L Evolution de PCI DSS en Europe. Mercredi 13 juin 2012 Les Salons de la Maison des Arts & Métiers. Mathieu.gorge@vigitrust.com. www.vigitrust.

Documents pareils

Paris, Ambassade d Irlande, 2 juillet Mathieu.gorge@vigitrust.com.

Quatre axes au service de la performance et des mutations Four lines serve the performance and changes

GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

Cycle de conférences sur Cloud Computinget Virtualisation. Cloud Computing et Sécurité Pascal Sauliere, Architecte, Microsoft France

Convergence entre Sécurité et Conformité par l approche Software as a Service Présentation en avant-première de QualysGuard Policy Compliance

Natixis Asset Management Response to the European Commission Green Paper on shadow banking

COMPUTING. Jeudi 23 juin CLOUD COMPUTING I PRESENTATION

Qualité et ERP CLOUD & SECURITY (HACKING) Alireza MOKHTARI. 9/12/2014 Cloud & Security

The Path to Optimized Security Management - is your Security connected?.

PCI DSS un retour d experience

Quels nouveaux outils pour accompagner le développement de nos professions?

Containers : Outils magiques pour les Devops? OpenNebula et son écosystème pour une infrastructure cloud agile

GOUVERNANCE DES SERVICES

Big Data, Cloud et Sécurité. Gilles MAGHAMI Senior Consultant

The impacts of m-payment on financial services Novembre 2011

Gouvernance et nouvelles règles d organisation

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Accompagner nos clients vers.cloud. Nicolas Luneau Business Development Manager Symantec.cloud

Annex 1: OD Initiative Update

La gestion des risques IT et l audit

Symantec Control Compliance Suite 8.6

Opportunités s de mutualisation ITIL et ISO 27001

eprocurement Bernard Longhi SC PDA eproc Domain Coordinator CEN/eBES Chair CLEEP French National Forum Chair Geneva, 21 April 2015

affichage en français Nom de l'employeur *: Lions Village of Greater Edmonton Society

- Couches - Éléments - Domaines - ArchiMate et les techniques du BABOK

DOSSIER DE CANDIDATURE APPLICATION FORM

La relation DSI Utilisateur dans un contexte d infogérance

ADHEFILM : tronçonnage. ADHEFILM : cutting off. ADHECAL : fabrication. ADHECAL : manufacturing.

Macroscope et l'analyse d'affaires. Dave Couture Architecte principal Solutions Macroscope

Projet de réorganisation des activités de T-Systems France

L offre IBM Software autour de la valeur métier

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Le Cloud, un paradoxe bien français!

UNILINK ENTERPRISE PARTNERSHIP SCHEME IN TUNISIA

PEINTAMELEC Ingénierie

Information Security Management Lifecycle of the supplier s relation

Lean approach on production lines Oct 9, 2014

Présentation par François Keller Fondateur et président de l Institut suisse de brainworking et M. Enga Luye, CEO Belair Biotech

IPSAS 32 «Service concession arrangements» (SCA) Marie-Pierre Cordier Baudouin Griton, IPSAS Board

3 minutes. relation client. avec Orange Consulting. pour tout savoir sur la. construisez et pilotez votre relation client

Formations Techniques : Infrastructures Janvier - Mars 2009

Nouveaux enjeux, Risque en évolution : Comment transformer la gestion du risque? Patrick Schraut Senior Manager Professional Services

Provide supervision and mentorship, on an ongoing basis, to staff and student interns.

Les tendances, la sécurité, le BYOD et le ROI de la mobilité. July 12

E 2 O : Oracle Enterprise 2.0

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014

La Sécurité des Données en Environnement DataCenter

Le risque humain en entreprise Le cadre du renseignement

Panorama des bonnes pratiques de reporting «corruption»

Le MDM (Master Data Management) Pierre angulaire d'une bonne stratégie de management de l'information

Les marchés Security La méthode The markets The approach

NOM ENTREPRISE. Document : Plan Qualité Spécifique du Projet / Project Specific Quality Plan

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

Référentiel d'évaluation du système de contrôle interne auprès des établissements de crédit

Tier 1 / Tier 2 relations: Are the roles changing?

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

vcloud Director Comment créer et gérer son «Cloud» Jean-Claude DAUNOIS Senior Systems Engineer VMware

Editing and managing Systems engineering processes at Snecma

UE 13 Contrôle de gestion. Responsables : Henri Bouquin, Professeur Stéphanie Thiéry-Dubuisson, Maître de Conférences

.Réinventons l innovation.

Nombre de reconnaissances et d awards prestigieux concourent à démontrer la réussite de cette stratégie.

Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite.

Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité

UC² : Le poste de travail du futur (disponible aujourd hui)

FORMATION FIBRE OPTIQUE

PLM 2.0 : Mise à niveau et introduction à l'offre version 6 de Dassault systèmes

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS?

Discours de Eric Lemieux Sommet Aéro Financement Palais des congrès, 4 décembre 2013

Partner Business School

IPv6: from experimentation to services

EXPERIS FINANCE: Montréal Gestionnaire de missions en pratique des risques et sécurité

Sécuriser. connecter. simplifier. Your multi-channel payment partner.

The space to start! Managed by

Forthcoming Database

Mise en place d un système de cabotage maritime au sud ouest de l Ocean Indien. 10 Septembre 2012

AUDIT COMMITTEE: TERMS OF REFERENCE

Plan de cours ADM 992C Page 1. École des sciences de la gestion Département de management et technologie Université du Québec à Montréal

REMOTE DATA ACQUISITION OF EMBEDDED SYSTEMS USING INTERNET TECHNOLOGIES: A ROLE-BASED GENERIC SYSTEM SPECIFICATION

Celine BARREDY, PhD Associate Professor of Management Sciences

REVITALIZING THE RAILWAYS IN AFRICA

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Sécurité de bout en bout Une solution complète pour protéger les données et prévenir les risques

Township of Russell: Recreation Master Plan Canton de Russell: Plan directeur de loisirs

Conditions de l'examen

contactless & payment des solutions de test pour mener à bien vos projets

Préconisations pour une gouvernance efficace de la Manche. Pathways for effective governance of the English Channel

La sécurité des solutions de partage Quelles solutions pour quels usages?

IBM MobileFirst Security L approche d IBM pour la sécurité des terminaux mobiles. Serge RICHARD - CISSP Security Solution Architect, Security Systems

POSITION DESCRIPTION DESCRIPTION DE TRAVAIL

Les Grandes Tendances d Investissement Informatique en 2011/ Rachel Hunt

Solutions Dell Networking pour le Big Data. Philippe MARTIN Networking Sales Specialist - p_martin@dell.com

<Insert Picture Here> Modernisation de la fonction Finance ERP, GRC & EPM

C.I.S.I. Plans de cours détaillés et conditions générales de vente sur notre site.

Marc Haan. Belgian/Belge

Frequently Asked Questions

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

IMPULSE CONSULTING Ltd

Transcription:

L Evolution de PCI DSS en Europe Mercredi 13 juin 2012 Les Salons de la Maison des Arts & Métiers Mathieu.gorge@vigitrust.com www.vigitrust.com Thursday, 14 June 2012 (c) VigiTrust 2003-2012 1

2 nd Edition of the PCI DSS European Roadshow with Jeremy King Thursday, 14 June 2012 (c) VigiTrust 2003-2012 2

CSMS Compliance & Security Management Suite SAMS Security Accreditation Management System Enterprise MCP Merchant Compliance Portal Agregators esec Security elearning Modules Mid-Size 5 Pillars of Security Framework Physical Security, People Security, Data Security, IT Security, Crisis Management

Thursday, 14 June 2012 (c) VigiTrust 2003-2012 4

elearning Background Technology LMS GUI PCI DSS Suite Security 101 Data protection Fundamentals Content HIPAA CIP Instructional Design Social Networking (In)security Green IT & Security ISO 27001 Log Management & Security Wireless Security Etc

2010-11 Une période mouvementée pour PCI DSS (1) Les entreprises U.S. sont toujours les plus conformes à PCI DSS Mais l Europe avance à grands pas Nomination de Jeremy King comme European Director Une grande différence déjà notée en Europe PCI DSS nouvelle version publiée en octobre 2010 et implementée depuis janvier 2011 PCI DSS Lifecycle Update Changements ou manque de changements en v2.0 Enjeux règlementaires Et si PCI DSS devenait une obligation légale? PCI DSS déjà une obligation légale au Nevada, Minnesota, New Hampshire, Washington Loi Fédérale aux U.S. dans 3-5 ans & UE suivra cette tendance

2010-11 Une période mouvementée pour PCI DSS (2) Alignement de PA-DSS PTS avec PCI DSS Considérations QSA Beaucoup de nouveaux QSAs depuis 2010 Les cas Heartland & Global Payments Le QSA avait attesté de ma conformité QA program est-il efficace? Sensibilisation des utilisateurs Recommandations elearning & tests QSA se focalisent de plus en plus sur les politiques et procédures en sécurité Adoption des technologies de Tokenization & Virtualization Point to Point Encryption EMV

POs - UK QSAs - UK PCI DSS 360º UK PCI DSS chez les professionnels & associations de sécurité ISACA VendorCom IMRG Que font les banques? Programmes de mise en conformité pour les marchands Autres considérations sur ce marché Data Protection Act 1998 & PCI DSS Data Protection Act 8 Principles Plus de 700 vols et/ou pertes de données en moins de deux ans ICO peut désormais lancer des enquêtes ciblées Nouvelles pénalités allant juqu à 500000 GBP une dizaine de cas Credit cardholder data is personal information Les données de cartes de crédit sont des données privées Les associations de marchands et fédérations travaillent sur PCI DSS

PCI DSS 360º Irlande POs - Irlande QSAs - Irlande PCI DSS chez les professionnels & associations de sécurité Que font les banques? Autres considérations sur ce marché Data Protection Act 1988-2003 & PCI DSS Billy Hawkes Les associations de marchands et fédérations travaillent sur PCI DSS

PCI DSS 360º France POs - très peu par rapport à la taille du marché QSAs 8 pour l instant PCI DSS chez les professionnels & associations de sécurité Clusif ISACA Que font les banques? Des programmes en cours de développement Mais attention au programmes de validation pure Il faut éduquer les marchands avant qu ils ne puissent valider leur conformité Autres considérations sur ce marché CNIL APECA Franchises

Changements à noter - Data Protection in the EU Plus de directive mais une regulation unique dans l UE Harmonisation en Europe mais non sans challenges & difficultés Droit à l oubli Evolution des responsabilités du Controlleur Politiques et procédures Formations Sécurité Le processor autant que le controlleur doit mettre en place des mesures de sécurité Data Breach Notification Dans les 24 h suivant la découverte du problème Portabilité et Transfert des Données Considerations Cloud Data Protection Officers Thursday, 14 June 2012 (c) VigiTrust 2003-2012 13

Intersection entre PCI DSS et Protection des Données Exigences en matière de stratégie sécurité sont similaires Opportunités de mutualisation Cross over entre les contrôles obligatoires de PCI DSS et les exigences plus vagues de l UE qui cependant deviennent plus précises Solutions techniques Politiques et procédures Formation des utilisateurs Quid des autres frameworks en sécurité? Considérations ISO 27000 et autres HIPAA/HITECH Unified Compliance Framework Thèmes récurrents Continuous Compliance et contrôle permanent Education des utilisateurs Techniques Non-techniques Management (c) VigiTrust 2003-2012

PCI DSS & GRC Process EU Data SOX SAS 70 II PCI DSS HIPAA Protection Others Regulatory, Legal and Corporate Governance Frameworks Policies & Procedures Education & Security Awareness Self-Governed Pre- Assessment Remediation Work Network & Hardware Security Application Security Official Assessors & Auditors Specialized Skills Transfer Step 1 Step 2 Step 3 Step 4 Step 5 Continuous Compliance Process GRC Process (c) VigiTrust 2003-2012

Boule de Cristal - 2012-2014 Explosion des solutions mobile payments Using the phone as a physical and/or virtual terminal Security of smart phone payment applications Tracking of mobile payment transactions Contactless et NFC A usage multiple mais créant des nouveaux risques London 2012 Nouveaux opérateurs dans l industrie des paiements Mobile operators becoming banks Banks becoming mobile operators Social Networks becoming both operators AND bank Beaucoup de nouveaux risques à gérer Challenges juridiques L application d ammendes en non conformité PCI DSS va finir devant les tribunaux Répercussions des breachs tels que Global Payments à suivre de près La conformité PCI DSS va être sous l égide des lois de protection des données Thursday, 14 June 2012 (c) VigiTrust 2003-2012 16

Making Security Policies Effective Dublin 26 th April 2012 Mathieu.gorge@vigitrust.com bmurray@vigitrust.com www.vigitrust.com Thursday, 14 June 2012 (c) VigiTrust 2003-2012 17

Corporate Culture & Risk Management The overall Picture Corporate Values Corporate Ecosystem Risk Management & Safeguards Residual Risk Surface which needs to be managed by your Organization Risk Management Strategy for Internal and/or external Risk Management Teams PII (US), Data Protection (EU), PCI DSS & ISO 27001 compliance Thursday, 14 June 2012 (c) VigiTrust 2003-2012

Project Structure & Pricing Breakdown Discovery Workshop Delivered by Senior Security Consultants elearning Services Development, Testing & implementation Documentation Work Project Management Ongoing Advisory & Updating Thursday, 14 June 2012 (c) VigiTrust 2003-2012