ISO 27001 & PCI-DSS Une approche commune a-t-elle du sens? version 1.00 (2009.01.21) GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY. Rodolphe SIMONETTI CISSP, CISM, PCI-QSA, ISO 27001 Lead Auditor, ISO 27005 Risk Manager Principal Security Consultant rodolphe.simonetti@verizonbusiness.com 2008 Verizon. All Rights Reserved. PTEXXXXX XX/08
Introduction Acronymes PCI : Payment Card Industry PCI SSC : Payment Card Industry Security Standards Council PCI-DSS : Payment Card Industry Data Security Standard PCI-PA-DSS : Payment Card Industry Payment Application Data Security Standard PCI-PED : Payment Card Industry PIN Entry Device ASV : Approved Scan Vendor QSA : Qualified Security Assessor PSP : Payment Service Provider 2
Introduction Données porteur (cardholder data) PAN Only PAN + Expiry PAN + CVC2 PAN + PIN Track Two 3
Introduction Données porteur (cardholder data) Catégorie de données Type de données Stockage autorisé? Protection nécessaire? Cardholder Data PAN (Primary Account Number) OUI OUI Nom du porteur OUI OUI Service Code OUI OUI Date d expiration OUI OUI Sensitive Authentication Data Piste magnétique complète NON N/A CVC2/CVV2/CID NON N/A PIN/PIN Block NON N/A 4
Introduction Risques et Coûts Un cas de fraude : TJX» Activité de TJX: distributeur en Amérique du Nord (US, Canada) et en Europe (UK)»18 décembre 2006, exploitation d une faille de sécurité dans le système d information de TJX.»94 millions de données bancaires piratées dont 45 millions de données cartes avérées. Ces données proviennent de paiements en ligne mais également de paiements classiques (face to face).»l utilisation de ces données cartes a été identifiée par les banques et utilisateurs. Conséquences et coût de la fraude»pertes sèches (619 millions de dollars de pertes pour TJX)»Perte de confiance du consommateur, image de marque 5
Introduction Risques et Coûts Boa Factory : des cartes bancaires à vendre *Source: http://www.idtheftcenter.com/ 6
Payment Card Industry (PCI) Security Standards Council (SSC) GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY. 2008 Verizon. All Rights Reserved. PTEXXXXX XX/08
PCI SSC A l origine Des méthodes de paiements diverses : Paiement immédiat Paiement différé Pré-paiement Des standards de sécurités divers : EMV 4.1, CPA 1.0, CPS, etc. Chip and Pin, Link PCI DSS 1.2 Attention : la conformité avec un standard n implique pas la conformité avec les autres standards Prepaid MasterCard 8
PCI SSC PCI DSS, PCI PA-DSS, PCI PED En 2006, VISA, MasterCard, American Express, Discover et JCB ont fondé le Payment Card Data Security Standards Council (PCI SSC). Les exigences de conformité des programmes PCI-DSS, PCI PA-DSS et PCI PED sont maintenues par le PCI SSC. 9
PCI SSC Programmes VISA, MasterCard, AMEX, JCB, Disc Les exigences de conformité PCI sont en alignement avec les programmes de gestions des risques des réseaux cartes : - American Express : Data Security Operating Policy (DSOP) - Discover : Discover Information Security Compliance (DISC) - JCB : Data Security Program - MasterCard : Site Data Protection (SDP) - Visa USA : Cardholder Information Security Program (CISP) - Visa Europe : Account Information Security Program (AIS) 10
PCI SSC Objectifs Les objectifs du PCI SSC sont : Emettre et gérer le cycle de vie des standards PCI (PCI-DSS, PCI PA-DSS, PCI PED) Améliorer la sécurité des paiements Susciter une prise de conscience et accélérer l adoption des standards PCI Favoriser la participation des banques, marchands et Payment Service Providers Gérer le processus de qualification et de validation des QSA (Qualified Security Assesor), ASV (Approved Scan Vendor), et des laboratoires PED (Pin Entry Device) Maintenir les listes des QSA, ASV et PED certifiés 11
PCI SSC Ressources fournies par le PCI SSC Les ressources mises à disposition par le PCI SSC sont : Les standards PCI-DSS, PCI-PA-DSS et PED-DSS et la documentation liée à ceux-ci : PCI Data Security Standard PCI DSS Security Audit Procedures PCI DSS Security Scanning Procedures PCI DSS Self Assessment Questionnaires (SAQ) PCI PED Standard PCI Payment Application Data Security Standard (PA-DSS) PCI SSC FAQ PCI SSC Education (pour les auditeurs et Scan Vendors) Participation au PCI SSC (règles de fonctionnement, formulaire d adhésion) Ces documents sont disponibles sur le site web du PCI SCC : https://www.pcisecuritystandards.org 12
PCI SSC Ce qui dépend directement des réseaux cartes Ce que les réseaux cartes gèrent directement : Modalités d application des standards PCI Frais, pénalités et échéances pour la conformité Processus de validation Approbation et publication des entités conformes à PCI-DSS et PA-DSS Définition des niveaux des marchands et fournisseurs de services Investigations (Forensics) et réponses aux compromissions Ces documents sont disponibles sur les sites webs des émetteurs de cartes : http://www.visaeurope.com/aboutvisa/security/ais/aisprogramme.jsp http://usa.visa.com/merchants/risk_management/cisp.html http://www.mastercard.com/sdp/ http://www.americanexpress.com http://www.discovernetwork.com/fraudsecurity/disc.html http://www.jcb-global.com/english/jdsp/index.html 13
Relations entre les différents interlocuteurs concernant les standards PCI 14
Payment Card Industry (PCI) Data Security Standard (DSS) GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY. 2008 Verizon. All Rights Reserved. PTEXXXXX XX/08
PCI-DSS En résumé But principal : Protéger les données cartes Réduire la fraude Cible: les pré requis s appliquent à tous les membres (des réseaux cartes), marchands et fournisseurs de service qui stockent, traitent ou transmettent des données cartes. Plus d infos sur : www.pcissc.org 12 chapitres regroupés en 6 sections La conformité ne varie pas, seules les méthodes de validation peuvent différer. Activités soumises à validation : Scans externes trimestriels ASV Questionnaires d auto-évaluation (SAQ) Audit (RoC) Les différences dans les méthodes de validation dépendent de la cible (Marchand ou Payment Service Provider), ainsi que des volumes de transaction. 16
PCI DSS Les volumes de transaction Comment déterminer le volume de transaction? Les volumes de transactions sont déterminés par chaque acquéreur. Le volume de transactions est basé sur l agrégation du nombre de transactions d un commerce, d une chaine de commerces ou d un Payment Service Provider (PSP). Le cas particulier des franchises dépend du nombre et des modalités des transactions qui transitent par l infrastructure Corporate. Dans tous les cas c est l acquéreur, voire le réseau carte, qui décide du niveau final du marchand ou du PSP : L exposition aux risques, les fraudes passées ou tout autre élément peuvent inciter l acquéreur ou l organisme émetteur de cartes à exiger un niveau 1 de la part des marchands et/ou PSP. 17
PCI-DSS Niveau de validation pour les marchands Type Critères Eléments nécessaires à la conformité : Qui doit fournir/réaliser ces éléments : Marchand (niveau 1) Marchand (niveau 2) VISA: 6+ M² de transactions MasterCard: 6+ M² de transactions AMEX: 2.5+ M² de transactions JCB : 1+ M² de transactions DISCOVER : - VISA: 1 à 6 M² de transactions MasterCard: 1 à 6 M² de transactions AMEX: 0.05 M² à 2.5 M² de transactions JCB: moins de 1 M² de transactions Marchand (niveau 3) VISA: e-commerce de 0.02 M² à 1 M² de transactions annuelles MasterCard: e-commerce de 0.02 M² à 1 M² de transactions annuelles AMEX: - de 0.05 M² de transactions Audit sur site annuel récurrent Scan ASV trimestriel Questionnaire annuel d auto évaluation (SAQ) Scan ASV trimestriel Questionnaire annuel d auto évaluation (SAQ) Scan ASV trimestriel QSA (Qualified Security Assessor ) ASV (Approved Scan Vendor) Marchand ASV (Approved Scan Vendor) Marchand ASV (Approved Scan Vendor) Marchand (niveau 4) VISA: moins de 1M² de transactions tous canaux confondus ou moins de 0.02 M² de transactions e- commerce. MasterCard: tous les autres marchands. Questionnaire annuel d auto évaluation (SAQ) Scan ASV trimestriel Marchand ASV (Approved Scan Vendor) 18
PCI-DSS Niveau de validation pour les PSP Type Critères Eléments nécessaires à la conformité : Qui doit fournir/réaliser ces éléments : PSP (niveau 1) VISA: + de 0.3 M² de transactions MasterCard: + de 1M² de transactions AMEX : tous les PSP JCB: tous les PSP Discover: tous les PSP Audit sur site annuel récurrent Scan ASV trimestriel QSA (Qualified Security Assessor ) ASV (Approved Scan Vendor) PSP (niveau 2) VISA: - de 0.3 M² de transactions MasterCard: - de 1 M² de transactions Questionnaire d auto évaluation (SAQ) Scan ASV trimestriel PSP ASV 19
PCI-DSS Rôles et responsabilités des QSA Les Qualified Security Assessor (QSA) sont en charge de : Effectuer les évaluations (audits) PCI-DSS Vérifier les informations techniques fournies par les marchands ou service provider Supporter et orienter l audité durant le processus de mise en conformité S assurer de l application des pré-requis PCI-DSS 20
PCI-DSS Rôles et responsabilités des QSA (suite) Les Qualified Security Assessor (QSA) sont en charge de (suite) : Identifier le périmètre de l audit (celui-ci est défini par le standard) Identifier et justifier tout échantillonnage effectué durant l audit Evaluer les contrôles compensatoires Produire le rapport final (RoC) 21
PCI-DSS: Périmètre (Scope) Définition (standard PCI-DSS 1.2, p5) Les clauses de la norme PCI DSS en matière de sécurité s'appliquent à tous les composants du système. Les «composants du système» désignent tout composant réseau, serveur ou application inclus dans l environnement des données des titulaires de cartes, ou connectés à cet environnement. L environnement des données des titulaires de cartes correspond à la partie du réseau qui contient les données des titulaires de cartes ou les données d authentification sensibles. Les composants réseau comprennent notamment les pare-feu, les commutateurs, les routeurs, les points d accès sans fil, les équipements réseau et d'autres appareils de sécurité. Les types de serveurs comprennent notamment les serveurs Web, d application, de base de données, d authentification, de messagerie, proxy, NTP (Network Time Protocol) et DNS (Domain Name Server). Les applications comprennent toutes les applications achetées et personnalisées, y compris les applications internes et externes (Internet). 22
PCI-DSS: Périmètre (Scope), en résumé Les pré requis PCI DSS s appliquent à tous les composants du SI Un composant système est tout élément réseau, serveur, ou applicatif inclus ou connecté à l environnement qui traite, stocke et supporte les données porteurs. Les composants réseaux incluent sans limitation : Pare-feu, Switch, routeurs, points d accès WIFI, Appliance Les composants serveurs incluent sans limitation : Web, Base de données, Authentification, email, proxy, DNS. Les composants applications incluent sans limitation : Toute application qu elle soit achetée ou développée en propre. 23
PCI-DSS: Périmètre (Scope) 24
PCI-DSS Classification des Exigences PCI Métiers et contractuelles Règles de régulation Exigences contractuelles qui définissent un cadre juridique de partage des responsabilités Politiques et organisationnelles Cadre de référence sécuritaire (PSSI) pour les métiers de la monétique Formaliser les politiques et les procédures nécessaires à la conformité Techniques Sécuriser l infrastructure du périmètre qui traite, stocke et transmet le flux de paiement Renforcement des contrôles d accès des salles informatiques, sécurisation des composants réseaux du périmètre, séparation des tâches, Exploitation Exigences d exploitation à travers un certain nombre de tâches récurrentes Supervision des traces d audits générées par toutes les applications de paiement Détecter tout incident de fraude ou de tentative de compromission Maintien de la conformité 25
Conformité à PCI-DSS GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY. 2008 Verizon. All Rights Reserved. PTEXXXXX XX/08
Démarche de Mise en Conformité Etape 1 : Préparation Cartographie des flux de données : Les canaux d acceptations (fournisseurs impliqués?) La liste des applications qui traitent, stockent et transmettent des données porteurs Les types de données porteurs (ou autres) stockées (données électroniques, documents papiers, ) Les infrastructures, et les systèmes impactés par les applications qui traitent, stockent et transmettent des données porteurs La politique de conservation des données, les contraintes réglementaires Qui est responsable de la donnée, de l application? Identification des fournisseurs : Faire une liste des fournisseurs : PSP, éditeurs logiciels (POS), constructeurs, Etat de la conformité (PCI DSS ou PA-DSS) des fournisseurs (la version 1.2 de PCI- DSS permet de certifier un fournisseur sur son périmètre) 27
Démarche de Mise en Conformité Etape 2 : Identifier (et ajuster) le Périmètre PCI Réduction du périmètre PCI : Ne stocker que les données porteurs nécessaires Utiliser des applications PA-DSS Isoler les systèmes et les applications qui traitent, stockent et transmettent les données Sensibiliser les services internes (gestion de la relation client, gestion de la fraude, ) Travailler en amont avec les métiers avant d apporter une réponse technique Faire appel à un QSA Faire une analyse d écart : Sensibilisant les interlocuteurs aux exigences Répondant aux questions d interprétations des exigences Validant le périmètre d application des exigences PCI et d audit Proposant une stratégie de mise en conformité Proposant des recommandations sur la démarche de mise en œuvre (mesures compensatoires, ) Permettant de communiquer avec la banque sur l état d avancement du plan de mise en conformité 28
Démarche de Mise en Conformité Etape 2 : Réduction du périmètre - Exemple Exemple de réduction d un périmètre via la segmentation : La segmentation du réseau permet de réduire le périmètre d application (des prérequis) et d audit PCI-DSS Combinée à l utilisation de mécanisme de troncature et/ou de hash, la segmentation permet un second niveau de réduction du périmètre Ces réductions successives permettent d obtenir le périmètre minimal d application et d audit des mesures PCI-DSS A défaut d une segmentation pertinente le périmètre peut s étendre à l ensemble du système d information. Illustration de la réduction d un périmètre : Dans les schémas qui suivent, le périmètre d application des pré-requis PCI-DSS est indiqué en vert clair. Le reste du système d information de l entreprise est lui représenté en vert foncé. 29 29
Démarche de Mise en Conformité Etape 2 : Réduction du périmètre - Exemple (suite) 30 30
Démarche de Mise en Conformité Etape 2 : Réduction du périmètre - Exemple (suite) 31 31
Démarche de Mise en Conformité Etape 2 : Réduction du périmètre - Exemple (suite) 32 32
Démarche de Mise en Conformité Etapes 3 : Mise en oeuvre des Exigences PCI DSS Mettre en place une équipe projet PCI DSS : Avec le support de la direction et des parties prenantes indispensables Equipe projet multi-compétences (technique, monétique, sécurité, ) Définir les rôles et les responsabilités de chacun (interlocuteurs internes et externes, fournisseurs, les métiers, les banques) Sensibiliser le personnel aux exigences de conformité (pas de stockage de données interdites) Travailler en amont avec les métiers avant d apporter une réponse technique Mise en œuvre des exigences : Documenter les pratiques puis s assurer de leurs conformité (et non l inverse) Capitaliser sur les projets internes, sur les périmètres identiques (gestion des logs, scans externes, SOX, ISO27001, Bâle II, PSSI, ) Réaliser les scans PCI DSS Mettre en œuvre des mesures compensatoires Mettre en œuvre les exigences PCI DSS sur le périmètre Externaliser le stockage des données porteurs pour externalisation de la mise en conformité 33
Démarche de Mise en Conformité Etapes 4 : Maintien de la Conformité La certification rentre dans une démarche d amélioration continue (Plan, Do, Check, Act) à l image des démarches ISO. Une fois acquise une première fois, il faut la maintenir dans le temps Plan Act Do Your Organization Check 34
Démarche de Mise en Conformité Au début Réaction Evaluation Remédiation Conformité Execution du plan Pre-Audit Plan de remédiation Maintien Acceptation Analyse d écart Audit Réduction des couts? Confirmation Information Externalisation éventuelle Rumeurs Comité Budget Premier scan ASV 35
L audit PCI-DSS Pour les marchands et les PSP de niveau 1 un audit externe effectué par un QSA est obligatoire. Cet audit donne lieu à un rapport d audit appelé Report on Compliance (RoC). La structure, et le contenu du RoC doivent respecter les conditions et procédures d évaluation de sécurité émises par le PCI SSC. pci_dss_v1-2.pdf 36
PCI-DSS & ISO 27001 GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY. 2008 Verizon. All Rights Reserved. PTEXXXXX XX/08
PCI-DSS et ISO 27001 : les principales différences L exigibilité Initialement PCI-DSS est une contrainte externe. Initialement ISO 27001 est une démarche spontanée. Le périmètre Défini par le standard pour PCI-DSS Défini par l audité pour ISO 27001 (en respectant certaines contraintes de la norme). Le fond ISO 27001 / SMSI : adresse l organisation de la sécurité. PCI-DSS : adresse un niveau de sécurité. 38
PCI-DSS et ISO 27001 : des points communs De nombreux points de contrôles du DdA (SoA) et pré-requis PCI-DSS sont identiques ou très proches : Exemple 1 (séparation des environnements) ISO 27001 A.10.1.4 Séparation des équipements de développement, d'essai et d exploitation Mesure : Les équipements de développement, d'essai et d exploitation doivent être séparés pour réduire les risques d accès ou de changements non autorisés dans le système d information en exploitation. PCI-DSS v1.2 6.3.2 : Séparer les environnements de développement/test et de production. Procédure de test : Les environnements de test/développement sont distincts de l environnement de production, et il existe un contrôle d accès pour garantir la séparation. 39
PCI-DSS et ISO 27001 : des points communs De nombreux points de contrôles du DdA (SoA) et pré-requis PCI-DSS sont identiques ou très proches : Exemple 2 (autorisation formelle pour l accès aux ressources) ISO 27001 A.11.4.1 Politique relative à l utilisation des services en réseau Mesure : Les utilisateurs doivent avoir uniquement accès aux services pour lesquels ils ont spécifiquement reçu une autorisation. PCI-DSS v1.2 7.1.3 : Nécessité de faire signer par les responsables un formulaire d'autorisation qui précise les privilèges requis Procédure de test : Confirmer qu'un formulaire d'autorisation est requis pour tous les accès, qu'il doit préciser les privilèges exigés et qu il doit être signé par des responsables. 40
PCI-DSS et ISO 27001 : des points communs De nombreux points de contrôles du DdA (SoA) et pré-requis PCI-DSS sont identiques ou très proches : Exemple 3 (formalisation des responsabilités) ISO 27001 A.6.1.3 : Attribution des responsabilités en matière de sécurité de l information Mesure : Toutes les responsabilités en matière de sécurité de l information doivent être définies clairement. PCI-DSS v1.2 12.4 : S assurer que la politique et les procédures de sécurité définissent clairement les responsabilités de tous les employés et sous-traitants en matière de sécurité des informations. Mesure : Vérifier que les politiques de sécurité des informations définissent clairement les responsabilités des employés et des sous-traitants en matière de sécurité des données. 41
PCI-DSS et ISO 27001 : des points communs Objectifs et mesures de sécurité du DdA et les pré-requis PCI-DSS : 42
PCI-DSS et ISO 27001 Un standard et une norme qui sont complémentaires Il est possible d utiliser les points de contrôles PCI-DSS comme points complémentaires dans le SoA. La mise en place d un SMSI (ISO 27001) apporte l approche PDCA. Les contraintes PCI-DSS apportent un niveau de sécurité (données cartes). PCI-DSS et ISO 27001 s auto-entretiennent, par leurs points de contrôles et leur approche itérative : maintenir un certain niveau dans le temps. Aucune incompatibilité entre ISO 27001 et PCI-DSS n a été identifié. 43
PCI-DSS et ISO 27001 Une approche commune à quelles conditions? Une telle approche a du sens si on peut faire cohabiter le périmètre PCI- DSS défini par le standard (des actions techniques permettent de l ajuster), et le périmètre du SMSI pour lequel on dispose d une plus grande latitude. De nombreux points de contrôles PCI-DSS et ISO 27001 Annexe A sont semblables, il faut sélectionner ces points de contrôles en conséquence lors de l élaboration du SoA. Le SMSI doit prendre en compte les contraintes PCI-DSS. 44
PCI-DSS et ISO 27001 Avantages de l approche commune Le principal avantage concerne les coûts, puisque une démarche commune permettant d adresser le standard PCI-DSS et la norme ISO 27001 peut induire des économies d échelles importantes : coût PCI-DSS + coût ISO 27001 >>> coût (PCI-DSS + ISO 27001) 45
ISO 27001 & PCI-DSS Une approche commune a-t-elle du sens? Oui à certaines conditions GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY. Rodolphe SIMONETTI CISSP, CISM, PCI-QSA, ISO 27001 Lead Auditor, ISO 27001 Risk Manager Principal Security Consultant rodolphe.simonetti@verizonbusiness.com 2008 Verizon. All Rights Reserved. PTEXXXXX XX/08