaires Guide Hôtel v1.0 SECURISATION AVANCEE DES DONNEES BANCAIRES. Guide Hôtel

Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA. à la norme PCI-DSS, level 1

Découvrir les vulnérabilités au sein des applications Web

The Path to Optimized Security Management - is your Security connected?.

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Une protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre

La sécurité IT - Une précaution vitale pour votre entreprise

Meilleures pratiques de l authentification:

Analyse statique de code dans un cycle de développement Web Retour d'expérience

Payment Card Industry (PCI) Normes en matière de sécurité des données

Payment Card Industry (PCI) Normes en matière de sécurité des données. Glossaire, abréviations et acronymes

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

La Sécurité des Données en Environnement DataCenter

Convergence entre Sécurité et Conformité par l approche Software as a Service Présentation en avant-première de QualysGuard Policy Compliance

Politique d utilisation acceptable des données et des technologies de l information

CATALOGUE DES FORMATIONS SECURITE INFORMATIQUE

La sécurité informatique

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

solutions de paiement par internet Confiance. Simplicité. Efficacité.

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

MD Evolution Rappels de sécurité

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

Indicateur et tableau de bord

Audits de sécurité, supervision en continu Renaud Deraison

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

CONTRAT D ADHESION AU SYSTEME DE PAIEMENT PAR CARTES BANCAIRES CB

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

Panorama général des normes et outils d audit. François VERGEZ AFAI

La sécurité dans un réseau Wi-Fi

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Menaces du Cyber Espace

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.

Rapport de certification

La payement par Carte Bancaire sur Internet

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

Bibliographie. Gestion des risques

Tutoriel sur Retina Network Security Scanner

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

SOLUTION DE PAIEMENT PAR INTERNET. Facilitateur de commerce

Panorama sur les nouveaux modes de paiement

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d application de paiement (PA-DSS)

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA

Être conforme à la norme PCI. OUI, c est possible!

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Gestion des Incidents SSI

PCI-DSS : un standard contraignant?!

Case story Unitt Cardwise À propos de Cardwise

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité

Paris, Ambassade d Irlande, 2 juillet Mathieu.gorge@vigitrust.com.

Que peut m apporter la gestion des identités et des accès dans le domaine de la conformité PCI?

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Nouveau Programme Formation Monétique

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

La situation de la sécurité des clés USB en France

La sécurité applicative

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

Protéger les données critiques de nos clients

Cabinet d Expertise en Sécurité des Systèmes d Information

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Présenté par : Mlle A.DIB

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d'application de paiement (PA-DSS)

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Sécurité logicielle. École de technologie supérieure (ÉTS) MGR850 Automne 2012 Automne Yosr Jarraya. Chamseddine Talhi.

Sécurité et Consumérisation de l IT dans l'entreprise

Sécurité des applications Retour d'expérience

Approche holistique en huit étapes pour la sécurité des bases de données

Transcription:

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS? Leif Kremkow Dir. Technical Account Managemet, CISSP Mardi, 5 Février, 2009

PCI Security Standards Council organisation créée en 2005 par l'industrie de la carte de paiement pour renforcer la sécurité des paiements en promouvant un nouveau standard fondée par: American Express Discover Financial Services JCB MasterCard Worldwide Visa International examine et certifie les outils et auditeurs pour la mise en conformité «Approved Scanning Vendors» pour les outils de scan «Qualified Security Assessor» pour les auditeurs 2

PCI Data Security Standard le PCI Council publie le Data Security Standard («DSS») définit les mesures de protection minimale qui doivent être mises en place pour toute entité qui traite, transmet, ou stocke des données de carte bancaire définit les exigences en fonction du volume de transactions pour les commerçants gérant des transactions et les hébergeurs des systèmes de paiement pour renforcer la sécurité des paiements sur Internet, le Groupement Cartes Bancaires adhère au programme PCI-DSS ( SG 2009 sur http://www.sogenactif.com/index.php?id=31) 3

Les Douze Exigences du PCI-DSS Mettre en place et gérer un réseau sécurisé 1ère exigence : installer et gérer une configuration de pare-feu afin de protéger les données des titulaires de carte 2ème exigence : ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe et les autres paramètres de sécurité du système Protéger les données des titulaires de carte 3ème exigence : protéger les données des titulaires de carte stockées 4ème exigence : crypter la transmission des données des titulaires de carte sur les réseaux publics ouverts Disposer d un programme de gestion de la vulnérabilité 5ème exigence : utiliser et mettre à jour régulièrement un logiciel antivirus 6ème exigence : développer et gérer des applications et systèmes sécurisés Mettre en œuvre des mesures de contrôle d'accès efficaces 7ème exigence : limiter l accès aux données des porteurs de carte aux cas de nécessité professionnelle absolue 8ème exigence : attribuer une identité d utilisateur unique à chaque personne disposant d un accès informatique 9ème exigence : limiter l accès physique aux données des titulaires de carte Surveiller et tester régulièrement les réseaux 10ème exigence : suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte 11ème exigence : tester régulièrement les systèmes et procédures de sécurité Disposer d une politique en matière de sécurité de l information 12ème exigence : disposer d une politique régissant la sécurité de l information 4

Évolution du Standard version 1.1 du standard publié en Sept. 2006 standard en version 1.2 en vigueur depuis Oct. 2008 les certifications obtenues avec la version 1.1 ne sont valables qu au 31 Dec. 2008. désormais le CVSS définit la sévérité des failles audit des applications web devenue obligatoires chiffrage type WEP pour 802.11 interdit 5

Classification et Exigences des Commerçants et Des Hébergeurs des Systèmes de Paiement 6

Tendances selon VISA: http://usa.visa.com/download/merchants/20080227-l4-franchises-best-practices.pdf L implication de VISA dans la gestion d incidents leur permet de dire que: la perte de confidentialité est constatée aussi bien à la suite d une transaction effectuée avec le détendeur de la carte présent que sans le volume des données perdues par les marchands niveau 1 est plus important, mais le volume d incidents chez les niveaux inférieurs est plus important les restaurants, les commerces, et les milieux académiques sont les cibles privilégiées 7

Top des Vulnérabilités selon VISA: http://usa.visa.com/download/merchants/webinar013107v2.pdf Après analyse de multiples incidents de sécurité, VISA a rédigé un Top 5 des problèmes récurrents: stockages d informations interdites (pistes magnétiques intégrales, CVV2, PIN) applications et systèmes d exploitation pas à jour (patch disponible mais pas installé) configuration usine inchangée (mot de passe constructeurs/éditeurs) applications web mal conçues et erreur dans le code source (SQL injection) services superflus et vulnérables sur les systèmes mauvaise exploitation des données des logs 8

Un Constat Etonnant selon verisign «Top Ten PCI Audit Failures and Common Preventative Measures» d un échantillon de 60 clients en 2007, 53% n ont pu obtenir leur ROC d un échantillon de 60 clients en 2006, 73% n ont pu obtenir leur ROC historiquement, aucun client n a obtenu son «Report on Compliance» (ROC) du premier coup dans la moitié de constat négatif, les clients audités étaient en défaillance sur l exigence 11: «Surveiller et tester régulièrement les réseaux», «tester régulièrement les systèmes et procédures de sécurité» 9

Non-Compliance Rate Un Constat Etonnant selon verisign «Top Ten PCI Audit Failures and Common Preventative Measures» Top 10 PCI Audit Failures 60% 50% 40% 30% 48% 45% 45% 42% 40% 38% 37% 37% 37% 27% 20% 10% 0% Regular Testing Secure Applications Protect Data Unique User ID Track Access Security Policy Maintain Firewall Avoid Program Defaults Restrict Physical Access Encrypt Transmitted Data PCI Requirement Based on a sampling of 60 assessments through July 17, 2007 10

Un Casse en Détail selon VISA: http://usa.visa.com/download/merchants/webinar013107v2.pdf le scan: par exemple les pirates ont scanné les magasins de l Internet scan de port pour trouver des failles: failles systèmes d exploitation et des applications failles des applicatifs web résultat: accès à distance disponible avec paramétrage par défaut et non sécurisé outils de piratage disponibles librement sur l Internet résultat: les pirates ont trouvé les données des pistes de cartes 11

Un Casse en Détail: S Installer selon VISA: http://usa.visa.com/download/merchants/webinar013107v2.pdf les pirates attaquent aussi bien les routers que les serveurs implantation de «sniffers» et «rootkits» dans les réseaux pour capturer les données tirer profit des failles dans les systèmes d exploitation, applications de paiement, et composants réseaux les pirates disposent de peu de moyens mais de beaucoup de temps échanges entre les pirates pour collaborer sur les techniques et méthodes 12

Le Coût d une Donnée Perdue selon Ponemon Institute 2009: http://blogs.zdnet.com/btl/?p=12015 Le coût d une perte d une donnée s élève à $202 en 2008 2.5% plus qu en 2007 11% plus qu en 2006 13

Les Bonnes Pratiques selon verisign «Top Ten PCI Audit Failures and Common Preventative Measures» selon VISA: http://usa.visa.com/download/merchants/webinar013107v2.pdf stockez le moins possible vous ne pouvez pas perdre ce que vous n avez pas ne stockez jamais la piste ou les numéros CVV2 protégez/chiffrez les données que vous devez stocker intégrez la sécurité dans l architecture même il faut connaître les besoins métiers d échange de données utilisez une méthode d authentification forte et chiffrez les donnée en transit en local aussi bien qu à distance la segmentation des réseaux, systèmes, et applications réduit le risque mais aussi le scope de PCI auditez vous vous-même PCI-DSS est une façon de faire, pas une fin lancez les scan de détection des vulnérabilités servez vous des données de logs pour détecter des anomalies formez et sensibilisez les personnes manipulant les données/systèmes sont souvent le maillon faible prenez en compte les clients, partenaires, intégrateurs, et utilisateurs 14

Questions / Réponses téléchargez gratuitement le guide pour la mise en conformité: ce qu est le PCI DSS les 12 exigences du standard la démarche de mise en conformité 10 bonnes pratiques comment QualysGuard peut vous aider http://www.qualys.com/pcifordummies/ Leif Kremkow (LKremkow@qualys.com) 15

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back