Accompagnement PCI DSS Présentation de l offre Octobre 2015 20151001-Galitt-Offre PCI DSS.pptx
Sommaire 1. Introduction 2. Présentation de la norme PCI DSS 3. Démarche de mise en conformité Copyright Galitt 2
Introduction LESTENDANCESENFRANCEETDANSLEMONDE Les innovations s accélèrent Possibilités offertes par les nouvelles technologies autour de la carte de paiement, sur mobiles et internet Cartes sans contact / NFC Mobile Acceptance E-commerce et M-commerce Portefeuilles numériques Chip on the Cloud / HCE Croissance des paiements par carte (proximité et à distance) domestiques et internationaux apportée par ces évolutions Croissance de la fraude En 2012, la fraude brute des porteurs CB a représenté 330 millions d euros en France et est en augmentation annuelle de 10%. Copyright Galitt 3
Contexte et enjeux du PCI DSS Contexte français : risque de vols de données PARTICULARITES DE LA FRANCE Modèle sécuritaire via le réseau e-rsb Utilisation de la carte à puce vs. piste Simplicité et fluidité des échanges par l acceptation étendue et l interopérabilité entre banques domestiques BÉNÉFICES POUR LES ACTEURS Porteurs : rapidité et souplesse d utilisation Commerçants : rapidité d encaissement et garantie de paiement MAIS ATTENTION! Une entité peut être victime de vols de données destinées à être utilisées dans d autres espacesgéographiques moins sécurisés que la France Une vigilance renforcée des acteurs est nécessaire Copyright Galitt 4
Contexte et enjeux du PCI DSS Rappel des risques En cas de compromission, un commerçant peut subir Une dé-crédibilisation de l image de l entreprise qui a laissé fuir les données Selon le type de compromission, la perte d image peut être estimée entre 17 à 31% de la valeur de l image de marque (*) Le délai de restauration de la réputation d une entreprise prend en moyenne 11,8 mois (*) De lourdes conséquences financières Coût moyen violation de données : 2,9M (**) Coût moyen compromission par enregistrement compromis : 127 (**) Coût de procès non valorisable La perte de confiance client peut être très préjudiciable à l entreprise Des dommages collatéraux : conséquences commerciales Dé-crédibilisation de ses partenaires directs : banques, prestataires et de l'ensemble du système carte Taux d attrition (désabonnement) élevé en France à 4,4% (*) 5 (*) Source : «2011-Ponemon_reputation_impact_of_a_compromission» (**) Source : Rapport ''Cost of Data Breach' de PonemonInstitute et Symantec juin2013 Copyright Galitt CONSÉQUENCES POUR LE CLIENT ET LES BANQUES : Perte de confiance des clients Coûts des contremesures Pénalités des réseaux Coûts de la fraude Dé-crédibilisation de l image sécuritaire 5
Contexte et enjeux du PCI DSS Rappel des risques Multiplication des attaques et nouvelles fraudes en France 3x 10M 58 2,1M Multiplication par 3des points de compromissions liés à des commerçants ou à des automates de paiement entre 2011 et 2012 (Rapport 2012 du GIE CB) 10 millions d euros détournés en 2013 via des échanges de terminaux CB par des terminaux piratés (skimmer) dans de grandes chaînes commerciales 58 points de compromission en VAD ont été mis en évidence (Rapport 2012 du GIE CB) Exemple d un opérateur mobile français avec 800 000 personnes touchées par un vol de données personnelle le 16 janvier 2014, puis 1,3 million de personnes en mai 2014 Compromissions à l international et impacts en France 160M 5k 160 millions de numéros de cartes volés dans les systèmes de sociétés américaines et européennes en 2013, dont une des principales enseignes françaises de la Grande Distribution (2M de cartes) et une banque franco-belge En février 2014, le virus JackPOS, affectant les terminaux de paiement, a compromis 5 000 cartesdans le monde, dont la France Recrudescence des cas de commerçants de proximité acceptant sur le territoire national des cartes contrefaites, essentiellement agréées CB et piratées à l étranger (Rapport du GIE CB) Copyright Galitt 6
Rappel des risques : conséquences des piratages de données porteur Revente de données cartes en quantité sur des sites de «Carding» Valeur (ordre de grandeur) sur le marché Des données compromises Numéro de compte (PAN) et CVV2 : 1 Données pistes carte classique : 8 à 73 «White plastic» avec piste magnétique : 100 Données pistes et PIN : 1 000 Du matériel informatique nécessaire Logiciel malveillant (malware) : 1 000 à 2 000 Equipement de skimming(clonage) : 1 000 à 2 000 Types de fraude possibles avec des données carte volées Vol de PAN : achat en VAD mal sécurisée (sans présentation de cryptogramme visuel Cxx2) Vol de PAN + DFV + Cxx2 (CVV2/CVC2/CBN2): achat en VAD classique Vol de piste ISO2 complète : contrefaçon utilisable en paiement sur un terminal non EMV Vol de piste ISO2 complète + PIN : contrefaçon utilisable en paiement et en retrait sur un terminal ou GAB Copyright Galitt 7
Sommaire 1. Introduction 2. Présentation de la norme PCI DSS 3. Démarche de mise en conformité Copyright Galitt 8
Présentation de la norme PCI DSS DEFINITION PCIDSSestunenormedepréventiondontl objectifestdelimiterlafraudeparcompromissionde données du titulaire et/ou des données d identification ORIGINE A l initiative de 5 réseaux cartes internationaux Élaboration d un ensemble de standards Copyright Galitt 9
Présentation de la norme PCI DSS DONNEES CONCERNEES Les données du titulaire et les données d identification sensibles sont définies comme suit L équivalent des données bande magnétique sont également contenues dans la puce Bande magnétique (données piste 1 et 2 parmi lesquelles le bloc PIN - Personal Identification Number Version chiffrée du code PIN et le code service) Logo Banque Numéro de compte primaire (PAN) 123 Nom du titulaire de la carte Date d expiration Cryptogramme visuel (CAV2/CVC2/CVV2/CID) Données du titulaire de cartes: Données d'authentification sensibles : Le numéro de compte primaire(pan) Lenomdutitulairedelacarte La date d expiration Le code service Les données de bande magnétique complète ou leur équivalent sur une puce Le CAV2/CVC2/CVV2/CID (achat en VAD) Les Codes/blocs PIN Copyright Galitt 10
Présentation de la norme PCI DSS QUI EST CONCERNE? PCI DSS s adresse à toutes les entités qui stockent, traitent, ou transmettent des données cartes: Commerçants accepteurs de cartes d un ou plusieurs réseaux émetteurs Banques (acquéreur et émetteur) Fournisseurs de services de paiement (PSP) La norme PCI DSS sert de référence aux conditions techniques et opérationnelles conçues pour protéger les données des titulaires de carte. Elle est articulée autour de 6 thèmes et 12 conditions Création et gestion d un réseau et d un système sécurisés Protection des données du titulaire Gestion d un programme de gestion des vulnérabilités Mise en œuvre de mesures de contrôle d accès strictes Surveillance et tests réguliers des réseaux Gestion d une politique de sécurité des informations 1. Installer et gérer une configuration de pare-feu pour protéger les données du titulaire 2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur 3. Protéger les données de titulaire de carte stockées 4. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur 5. Utiliser des logiciels antivirus et les mettre à jour régulièrement 6. Développer et gérer des systèmes et des applications sécurisés 7. Restreindre l'accès aux données de titulaire de carte aux seuls individus qui doivent les connaître 8. Affecter un identifiant unique à chaque utilisateur d'ordinateur 9. Restreindre l'accès physique aux données de titulaire de carte 10. Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données de titulaire de carte 11. Tester régulièrement les processus et les systèmes de sécurité 12. Maintenir une politique qui adresse les informations de sécurité pour l ensemble du personnel Copyright Galitt 11
Présentation de la norme PCI DSS ACTIONS REQUISES PAR LES RESEAUX INTERNATIONAUX NIVEAU CLASSIFICATION DES COMMERÇANTS OBLIGATIONS PESANT SUR LES COMMERÇANTS 1 2 3 Tout commerce traitant plus de 6 millions de transactions VISA ou MASTERCARD* par an Tout commerce ayant déjà été compromis Tout commerce identifié de niveau 1 dans un système concurrent Tout commerce classé par le réseau, à sa discrétion Tout commerce traitant de 1 à 6 millions de transactions VISA ou MASTERCARD par an Tout commerce identifié de niveau 2 dans un système concurrent Tout commerce pratiquant le E-commerce traitant de 20 000 à 1 million de transactions VISA ou MASTERCARD par an Tout commerce identifié de niveau 3 dans un système concurrent Audit annuel par un QSA ou auditeur interne agréé par le PCI-SSC Scan de vulnérabilité réseau trimestriel par un ASV, et après toute modification significative des réseaux par un ASV ou une personne interne à la société Tests d intrusion interne et externe annuels par un ASV, QSA ou une personne interne qualifiée Dérogation : déclassificationen niveau 2 si 95% des transactions EMV Questionnaire annuel d auto-évaluation rempli par un QSA ou un auditeur interne agréé par le PCI SSC (ISA) OU audit annuel par un QSA certifié par le PCI SSC Scan de vulnérabilité réseau trimestriel par un ASV, et après toute modification significative des réseaux par un ASV ou une personne interne à la société Tests d intrusion interne et externe annuels (éligible au SAQ D uniquement) Questionnaire annuel d'auto-évaluation Scan de vulnérabilité réseau trimestriel par un ASV, et après toute modification significative des réseaux par un ASV ou une personne interne à la société Dérogation : Dispense de scan pour les commerçants utilisant les solutions certifiées. 4 Tout autre commerce Questionnaire d'auto-évaluation annuel (optionnel) Scan réseau trimestriel par un ASV (optionnel) Veuillez noter : Commerçants multi bancaires : le nombre de transactions pris en compte est basé sur la totalité des transactions VISA ou MasterCard pour l ensemble des banques acquéreurs. Les transactions domestiques (ex. Carte Bancaire) réalisées par carte VISA ou MasterCard «co-brandée» (ex : CB + VISA) doivent être prises en compte dans la comptabilisation des transactions. Copyright Galitt 12
Sommaire 1. Introduction 2. Présentation de la norme PCI DSS 3. Démarche de mise en conformité Copyright Galitt 13
Démarche de mise en conformité La mise en conformité à la norme PCI DSS implique des enjeux non seulement TECHNIQUES, mais aussi ORGANISATIONNELSet pouvant impacter les processus METIERS Le succès de ce projet pour votre entreprise dépend de l implication / participation de nombreuses fonctions dans une démarche qui convient à la fois au commerçant et à sa banque Plateformes RH Equipes monétiques Référents Contributeurs SYSTÈMES METIERS ORGANISATION Gouvernance du projet Chefs de projet Direction Compta Achats Réseaux > Facteur clef de réussite Systèmes Equipes DSI Finance Données Inclure ces aspects dans le projet global Applications Copyright Galitt 14
Démarche de mise en conformité La mise en conformité à la norme PCI DSS doit être perçue en tant que projet global qui nécessitera certains investissements mais vous apportera de nombreux avantages BENEFICES DE LA MISE EN CONFORMITE PRINCIPAUX OBSTACLES X Renforcement de l image sécuritaire auprès des partenaires, de la clientèle et du marché Assurance vis-à-vis des risques : perte d'exploitation, d image, fraude, procès, coût de réémission de cartes... Opportunité d une intégration avec d autres initiatives de mise en conformité RSSI o Tirer parti des canaux existants o Intégrer le projet dans des outils ou démarches existantes o Améliorer le retour sur investissement du projet Complexitéde la délimitation du périmètre d application de la norme Définition d un cadre de gouvernance dynamique Soutien budgétaire de sa propre direction, voire de sa direction générale, pour mener les chantiers nécessaires. Maintien de la conformité chaque année. Interférencesdans les projets de l entreprise (priorités souvent données aux actions strictement orientées business) La certification est une démarche vertueuse car elle permet en cas de compromission d apporter toutes les justifications nécessaires aux réseaux cartes (GIE CB, VISA, MasterCard, ) Copyright Galitt 15
Démarche de mise en conformité Galitt peut vous accompagner sur les grandes phases de la démarche de mise en conformité PRÉPARATION CERTIFICATION REMÉDIATION Gestion de projets Définition du périmètre d application Définition de la stratégie de mise en conformité Etudes de cadrage et élaboration de cartographies Etat des lieux & analyse d écarts Audits de certification (commerçants de niveau 1) Sensibilisation des acteurs : Formation «Mise en œuvre de PCI» Accompagnement (résolution des non conformités : processus, technologies ) Aide au remplissage du SAQ (commerçants de niveau 2, 3 et 4) Réalisation de scans de vulnérabilité à partir d une plateforme «ASV» Copyright Galitt 16
Contact Galitt Merci de votre attention! Contacts Rémi GITZINGER Directeur de Mission +33 1 77 70 28 59 r.gitzinger@galitt.com Bruno KOVACS Manager Conseil & PCI QSA +33 1 77 70 28 12 b.kovacs@galitt.com www.galitt.com Copyright Galitt 17