L Evolution de PCI DSS en Europe Mercredi 13 juin 2012 Les Salons de la Maison des Arts & Métiers Mathieu.gorge@vigitrust.com www.vigitrust.com Thursday, 14 June 2012 (c) VigiTrust 2003-2012 1
2 nd Edition of the PCI DSS European Roadshow with Jeremy King Thursday, 14 June 2012 (c) VigiTrust 2003-2012 2
CSMS Compliance & Security Management Suite SAMS Security Accreditation Management System Enterprise MCP Merchant Compliance Portal Agregators esec Security elearning Modules Mid-Size 5 Pillars of Security Framework Physical Security, People Security, Data Security, IT Security, Crisis Management
Thursday, 14 June 2012 (c) VigiTrust 2003-2012 4
elearning Background Technology LMS GUI PCI DSS Suite Security 101 Data protection Fundamentals Content HIPAA CIP Instructional Design Social Networking (In)security Green IT & Security ISO 27001 Log Management & Security Wireless Security Etc
2010-11 Une période mouvementée pour PCI DSS (1) Les entreprises U.S. sont toujours les plus conformes à PCI DSS Mais l Europe avance à grands pas Nomination de Jeremy King comme European Director Une grande différence déjà notée en Europe PCI DSS nouvelle version publiée en octobre 2010 et implementée depuis janvier 2011 PCI DSS Lifecycle Update Changements ou manque de changements en v2.0 Enjeux règlementaires Et si PCI DSS devenait une obligation légale? PCI DSS déjà une obligation légale au Nevada, Minnesota, New Hampshire, Washington Loi Fédérale aux U.S. dans 3-5 ans & UE suivra cette tendance
2010-11 Une période mouvementée pour PCI DSS (2) Alignement de PA-DSS PTS avec PCI DSS Considérations QSA Beaucoup de nouveaux QSAs depuis 2010 Les cas Heartland & Global Payments Le QSA avait attesté de ma conformité QA program est-il efficace? Sensibilisation des utilisateurs Recommandations elearning & tests QSA se focalisent de plus en plus sur les politiques et procédures en sécurité Adoption des technologies de Tokenization & Virtualization Point to Point Encryption EMV
POs - UK QSAs - UK PCI DSS 360º UK PCI DSS chez les professionnels & associations de sécurité ISACA VendorCom IMRG Que font les banques? Programmes de mise en conformité pour les marchands Autres considérations sur ce marché Data Protection Act 1998 & PCI DSS Data Protection Act 8 Principles Plus de 700 vols et/ou pertes de données en moins de deux ans ICO peut désormais lancer des enquêtes ciblées Nouvelles pénalités allant juqu à 500000 GBP une dizaine de cas Credit cardholder data is personal information Les données de cartes de crédit sont des données privées Les associations de marchands et fédérations travaillent sur PCI DSS
PCI DSS 360º Irlande POs - Irlande QSAs - Irlande PCI DSS chez les professionnels & associations de sécurité Que font les banques? Autres considérations sur ce marché Data Protection Act 1988-2003 & PCI DSS Billy Hawkes Les associations de marchands et fédérations travaillent sur PCI DSS
PCI DSS 360º France POs - très peu par rapport à la taille du marché QSAs 8 pour l instant PCI DSS chez les professionnels & associations de sécurité Clusif ISACA Que font les banques? Des programmes en cours de développement Mais attention au programmes de validation pure Il faut éduquer les marchands avant qu ils ne puissent valider leur conformité Autres considérations sur ce marché CNIL APECA Franchises
Changements à noter - Data Protection in the EU Plus de directive mais une regulation unique dans l UE Harmonisation en Europe mais non sans challenges & difficultés Droit à l oubli Evolution des responsabilités du Controlleur Politiques et procédures Formations Sécurité Le processor autant que le controlleur doit mettre en place des mesures de sécurité Data Breach Notification Dans les 24 h suivant la découverte du problème Portabilité et Transfert des Données Considerations Cloud Data Protection Officers Thursday, 14 June 2012 (c) VigiTrust 2003-2012 13
Intersection entre PCI DSS et Protection des Données Exigences en matière de stratégie sécurité sont similaires Opportunités de mutualisation Cross over entre les contrôles obligatoires de PCI DSS et les exigences plus vagues de l UE qui cependant deviennent plus précises Solutions techniques Politiques et procédures Formation des utilisateurs Quid des autres frameworks en sécurité? Considérations ISO 27000 et autres HIPAA/HITECH Unified Compliance Framework Thèmes récurrents Continuous Compliance et contrôle permanent Education des utilisateurs Techniques Non-techniques Management (c) VigiTrust 2003-2012
PCI DSS & GRC Process EU Data SOX SAS 70 II PCI DSS HIPAA Protection Others Regulatory, Legal and Corporate Governance Frameworks Policies & Procedures Education & Security Awareness Self-Governed Pre- Assessment Remediation Work Network & Hardware Security Application Security Official Assessors & Auditors Specialized Skills Transfer Step 1 Step 2 Step 3 Step 4 Step 5 Continuous Compliance Process GRC Process (c) VigiTrust 2003-2012
Boule de Cristal - 2012-2014 Explosion des solutions mobile payments Using the phone as a physical and/or virtual terminal Security of smart phone payment applications Tracking of mobile payment transactions Contactless et NFC A usage multiple mais créant des nouveaux risques London 2012 Nouveaux opérateurs dans l industrie des paiements Mobile operators becoming banks Banks becoming mobile operators Social Networks becoming both operators AND bank Beaucoup de nouveaux risques à gérer Challenges juridiques L application d ammendes en non conformité PCI DSS va finir devant les tribunaux Répercussions des breachs tels que Global Payments à suivre de près La conformité PCI DSS va être sous l égide des lois de protection des données Thursday, 14 June 2012 (c) VigiTrust 2003-2012 16
Making Security Policies Effective Dublin 26 th April 2012 Mathieu.gorge@vigitrust.com bmurray@vigitrust.com www.vigitrust.com Thursday, 14 June 2012 (c) VigiTrust 2003-2012 17
Corporate Culture & Risk Management The overall Picture Corporate Values Corporate Ecosystem Risk Management & Safeguards Residual Risk Surface which needs to be managed by your Organization Risk Management Strategy for Internal and/or external Risk Management Teams PII (US), Data Protection (EU), PCI DSS & ISO 27001 compliance Thursday, 14 June 2012 (c) VigiTrust 2003-2012
Project Structure & Pricing Breakdown Discovery Workshop Delivered by Senior Security Consultants elearning Services Development, Testing & implementation Documentation Work Project Management Ongoing Advisory & Updating Thursday, 14 June 2012 (c) VigiTrust 2003-2012