3 rd European PCI DSS Roadshow Paris, Ambassade d Irlande, 2 juillet 2013 Mathieu.gorge@vigitrust.com www.vigitrust.com Friday, 05 July 2013 (c) VigiTrust 2003-2013 1
L agendad aujourd hui Début Fin Détails Intervenant(s) 08:30 09:00 09:00 9:15 9:15 09:35 Inscription Note de bienvenue L évolution de PCI DSS Impact en France VigiTrust & Partnenaires Mr L Ambassadeur d Irlande en France, Paul Kavanagh Mathieu Gorge, CEO, VigiTrust 09:35 10:10 Pour une approche cost-effective de PCI 10:10 10:30 Présentation des conclusions du rapport Verizon Data Breach Investigation 10:30 10:50 Pause Gabriel Leperlier, PCI DSS Verizon Nicolas Villatte, EMEA Labs Manager, Verizon Risk Team Thé-Café-Patisseries 10:50 11:15 PCI DSS - Stockage&gestion des données Jean-Marc Rietsch, Président, FedISA 11:15 11:50 PCI DSS est-elle une obligation vis à vis de la Loi Informatique et Liberté? 11:50 12:20 Retour D expérience : PCI DSS dans le Monde Hôtelier 12:20 12:40 Mise en Place d une stratégie de mise en conformité PCI DSS meilleures pratiques 12.40 12:55 Session Questions-Réponses Isabelle Renard, Avocat Associée, Cabinet Racine Marie-Christine Vittet, Directrice du Programme PCI-DSS, Groupe ACCOR Mathieu Gorge, CEO VigiTrust Tous Intervenants 12.55 13.00 Conclusion VigiTrust (c) VigiTrust 2003-2013
Mathieu Gorge CEO & Founder, VigiTrust European PCI DSS Roadshow (Disclaimer: Outside Reviewer) Friday, 05 July 2013 (c) VigiTrust 2003-2013
About VigiTrust Compliance as a Service 1 2 3 SECURITY COMPLIANCE, SECURITY & TRAINING & READINESS & GRC elearning VALIDATION SERVICES Online training for management and staff Comprehensive online programs to achieve and maintain compliance Professional services to enable and support your compliance process The 5 Pillars of Security Framework Physical Security; People Security; Data Security; IT Security; Crisis Management
Existing elearning Portfolio US esec Portfolio US Existing EMEA esec Portfolio EMEA - Existing HIPAA NERC-CIP 101 MA 201 Understanding Data Breach Notification Requirements Data Protection Fundamentals Credit Card Security Introduction to PCI DSS Banking & Fraud Green IT & Security ISO IT & SDLC Security During M&A Process GEN. esec Portfolio Generic Training - Existing TECH. esec Portfolio Technical Training - Existing Info Security 101 Mobility & Security Security of Social Networks Cloud Computing & Security 101 Physical Security for Good Logical Security Secure Coding for PCI DSS Introduction to Secure Printing Log Management & Security Wireless Security
3 rd Edition of the PCI DSS European Roadshow Friday, 05 July 2013 (c) VigiTrust 2003-2013 6
l Atelier PCI DSS 1 Journée L atelier permet aux entreprises de comprendre : Les 4 niveaux pour les commerçants et les prestataires de service et quel est celui qui vous correspond 12 exigences prévues par les normes et comment elles s appliquent à votre entreprise Les exigences et contrôles liés à la norme PCI DSS (formation, solutions techniques, politiques et procédures) Comment former une équipe de PCI DSS Processus de conformité et de créativité Comment concevoir un plan de mise en conformité. Comment travailler en collaboration avec QSAs Comment mettre en place un programme continu de mise en conformité de la norme PCI DSS Ce qu il faut faire et ne pas faire pour la mise en conformité de la norme PCI DSS. (c) VigiTrust 2003-2012
PCI DSS Le contexte en France (c) VigiTrust 2003-2013
Le secteur des paiements -Définition La sécurité des paiements implique la gestion et la sécurisation des données de paiement à tous les niveaux de l entreprise : de l acceptation du paiement via la détection de la fraude, la réalisation de l opération, le service client, le funding ou la réconciliation des paiements et la sauvegarde de la transaction. La présence des données de paiement à toutes ces étapes met l entreprise en danger, que ces donnees soient sur les systèmes informatiques de l entreprise, les réseaux ou qu elles soient visibles par le personnel. La présence des données de paiement met l entreprise en danger. Vous devez donc parfaitement maîtriser le fonctionnement de votre organisme et les flux de données de paiement. (c) VigiTrust 2003-2013
L importancede la norme PCI DSSpour votre entreprise. Mémo Les menaces encourues par votre entreprise en cas de non conformité à la norme. Augmentation du nombre de fraudes Préjudice subi par votre entreprise Renouvellement des cartes des (le coût en incombe au commerçant) Consommateur: perte de confiance Mauvaise publicité pour votre entreprise : Montrée du doigt Atteinte à votre image de marque et à votre réputation Intérêt législatif menace d une intervention et réglementation gouvernementale : Certains états des USA ont déjà introduit la norme PCI DSS dans la loi Cette norme deviendra une loi fédérale américaine dans 5 ans L Europe suivra - Une nouvelle réglementation européenne est à noter (c) VigiTrust 2003-2013
2011-12 Une période mouvementée pour PCI DSS (1) Les entreprises U.S. sont toujours les plus conformes à PCI DSS Mais l Europe avance à grands pas Nomination de Jeremy King comme European Director Une grande différence déjà notée en Europe Focus Spécifique sur des secteurs Verticaux Hôtels Casinos PCI DSS nouvelle version publiéeen octobre2010 et implementée depuis janvier 2011 PCI DSS Lifecycle Update Changements ou manque de changements en v2.0
2011-12 Une période mouvementée pour PCI DSS (2) Alignementde PA-DSS PTS avec PCI DSS Considérations QSA Beaucoup de nouveaux QSAs depuis 2010 Les cas Heartland & Global Payments Le QSA avaitattestéde ma conformité QA program est-il efficace? Sensibilisation des utilisateurs Recommandations elearning& tests QSA se focalisent de plus en plus sur les politiques et procédures en sécurité Adoption des technologies de Tokenization & Virtualization, Point to Point Encryption Cloud & Mobility: New Guidance Documents
PCI DSS 360º France POs -trèspeupar rapport à la tailledu marché QSAs 8 pour l instant PCI DSS chez les professionnels& associations de sécurité Clusif ISACA ISSA Que font les banques? Des programmes en cours de développement Mais attention au programmes de validation pure Il faut éduquer les marchands avant qu ils ne puissent valider leur conformité Autres considérations sur ce marché CNIL Visa Europe met la pression en France! Franchises
PCI DSS Lifecycle (c) VigiTrust 2003-2012
Gabriel Leperlier Verizon
Nicolas Villatte Verizon Risk Team
Jean-Marc Rietsch FedISA
Isabelle Renard Cabinet Racine
Marie-Christine Vittet Groupe ACCOR
Mise en Place d une stratégie de mise en conformité PCI DSS Meilleures Pratiques (c) VigiTrust 2003-2013
PCI DSS Structure 1. Install & maintain a firewall configuration to protect data Do NOT use vendor supplied defaults for passwords or other security parameter Build & Maintain a Secure Network 12 Requirements of PCI DSS 2. 3. 4. 5. Protect stored data Encrypt the transmission of cardholder data Use & regularly update anti-virus software Develop & maintain secure systems & applications Restrict access to data by business need-to-know Assign a unique ID to each person with computer access Restrict physical access to cardholder data Track & monitor ALL access to network resources & cardholder data Regularly test security systems & processes Protect Cardholder data Maintain a Vulnerability Management Programme Implement strong Access Control Measures Regularly monitor & Test Networks 6. Maintain a policy that addresses information security Maintain an Information Security Policy
Définition du Champ d Application PCI DSS Scope your network s perimeter to determine the ecosystem s size Traditional Perimeter either in or out of the firewall Cloud Private / Public / Hybrid Wireless networks also part of your ecosystem Mobile & I/O devices are also part of your ecosystem Must be referenced in your asset inventory Diagrams are key Must cover your WHOLE ecosystem Must be kept up to date Flow of data between all ecosystem sub-areas must be clear Know where the data comes from, where it might transit through, where it may be stored/copied, where it ends up (c) VigiTrust 2003-2012
Comprendre les contrôles de la norme PCI DSS Sont accessibles via : Risk based approach Prioritized approach Les contrôles de la norme PCI DSS peuvent être répertoriés comme suit : Contrôles techniques Politiques et procédures Mise en garde et formation des usagers Les contrôles peuvent contenir plusieurs points de contrôle Un mélange de contrôle(s) technique(s) et de politique/procédure Certains contrôles nécessitent par définition des tâches répétitives : Scans trimestriels, Analyses de Logs, mise à jour de politiques de sécurité Plans de formation annuels (c) VigiTrust 2003-2013
Understanding Your Ecosystem (c) VigiTrust 2003-2013
(c) VigiTrust 2003-2013
Exigences PCI DSS en matière Documentation Diagrams and Data Flows Ecosystem Diagrams Data Flow Diagrams Network Diagrams Asset Inventory Acceptable Usage Policy for staff Access Control Policy Firewall Rules and Business Justification for Rules AV, Anti-Spam and Intrusion Detection-Prevention Policy Incident Response Plan Hardening, Log and Patch Management Policy Back-Up and Media Storage Policy Security Assessment, Application Security & Vulnerability Management Policy Management of Third Parties Policy (c) VigiTrust 2003-2013
Solutions Techniques exigées par PCI DSS Anti-Virus / Anti-Spam Firewalls & VPNs IDS/IPS Web Filtering / Mail Filtering IM monitoring File Integrity SIEM Central Log solutions Asset Management PSD Mgt/Control Encryption Onsite vs Managed Services Vs Cloud services? (c) VigiTrust 2003-2012
Security & GRC Process SOX ISO 27000 series EU Data Protection PCI DSS HIPAA Others Regulatory, Legal & Corporate Governance Frameworks Policies & Procedures Education, Security & Awareness Self- Governed Pre- Assessment Remediation Work Network & Hardware Security Application Security Official Assessors & Auditors Specialized Skills Transfer Step 1 Step 2 Step 3 Step 5 Step 4 (c) VigiTrust 2003-2013
5 Pillars of Security Framework Chief Security Officer Project leader for all Security Related Matters PHYS. Sec PPL Sec DATA Sec INFRA Sec CRISIS Mgt PHYSICAL SECURITY PEOPLE SECURITY DATA SECURITY INFRASTRUCTURE SECURITY CRISIS MANAGEMENT Access to Building Physical Assets IT Hardware Vehicle Fleet Permanent & Contract Staff Partners 3 rd Party Employees Visitors Special Events Security Trade Secrets Employee Data Database Customer Data Networks Remote Sites Remote Users Application Security Website Intranet Documentation & Work Procedures Emergency Response Plans Business Continuity Plans Disaster Recovery Plans Operations Manager, Security Staff HR, Security Staff HR, IT Team & Manager IT Team & Manager Operations Manager, IT Team, HR Best Practice Security Framework for Enterprise
Les 5 meilleurs conseils pour bien travailler avec les QSAs (1) Comprendre le processus d accréditation à la norme avant que l évaluateur ait à vous l expliquer. 1. Formation Assurez-vous que votre équipe de PCI DSS organes décisionnels, DRH, IT, le personnel spécialisé maîtrise parfaitement les exigences de la norme et le mécanisme de validation qui correspond à votre entreprise 2. Pre-assessment Votre entreprise doit effectuer elle-même un audit afin de déterminer son propre niveau de sécurité actuel par rapport aux contrôles demandés par la norme 3. Phase de remédiation Afin d être tout à fait prêt pour la validation de la norme, votre entreprise aura besoin de: (a) politiques et procédures (b) solutions techniques (c) session de sensibilisation pour les utilisateurs C est la phase la plus longue car elle implique de corriger voire de mettre en œuvre des changements dans votre réseau (par exemple segmenter votre réseau afin de réduire le champ du PCI DSS). Ceci nécessite un certain budget, du temps et du temps homme. 4. Le QSA fait le PCI DSS Assessment certifiant 5. Conformité continue Vous devez mettre en place un processafin de vous assurer que vous êtes toujours en conformité. Ceci implique des audits internes réguliers, une mise à jour des solutions techniques, des scans et des tests d intrusion, des politiques et procédures actualisées, former les nouvelles recrues et reformer le personnel en place. (c) VigiTrust 2003-2012
Les 5 meilleurs conseils pour bien travailler avec les QSAs (2) Pensez à diviser l audit en plusieurs phases, chacune menée par un évaluateur différent. Ne perdez pas de vue l enjeu : protéger les données des détenteurs de cartes de crédit. 1. Suivre une approche structurée pour votre mise en conformité avec PCI DSS. Toute évaluation PCI DSS commence par une analyse de failles entre vos paramètres de sécurité actuels et ceux nécessaires à la norme. Ensuite vient la phase de remédiation au cours de laquelle l entreprise réduit les écarts et la mise en conformité peut commencer. 2. Comprendre qu il est certainement bénéfique de confier toutes les étapes de la mise en conformité à une seule entreprise de QSA mais que ce n est pourtant pas le meilleur moyen de mettreenplacelanormepcidss. Employer un évaluateur différent pour faire l analyse de failles, implementer les actions correctrices et faire l assessment officiel assurera une évaluation plus rigoureuse, plus objective et moins complaisante que si la même personne gère toutes les phases. La mise en conformité de la norme PCI DSS doit être un processus continu. Il ne faut jamais oublier que la finalité de cette évaluation est de sécuriser les données des possesseurs de carte de crédit. (c) VigiTrust 2003-2012
La création et le suivi des équipes PCI DSS Une équipe de PCI DSS efficace est essentielle pour une mise en conformité du PCI réussie en terme de plus grande sensibilisation à la sécurité, de l application d une politique de sécurité et de la mise en œuvre de solutions techniques. La première étape de la création d une équipe de projet est de décider quels membres du personnel en feront partie. Human Resources IT In-scope employees QuidoitfairepartiedemonéquipePCIDSS? A priori quiconque entrant dans le scope PCI DSS peut faire partie de cette équipe. Une équipe de projet PCI DSS est généralement composée de: Development PCI Project Manager /Security Officer Fraud Equipe informatique / directeur informatique Equipe du développement Equipe des ressources humaines Gestion des opérations Équipe de sécurité Operations (c) VigiTrust 2003-2012
Building & Maintaining PCI DSS Teams (3) (c) VigiTrust 2003-2012
Scoping PCI DSS & ISO 27001 Un choix personnel du champ d application opposé à celui de l environnement des données de porteurs de cartes qui, lui, est imposé dans le PCI DSS. Travail de documentation Req 12 of PCI DSS should be req 1 Mélange des contrôles techniques, des politiques, procédures et formations Mélange des contrôles techniques, des politiques, procédures et formations Les mécanismes de validation sont manifestement différents, cependant L utilisation de la norme ISO 27k dans le secteur du paiement permettra une mise en conformité avec la norme PCI DSS Il convient de prouver aux QSAs et aux? Qu une évaluation des risques a été faite et qu un plan de traitement des risques est en place. Friday, 05 July 2013 (c) VigiTrust 2003-2012 36
PCI DSS & ISO 27001 (2) Critères de comparaison ISO27k PCI DSS Scope Définie par la norme Données du possesseur de carte Choix des contrôles Large Très dirigiste Flexibilité en terme d implementation des contrôles Grande Faible Gestion du statut de conformité Très pointue et bien documentée Très rigide et incomplète (c) VigiTrust 2003-2012
Processus de certification Le processus d accréditation peut être pénible Vous pouvez être amené à travailler avec des QSA Vous devez investir temps et argent dans les technologies de sécurité, politiques et procédures et formation des utilisateurs Pour la plupart des entreprises, il s agira de moderniser une stratégie de sécurité existante pour la faire entrer dans le cadre de la norme PCI DSS Time to Accreditation concept (TTA) Coût et rendement des investissements (c) VigiTrust 2003-2013
Les meilleures pratiques Atteinte et suivi de la conformité avec la norme PCI DSS Par quoi commencer? Souvenez-vous des cinq étapes du processus d accréditation Formation Evaluation préalable (interne) Remédiation Evaluation réelle Conformité continue Mélange des 3 éléments clés Politiques et procédures Solutions techniques Formation & sensibilisation Et ensuite? Politiques et procédures : établir une liste des P&P en place dans votre entreprise Solutions techniques : mettre à jour votre diagramme de réseau et du pen test Formation à la sensibilisation : identifier les employés concernés et commencer le processus de formation (c) VigiTrust 2003-2012
3 rd European PCI DSS Roadshow Paris, Ambassade d Irlande, 2 juillet 2013 Mathieu.gorge@vigitrust.com www.vigitrust.com Friday, 05 July 2013 (c) VigiTrust 2003-2013 40
L application de la norme dans le secteur Hôtelier: enjeux, défis spécifiques aux hôtels, étude de cas. (c) VigiTrust 2003-2013
Les enjeux et défis spécifiques aux hôtels (1) Le secteur a un besoin essentiel d accès aux données de cartes de crédit Le monde de l hôtellerie s appuie beaucoup sur les paiements par cartes de crédits. En effet cela permet aux clients de faire leur réservation, de régler à l avance, ainsi que de payer pour les services supplémentaires proposés par l hôtel. L application de la norme dans le secteur Hôtelier est accentuée par les problèmes de fraudes dans le secteur Volume croissant de paiement par cartes Peu ou pas de focus sur la sécurité informatique et réseaux Mélange d employés en CDI, CDD et de contracteurs Menaces directement liées à l utilisation du WiFi Nombre et complexité des systèmes typiquement utilisés par les chaines (QG, filliales, franchises) (c) VigiTrust 2003-2013
Les enjeux et défis spécifiques aux hôtels (2) Changements de personel très fréquent Difficile et cher à former Acceptent souvent encore des paiements papiers Les employés ecrivent ou photocopient les CB Acceptent souvent que le client envoie ses données de cartes par mail le serveur mail est alors pris en compte dans le champ d application de PCI DSS Doit vraiment avoir accès aux cartes pour guarantir les paiements et les services supplémentaires bars, spas, car valet service, parking, etc. Échange régulier de données de paiements entre entités La securité physique d acces aux POS est a equilibrer avec le flux des employés et clients (c) VigiTrust 2003-2013
Groupes LinkedIn et autres
Zoom sur les groupements & associations de commerçants Les banques acquéreuses Les associations commerciales Les fédérations Les franchiseurs Une organisation qui chapeaute les commerçants en vue de les encadrer / conseiller Les programmes de mise en conformité de la norme PCI au Europe Développé par une banque acquéreuse, un service de traitement des paiements ou bien un regroupement de commerçants ou une association Communication aux commerçants sur la mise en conformité de la norme PCI DSS Mise en demeure de se conformer à la norme Avec des amendes possibles Ceci mène donc à une aide à la mise en conformité Les dépenses peuvent être à la charge du commerçant ou de l organisme qui gère le programme. (c) VigiTrust 2003-2013