PCI DSS un retour d experience

Documents pareils
IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

Solutions IBM Payment Card Industry (PCI) pour établir et maintenir la sécurité des données des porteurs de cartes de paiement

PCI-DSS : un standard contraignant?!

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS?

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Formations certifiantes dans le domaine du paiement électronique

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

Norme PCI Septembre La norme PCI : transformer une contrainte en opportunité

Foire aux questions (FAQ)

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014

IBM MobileFirst Security L approche d IBM pour la sécurité des terminaux mobiles. Serge RICHARD - CISSP Security Solution Architect, Security Systems

Nouveau Programme Formation Monétique

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

La Sécurité des Données en Environnement DataCenter

Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité

Questionnaire aux entreprises

MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

SOA, 2 ans après où en est-on?

Que peut m apporter la gestion des identités et des accès dans le domaine de la conformité PCI?

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

A PROPOS DE LANexpert

en SCÈNE RATIONAL Rational Démonstration SDP : automatisation de la chaîne de développement Samira BATAOUCHE sbataouche@fr.ibm.com

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

EMV, S.E.T et 3D Secure

Site Web e-rcs GUIDE UTILISATEUR SAFERPAY V1.5

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Une protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

PCI (Payment Card Industry) Data Security Standard

ITIL et les outils. À l ordre du jour. senté par Johanne L HeureuxL. Consultante. Mise en contexte Quelques exemples.

L offre IBM Software autour de la valeur métier

Formations qualifiantes dans le domaine du paiement électronique

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

Infrastructure Management

Mise en œuvre et sécurisation d une plateforme monétique pédagogique

Cycle de conférences sur Cloud Computinget Virtualisation. Cloud Computing et Sécurité Pascal Sauliere, Architecte, Microsoft France

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Gestion des identités et des accès pour garantir la conformité et réduire les risques

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Indicateur et tableau de bord

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

IBM Tivoli Compliance Insight Manager

La sécurité IT - Une précaution vitale pour votre entreprise

Audits de sécurité, supervision en continu Renaud Deraison

Prolival Cloud Services

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

EXALOGIC ELASTIC CLOUD MANAGEMENT

Vers un nouveau modèle de sécurisation

Cloud Computing Stratégie IBM France

Vos outils de messagerie dans le Cloud avec LotusLive Notes. Session LOT12 Xavier Défossez - Lotus Technical Sales

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.

ISO/CEI 27001:2005 ISMS -Information Security Management System

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

Catalogue de Formation

BMC Middleware Management

Présentation de la démarche : ITrust et IKare by ITrust

S PA : les enjeux des nouveaux moyens de paiement européens. Délégation Alsace - Lorraine Conférence du mardi 23 novembre à Nancy

Lieberman Software Corporation

Excellence. Technicité. Sagesse

Rationalité et irrationalité dans le gestion des risques informatiques

Être conforme à la norme PCI. OUI, c est possible!

Tufin Orchestration Suite

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d application de paiement (PA-DSS)

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Un élément de la gouvernance du système d information «La gestion des logiciels, transparence et maîtrise du budget»

Graphes d attaques Une exemple d usage des graphes d attaques pour l évaluation dynamique des risques en Cyber Sécurité

Vers une meilleure gouvernance des plateformes d ingénierie

FOURNIR UN SERVICE DE BASE DE DONNÉES FLEXIBLE. Database as a Service (DBaaS)

GESTION DU CYCLE DE VIE. Albert Amar Avant-vente Middleware


Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Rationalisation et évolution des assets, licences et contrats informatiques. Philippe ASTIER Software Technical Professionals

RSA Information Risk Management Adapter la sécurité aux besoins métiers. Bernard Montel Directeur Technique France

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Sécurité et Consumérisation de l IT dans l'entreprise

Partner Business School

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité

Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA. à la norme PCI-DSS, level 1

IBM Security QRadar Version Guide de configuration de l'évaluation de la vulnérabilité

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

La renaissance de la PKI L état de l art en 2006

Présentation ITS Interactive Transaction Solutions

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

Maîtrisez la modernisation de votre patrimoine applicatif

Evoluez au rythme de la technologie

Transcription:

PCI DSS un retour d experience Jean-Marc Darées, IT architect PSSC Customer Center, NTC France jmdarees@fr.ibm.com EUROPE IOT

Agenda Le standard PCI Un réveil soudain Retours d Expérience IBM PCI DSS Un zoom sur les conditions 3 et 4 : Protection des données des titulaires de cartes de crédit IBM une offre intégrée pour répondre à PCI. 2

PCI Payment Card Industry Data Security Standard. Les données de la carte bancaire sont devenues sensibles car elle permettent de faire un paiement sur internet sans présence physique de la carte. Les fraudeurs cherchent à capturer ces numéros en attaquant les systèmes d information des acteurs qui stockent ces données. Le programme PCI DSS vise à améliorer la sécurité physique et logique des systèmes d information en demandant aux acteurs de respecter des bonnes pratiques de sécurité. 3

Rapports 2012 sur la Fraude à la Carte Bancaire Un coût de la perte de données en hausse pour les entreprises françaises (+12%), le coût moyen par données compromises est passé de 98 euros en 2010 à 122 euros en 2011 Internet reste le canal avec la hausse la plus importante (61% du montant de la fraude pour l ensemble des canaux de paiements à distance) Les secteurs les plus vulnérables restent les voyages, transports, commerce et télécommunications avec 70% de la fraude sur Internet Les fraudeurs de la zone SEPA ont ciblé les ATMs (Automatic Teller Machine) et les points de vente en lieu et place des fraudes sur les canaux carte non présente (Internet, MOTO ) La contrefaçon de cartes reste la principale source des fraudes sur les ATMs et des points de ventes avec 344 millions d Euros en 2010, et la première source de fraude liée à la contrefaçon Les entreprises victimes de fraudes n apprennent que très tardivement qu elles ont fait l objet d une compromission de données 4

A qui s applique la norme? PCI DSS s adresse à tous les acteurs qui capturent, transportent, stockent et/ou traitent des données de cartes bancaires. Les commerçants de proximité, les marchands sur internet, les réseaux de transport, les centres d appels, les banques, les émetteurs de cartes font partie des acteurs concernés par PCI DSS.. 5 11-déc.-12

Les données a protéger 6

Directives relatives à la norme PCI DSS Création et gestion d un réseau sécurisé Condition 1 : Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes Condition 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur Protection des données des titulaires de cartes de crédit Condition 3 : Protéger les données de titulaires de cartes stockées Condition 4 : Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts Gestion d un programme de gestion des vulnérabilités Condition 5 : Utiliser des logiciels ou des programmes antivirus et les mettre à jour régulièrement Condition 6 : Développer et gérer des systèmes et des applications sécurisés Mise en œuvre de mesures de contrôle d accès strictes Condition 7 : Restreindre l'accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître Condition 8 : Affecter un ID unique à chaque utilisateur d ordinateur Condition 9 : Restreindre l accès physique aux données des titulaires de cartes Surveillance et test réguliers des réseaux Condition 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes Condition 11 : Tester régulièrement les processus et les systèmes de sécurité Gestion d une politique de sécurité des informations Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel 7

La France et l Europe en retard? Les banques européennes sont protégées par le système des cartes à puce EMV En France, la banque acquéreuse ne traite pas directement avec VISA ou Mastercard. Lorsque la banque émettrice de la carte est française, la transaction est traitée par le réseau des e-rsb sans passer par le réseau VISA ou Mastercard. 8

Un réveil soudain Les clients et les prospects étrangers demandent "d'être PCI DSS". PCI devient une condition à la signature de contrats de partenariat. Les sociétés Visa, MasterCard se font très pressantes. 9

Un changement profond pas toujours compris PCI n est pas seulement un datacenter certifié PCI DSS avec l'installation de quelques logiciels de sécurité pci C est :Une compliance pluri-disciplinaire un datacenter certifié PCI DSS des contraintes d'implémentations techniques des logiciels de sécurité. Mais surtout la mise en place des processus organisationnels, la rédaction de documentation précise et l'audit régulier des systèmes. 10

Services Professionnels PCI DSS d IBM Les Services Professionnels PCI DSS d IBM permettent aux entreprises d établir un environnement de confiance pour gérer l ensemble des exigences PCI DSS de bout en bout, et ainsi d atténuer les risques de fraudes. Plan Design Implement Operate Monitor Identification des enjeux métier et des objectifs de sécurité Définition des politiques et des procédures PCI DSS Sensibilisation et retour d expérience Gestion de la conformité PCI DSS via les services gérés Evaluation des processus d amélioration Définition et réduction du périmètre PCI DSS Développement d une stratégie Évaluation de l état actuel, analyse des écarts 11 Définition des rôles et des responsabilités (RACI, SOD pour PCI) Définition de plan de tests de la conformité Architecture de sécurité PCI DSS Documentation des politiques et des procédures PCI DSS Mise en œuvre des contrôles et mesures compensatoires Externalisation stratégique et sécurisation du Cloud Performance des pratiques PCI DSS Audit récurrents PCI DSS, PA-DSS 11

Un exemple d architecture: Protection des données cartes de crédit environnement bancaire Question comment realiser les conditions 3 et 4 en environnement bancaire mainframe? Condition 3 : Protéger les données de titulaires de cartes stockées Condition 4 : Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts 12

Partenaires : GIE CB (ersb), VISA, Datapower XG 45 Zone de confiance PCI DSS Utilisateurs : accès administrateurs (systèmes, DBA, outils, pilotage, applications ) et utilisateurs (gestionnaires, production ) Communication chiffrée (TVLS v1 / SSLV3) pour réduction du périmètre PCI DSS Référentiel porteur Référentiel automate Compensation Personnalisation Relevés de comptes IBM Data Access Control and Monitoring Gestion et Surveillance RACF des zsecure accès PANs Qradar SEIM Audit RACF et conformité Guardium Alertes Com Sever temps réels ISS PANs conservés en BDD ou fichiers SI bancaire (PANs désensibilisés : token ou troncature) Com Sever zos PANs chiffrés en BDD PANs chiffrés fichiers Gestion et stockage des clés (PCI DSS 3.5.x, 3.6.x) DKMS Guardium Encryption Expert Chiffrement PANs Guardium Data Redaction Guardium Data Encryption For DB2 Encryption facility PANs tronqués Troncature Guardium PANs format PCI DSS Data et Redaction GIE bulletin 13 Conservation des PANs désénsibilisés (fichiers journals, logs applicatives...) PANs tokenisés Zone de confiance PCI DSS 13

IBM une offre integrée pour Répondre à PCI The products outlined in this chart highlight IBM capabilities. IBM ISS Products & Services IBM Q1 Labs (SIEM) IBM Proventia Network Anomaly Detection System (ADS) IBM Rational AppScan Maintain an Information Security Policy IBM OpenPages IBM Q1 Labs (SIEM) Build and Maintain a Secure Network IBM Proventia Server Intrusion Prevention System (IPS) IBM Proventia Network (IPS) IBM Tivoli Access Manager IBM Tivoli Endpoint manager (MFS) IBM Global Services IBM Q1 Labs (SIEM) IBM Proventia Server IPS Monitor and IBM Digital Video Surveillance IBM Biometric Access Control Test Networks Data Protect Cardholder IBM Storage Manager IBM Proventia Server IPS IBM Tivoli Key Lifecycle Manager IBM PKI Services IBM System z Encryption Solutions IBM IMS and DB2 Encryption Tool Implement Strong IBM Tivoli Identity Manager IBM Tivoli Federated Identity Manager Access Control Measures Maintain a Vulnerability Management Program IBM Data Encryption of IMS and DB2 IBM System z network encryption DataPower XML Security Gateway Proventia Network Intrusion Prevention System 14 IBM Tivoli Access Manager IBM Tivoli zsecure Admin IBM Q1 Labs (SIEM) IBM Software Development Platform IBM Tivoli CCMBD IBM Rational AppScan IBM Systems and Storage IBM Proventia Desktop Endpoint Security IBM Proventia Network Enterprise 2012 Scanner IBM Corporation

15

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back