Accompagnement PCI DSS



Documents pareils
1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS?

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

PCI DSS un retour d experience

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.

PCI-DSS : un standard contraignant?!

Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Foire aux questions (FAQ)

Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA. à la norme PCI-DSS, level 1

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

Veille technologique. la finance solidaire Chapitre ou éthique 3. 1 La sécurité des paiements par carte sans contact au regard des évolutions récentes

Formations certifiantes dans le domaine du paiement électronique

PCI (Payment Card Industry) Data Security Standard

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014

RAPPORT ANNUEL DE L OBSERVATOIRE DE LA SÉCURITÉ DES CARTES DE PAIEMENT. bservatoire de la sécurité des cartes de paiement.

ADHESION AU SYSTEME DE PAIEMENT PAR CARTES BANCAIRES CB CONDITIONS GENERALES D'ADHESION AU SYSTEME DE PAIEMENT A DISTANCE PAR CARTES BANCAIRES CB

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité

Nouveau Programme Formation Monétique

Mise en œuvre et sécurisation d une plateforme monétique pédagogique

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

Excellence. Technicité. Sagesse

La monétique. Les transactions bancaires. Christophe VANTET- IR3 Le Mardi 25 Novembre 2008

MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné

Norme PCI Septembre La norme PCI : transformer une contrainte en opportunité

Panorama sur les nouveaux modes de paiement

Formations qualifiantes dans le domaine du paiement électronique

guide pratique d utilisation d un terminal de paiement électronique EMV, à destination des commerçants CB

PROTOCOLE D ACCORD PREAMBULE

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

AUDIT CONSEIL CERT FORMATION

Conditions Générales

CONTRAT D'ACCEPTATION EN PAIEMENT DE PROXIMITE DES CARTES "CB" OU AGREEES "CB" VERSION 7.2

Comment reconnaître et lutter contre la fraude avec des cartes de crédit et de débit? Document Fraude

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

CONTRAT PORTEUR CARTES BANCAIRES

9 RÉFLEXES SÉCURITÉ

Copyright Verifone - Paybox e-commerce - Document non contractuel SOLUTIONS DE PAIEMENT E-COMMERCE

Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement

Une approche à multiples niveaux en matière de sécurité des cartes de paiement

CONTRAT D ADHESION AU SYSTEME DE PAIEMENT PAR CARTES BANCAIRES CB

Acquisition transfrontière

Comprendre l'objectif des conditions

Catalogue Audit «Test Intrusion»

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.

contactless & payment des solutions de test pour mener à bien vos projets

Comment aider à prévenir la fraude

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d'application de paiement (PA-DSS)

Sécurisation avancée des données de cartes bancaires Guide Hôtel v1.0 SECURISATION AVANCEE DES DONNEES BANCAIRES. Guide Hôtel

Copyright Point / Paybox - Document non contractuel SOLUTIONS DE PAIEMENT E-COMMERCE

Le e-commerce en France

HCE & Authentification de seconde génération

1. Le m-paiement. 2. Le régime juridique du m- paiement. 3. Le m-paiement et les failles de sécurité

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d application de paiement (PA-DSS)

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

CONTRAT PORTEUR DISPOSITIF DE SÉCURITÉ PERSONNALISÉ OU CODE CONFIDENTIEL... 3 FORME DU CONSENTEMENT ET IRRÉVOCABILITÉ... 4

Être conforme à la norme PCI. OUI, c est possible!

Atelier C06. Cyber résilience : Protéger ses données et celles de ses clients

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA)

Guide d informations. Manuel d acceptation de cartes via le terminal de paiement

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

La payement par Carte Bancaire sur Internet

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Les acteurs de la carte d'achat

2012 / Excellence. Technicité. Sagesse

STOCKAGE ET CONSERVATION DE L INFORMATION RELATIVE AUX CARTES DE CRÉDIT

Frais de remboursement d interchange de Visa Canada

Solutions McAfee pour la sécurité des serveurs

ccredit Des paiements sans frontières en toute sécurité. Paiements par carte au point de vente (POS).

Sécurité informatique: introduction

Gestion des Incidents SSI

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Formation Monétique : approfondissement technique

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

CONTRAT D ADHESION AU SYSTEME DE PAIEMENT PAR CARTE ecommerce

Sécurité des Postes Clients

Proposer le paiement par carte a mes clients

Achats en ligne - 10 re flexes se curite

Conditions générales d adhésion au système de paiement à distance sécurisé par Cartes «CB» ou agréées «CB» ComNpay

Récapitulatif des modifications entre les versions 2.0 et 3.0

Sécuriser. connecter. simplifier. Your multi-channel payment partner.

CONTRAT PORTEUR CARTE BANCAIRE. 1 er Juillet 2014 ARTICLE 14 DURÉE DU CONTRAT ET RÉSILIATION... 5 ARTICLE 16 RÉCLAMATIONS... 5

L hygiène informatique en entreprise Quelques recommandations simples

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

SOLUTIONS ET MOYENS DE PAIEMENT DU E-COMMERCE : RETOUR D EXPÉRIENCE SUR LES ÉVOLUTIONS DE LA RÉGLEMENTATION EUROPÉENNE ET LES PERSPECTIVES MAROCAINES

BIEN PROTÉGER. Mes données bancaires et mes moyens de paiement

«Obad.a» : le malware Android le plus perfectionné à ce jour

Transcription:

Accompagnement PCI DSS Présentation de l offre Octobre 2015 20151001-Galitt-Offre PCI DSS.pptx

Sommaire 1. Introduction 2. Présentation de la norme PCI DSS 3. Démarche de mise en conformité Copyright Galitt 2

Introduction LESTENDANCESENFRANCEETDANSLEMONDE Les innovations s accélèrent Possibilités offertes par les nouvelles technologies autour de la carte de paiement, sur mobiles et internet Cartes sans contact / NFC Mobile Acceptance E-commerce et M-commerce Portefeuilles numériques Chip on the Cloud / HCE Croissance des paiements par carte (proximité et à distance) domestiques et internationaux apportée par ces évolutions Croissance de la fraude En 2012, la fraude brute des porteurs CB a représenté 330 millions d euros en France et est en augmentation annuelle de 10%. Copyright Galitt 3

Contexte et enjeux du PCI DSS Contexte français : risque de vols de données PARTICULARITES DE LA FRANCE Modèle sécuritaire via le réseau e-rsb Utilisation de la carte à puce vs. piste Simplicité et fluidité des échanges par l acceptation étendue et l interopérabilité entre banques domestiques BÉNÉFICES POUR LES ACTEURS Porteurs : rapidité et souplesse d utilisation Commerçants : rapidité d encaissement et garantie de paiement MAIS ATTENTION! Une entité peut être victime de vols de données destinées à être utilisées dans d autres espacesgéographiques moins sécurisés que la France Une vigilance renforcée des acteurs est nécessaire Copyright Galitt 4

Contexte et enjeux du PCI DSS Rappel des risques En cas de compromission, un commerçant peut subir Une dé-crédibilisation de l image de l entreprise qui a laissé fuir les données Selon le type de compromission, la perte d image peut être estimée entre 17 à 31% de la valeur de l image de marque (*) Le délai de restauration de la réputation d une entreprise prend en moyenne 11,8 mois (*) De lourdes conséquences financières Coût moyen violation de données : 2,9M (**) Coût moyen compromission par enregistrement compromis : 127 (**) Coût de procès non valorisable La perte de confiance client peut être très préjudiciable à l entreprise Des dommages collatéraux : conséquences commerciales Dé-crédibilisation de ses partenaires directs : banques, prestataires et de l'ensemble du système carte Taux d attrition (désabonnement) élevé en France à 4,4% (*) 5 (*) Source : «2011-Ponemon_reputation_impact_of_a_compromission» (**) Source : Rapport ''Cost of Data Breach' de PonemonInstitute et Symantec juin2013 Copyright Galitt CONSÉQUENCES POUR LE CLIENT ET LES BANQUES : Perte de confiance des clients Coûts des contremesures Pénalités des réseaux Coûts de la fraude Dé-crédibilisation de l image sécuritaire 5

Contexte et enjeux du PCI DSS Rappel des risques Multiplication des attaques et nouvelles fraudes en France 3x 10M 58 2,1M Multiplication par 3des points de compromissions liés à des commerçants ou à des automates de paiement entre 2011 et 2012 (Rapport 2012 du GIE CB) 10 millions d euros détournés en 2013 via des échanges de terminaux CB par des terminaux piratés (skimmer) dans de grandes chaînes commerciales 58 points de compromission en VAD ont été mis en évidence (Rapport 2012 du GIE CB) Exemple d un opérateur mobile français avec 800 000 personnes touchées par un vol de données personnelle le 16 janvier 2014, puis 1,3 million de personnes en mai 2014 Compromissions à l international et impacts en France 160M 5k 160 millions de numéros de cartes volés dans les systèmes de sociétés américaines et européennes en 2013, dont une des principales enseignes françaises de la Grande Distribution (2M de cartes) et une banque franco-belge En février 2014, le virus JackPOS, affectant les terminaux de paiement, a compromis 5 000 cartesdans le monde, dont la France Recrudescence des cas de commerçants de proximité acceptant sur le territoire national des cartes contrefaites, essentiellement agréées CB et piratées à l étranger (Rapport du GIE CB) Copyright Galitt 6

Rappel des risques : conséquences des piratages de données porteur Revente de données cartes en quantité sur des sites de «Carding» Valeur (ordre de grandeur) sur le marché Des données compromises Numéro de compte (PAN) et CVV2 : 1 Données pistes carte classique : 8 à 73 «White plastic» avec piste magnétique : 100 Données pistes et PIN : 1 000 Du matériel informatique nécessaire Logiciel malveillant (malware) : 1 000 à 2 000 Equipement de skimming(clonage) : 1 000 à 2 000 Types de fraude possibles avec des données carte volées Vol de PAN : achat en VAD mal sécurisée (sans présentation de cryptogramme visuel Cxx2) Vol de PAN + DFV + Cxx2 (CVV2/CVC2/CBN2): achat en VAD classique Vol de piste ISO2 complète : contrefaçon utilisable en paiement sur un terminal non EMV Vol de piste ISO2 complète + PIN : contrefaçon utilisable en paiement et en retrait sur un terminal ou GAB Copyright Galitt 7

Sommaire 1. Introduction 2. Présentation de la norme PCI DSS 3. Démarche de mise en conformité Copyright Galitt 8

Présentation de la norme PCI DSS DEFINITION PCIDSSestunenormedepréventiondontl objectifestdelimiterlafraudeparcompromissionde données du titulaire et/ou des données d identification ORIGINE A l initiative de 5 réseaux cartes internationaux Élaboration d un ensemble de standards Copyright Galitt 9

Présentation de la norme PCI DSS DONNEES CONCERNEES Les données du titulaire et les données d identification sensibles sont définies comme suit L équivalent des données bande magnétique sont également contenues dans la puce Bande magnétique (données piste 1 et 2 parmi lesquelles le bloc PIN - Personal Identification Number Version chiffrée du code PIN et le code service) Logo Banque Numéro de compte primaire (PAN) 123 Nom du titulaire de la carte Date d expiration Cryptogramme visuel (CAV2/CVC2/CVV2/CID) Données du titulaire de cartes: Données d'authentification sensibles : Le numéro de compte primaire(pan) Lenomdutitulairedelacarte La date d expiration Le code service Les données de bande magnétique complète ou leur équivalent sur une puce Le CAV2/CVC2/CVV2/CID (achat en VAD) Les Codes/blocs PIN Copyright Galitt 10

Présentation de la norme PCI DSS QUI EST CONCERNE? PCI DSS s adresse à toutes les entités qui stockent, traitent, ou transmettent des données cartes: Commerçants accepteurs de cartes d un ou plusieurs réseaux émetteurs Banques (acquéreur et émetteur) Fournisseurs de services de paiement (PSP) La norme PCI DSS sert de référence aux conditions techniques et opérationnelles conçues pour protéger les données des titulaires de carte. Elle est articulée autour de 6 thèmes et 12 conditions Création et gestion d un réseau et d un système sécurisés Protection des données du titulaire Gestion d un programme de gestion des vulnérabilités Mise en œuvre de mesures de contrôle d accès strictes Surveillance et tests réguliers des réseaux Gestion d une politique de sécurité des informations 1. Installer et gérer une configuration de pare-feu pour protéger les données du titulaire 2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur 3. Protéger les données de titulaire de carte stockées 4. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur 5. Utiliser des logiciels antivirus et les mettre à jour régulièrement 6. Développer et gérer des systèmes et des applications sécurisés 7. Restreindre l'accès aux données de titulaire de carte aux seuls individus qui doivent les connaître 8. Affecter un identifiant unique à chaque utilisateur d'ordinateur 9. Restreindre l'accès physique aux données de titulaire de carte 10. Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données de titulaire de carte 11. Tester régulièrement les processus et les systèmes de sécurité 12. Maintenir une politique qui adresse les informations de sécurité pour l ensemble du personnel Copyright Galitt 11

Présentation de la norme PCI DSS ACTIONS REQUISES PAR LES RESEAUX INTERNATIONAUX NIVEAU CLASSIFICATION DES COMMERÇANTS OBLIGATIONS PESANT SUR LES COMMERÇANTS 1 2 3 Tout commerce traitant plus de 6 millions de transactions VISA ou MASTERCARD* par an Tout commerce ayant déjà été compromis Tout commerce identifié de niveau 1 dans un système concurrent Tout commerce classé par le réseau, à sa discrétion Tout commerce traitant de 1 à 6 millions de transactions VISA ou MASTERCARD par an Tout commerce identifié de niveau 2 dans un système concurrent Tout commerce pratiquant le E-commerce traitant de 20 000 à 1 million de transactions VISA ou MASTERCARD par an Tout commerce identifié de niveau 3 dans un système concurrent Audit annuel par un QSA ou auditeur interne agréé par le PCI-SSC Scan de vulnérabilité réseau trimestriel par un ASV, et après toute modification significative des réseaux par un ASV ou une personne interne à la société Tests d intrusion interne et externe annuels par un ASV, QSA ou une personne interne qualifiée Dérogation : déclassificationen niveau 2 si 95% des transactions EMV Questionnaire annuel d auto-évaluation rempli par un QSA ou un auditeur interne agréé par le PCI SSC (ISA) OU audit annuel par un QSA certifié par le PCI SSC Scan de vulnérabilité réseau trimestriel par un ASV, et après toute modification significative des réseaux par un ASV ou une personne interne à la société Tests d intrusion interne et externe annuels (éligible au SAQ D uniquement) Questionnaire annuel d'auto-évaluation Scan de vulnérabilité réseau trimestriel par un ASV, et après toute modification significative des réseaux par un ASV ou une personne interne à la société Dérogation : Dispense de scan pour les commerçants utilisant les solutions certifiées. 4 Tout autre commerce Questionnaire d'auto-évaluation annuel (optionnel) Scan réseau trimestriel par un ASV (optionnel) Veuillez noter : Commerçants multi bancaires : le nombre de transactions pris en compte est basé sur la totalité des transactions VISA ou MasterCard pour l ensemble des banques acquéreurs. Les transactions domestiques (ex. Carte Bancaire) réalisées par carte VISA ou MasterCard «co-brandée» (ex : CB + VISA) doivent être prises en compte dans la comptabilisation des transactions. Copyright Galitt 12

Sommaire 1. Introduction 2. Présentation de la norme PCI DSS 3. Démarche de mise en conformité Copyright Galitt 13

Démarche de mise en conformité La mise en conformité à la norme PCI DSS implique des enjeux non seulement TECHNIQUES, mais aussi ORGANISATIONNELSet pouvant impacter les processus METIERS Le succès de ce projet pour votre entreprise dépend de l implication / participation de nombreuses fonctions dans une démarche qui convient à la fois au commerçant et à sa banque Plateformes RH Equipes monétiques Référents Contributeurs SYSTÈMES METIERS ORGANISATION Gouvernance du projet Chefs de projet Direction Compta Achats Réseaux > Facteur clef de réussite Systèmes Equipes DSI Finance Données Inclure ces aspects dans le projet global Applications Copyright Galitt 14

Démarche de mise en conformité La mise en conformité à la norme PCI DSS doit être perçue en tant que projet global qui nécessitera certains investissements mais vous apportera de nombreux avantages BENEFICES DE LA MISE EN CONFORMITE PRINCIPAUX OBSTACLES X Renforcement de l image sécuritaire auprès des partenaires, de la clientèle et du marché Assurance vis-à-vis des risques : perte d'exploitation, d image, fraude, procès, coût de réémission de cartes... Opportunité d une intégration avec d autres initiatives de mise en conformité RSSI o Tirer parti des canaux existants o Intégrer le projet dans des outils ou démarches existantes o Améliorer le retour sur investissement du projet Complexitéde la délimitation du périmètre d application de la norme Définition d un cadre de gouvernance dynamique Soutien budgétaire de sa propre direction, voire de sa direction générale, pour mener les chantiers nécessaires. Maintien de la conformité chaque année. Interférencesdans les projets de l entreprise (priorités souvent données aux actions strictement orientées business) La certification est une démarche vertueuse car elle permet en cas de compromission d apporter toutes les justifications nécessaires aux réseaux cartes (GIE CB, VISA, MasterCard, ) Copyright Galitt 15

Démarche de mise en conformité Galitt peut vous accompagner sur les grandes phases de la démarche de mise en conformité PRÉPARATION CERTIFICATION REMÉDIATION Gestion de projets Définition du périmètre d application Définition de la stratégie de mise en conformité Etudes de cadrage et élaboration de cartographies Etat des lieux & analyse d écarts Audits de certification (commerçants de niveau 1) Sensibilisation des acteurs : Formation «Mise en œuvre de PCI» Accompagnement (résolution des non conformités : processus, technologies ) Aide au remplissage du SAQ (commerçants de niveau 2, 3 et 4) Réalisation de scans de vulnérabilité à partir d une plateforme «ASV» Copyright Galitt 16

Contact Galitt Merci de votre attention! Contacts Rémi GITZINGER Directeur de Mission +33 1 77 70 28 59 r.gitzinger@galitt.com Bruno KOVACS Manager Conseil & PCI QSA +33 1 77 70 28 12 b.kovacs@galitt.com www.galitt.com Copyright Galitt 17

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back