L impact de PCI-DSS sur les différents acteurs du marché. Marchands, PSP, Banques quel est-il?



Documents pareils
PCI-DSS : un standard contraignant?!

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

exemple d examen ITMP.FR

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

L ASSURANCE QUALITÉ ET SÉCURITÉ DE VOTRE SYSTÈME D INFORMATION

3 minutes. relation client. avec Orange Consulting. pour tout savoir sur la. construisez et pilotez votre relation client

Vector Security Consulting S.A

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

D ITIL à D ISO 20000, une démarche complémentaire

Recommandations sur les mutualisations ISO ISO & ISO ITIL

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Formations certifiantes dans le domaine du paiement électronique

PGE 2 Fall Semester Purchasing Track. Course Catalogue. Politique, Stratégie & Performance des Achats p. 2

Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Journée Mondiale de la Normalisation

SUPPORT DE FORMATION, INFORMATION, COMMUNICATION

Conseils et préconisations de mutualisation ISO 2700x et ISO / ITIL Groupe de travail du Club Toulouse 3 Avril 2012

When Recognition Matters

Excellence. Technicité. Sagesse

1 Présentation de France Telecom 2 Concentrons nous sur la DISU

3 minutes. pour tout savoir sur. Orange Consulting le conseil par Orange Business Services

Les leviers de performance du pilotage du processus achats/fournisseurs

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

Panorama général des normes et outils d audit. François VERGEZ AFAI

ISO conformité, oui. Certification?

Présentation de la société. Notre métier, c est de rendre le votre plus facile

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

PCI DSS un retour d experience

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

Contexte. Objectif. Enjeu. Les 3 questions au cœur du Pilotage de la Performance :

WF MEDIA.INFO ET N OUBLIONS PAS QU UNE COMMUNICATION RÉUSSIE, C EST AVANT TOUT UN IMPACT MESURABLE ET

Système d information : démystification, facteur de croissance et conduite du changement

Aligner les nouveaux modèles de croissance des ESN

Gestion financière pour le trafic des paiements par cartes

Croissance soutenue et résultats solides en 2012 *** Accor s engage dans un plan de transformation profond pour accélérer sa croissance

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Maîtriser les mutations

La reconquête de vos marges de manœuvre

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

de la DSI aujourd hui

Informatique à la demande : réalité et maturité

TOUJOURS UNE LONGUEUR D AVANCE.

Project Management Performance Pack

Les pratiques du sourcing IT en France

Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA)

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Comment réussir son projet de Master Data Management?

Présentation Etude Multi Clients Sponsorisée Camille Marchand, Account Manager

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

Assurance et Protection sociale Les enjeux du Digital Commerce

Cloud Computing Foundation Certification Exin

1. La sécurité applicative

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Jean-Louis FELIPE (Né le 20/11/1960) Consultant sénior ITSM

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

4 conseils pour une production informatique multiplateforme et sécurisée

HySIO : l infogérance hybride avec le cloud sécurisé

FAITES DU PAIEMENT UN VECTEUR DE PERFORMANCE POUR VOS VENTES ONLINE ET MULTICANALES.

Présentation du cadre technique de mise en œuvre d un Service d Archivage Electronique

Plus de 20 ans d expérience en Risk Management, Gestion des crises, PCA, Sécurité de l information, SSI et des infrastructures télécom

ISO/CEI Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

Développez votre système d'information en toute simplicité

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Gestion de la sécurité de l information par la haute direction

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

satisfaction client Relation client : satisfaction? fidélisation?

L'infonuagique, les opportunités et les risques v.1

Formations qualifiantes dans le domaine du paiement électronique

Être conforme à la norme PCI. OUI, c est possible!

Les attentes des autorités à l obligation d agir de manière honnête, loyale et professionnelle

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014

L adoption des nouvelles technologies dans les grandes entreprises françaises. Décembre 2005

Optimisez vos échanges commerciaux. avec la Dématérialisation Fiscale de Factures

D e s c o n s u l t a n t s à v o t r e é c o u t e www. luteams.fr

Automatiser le Software-Defined Data Center avec vcloud Automation Center

Mise en œuvre d un Serveur d Archivage Electronique pour les factures client. 28/01/2015 Sébastien Dufrene

EXL GROUP FILIÈRE ERP - QUI SOMMES NOUS?

E-Bank Account Management. Dématérialisation de la gestion administrative des comptes bancaires

Prestations de conseil en SRM (Storage Ressource Management)

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

PROGRAMME DE FORMATION

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

LE STOCKAGE UNIFIÉ ASSOCIÉ À LA VIRTUALISATION D'ENTREPRISE

BACHELOR Chargé(e) d affaires en immobilier SPECIALISATION NEGOCIATION

Business & High Technology

Transcription:

L impact de PCI-DSS sur les différents acteurs du marché Marchands, PSP, Banques quel est-il?

Présentation Sébastien MAZAS Verizon Business QSA Responsable GRC France 15 ans d expériences dans la sécuritédes systèmes d information CISSP, CISA, PCI-QSA, ISO/IEC 27001:2005 Lead Implementer ISO/IEC 27005:2008 RiskManager. 2

Les acteurs autour de PCI-DSS La certification est un choix stratégique pour lequel l activitéde l entitéest primordiale. 3

Les marchands obligations La Conformitéest une obligation vis-à-vis de son contrat avec sa banque Le niveau de marchand impose la certification L acquéreur est responsable vis-à-vis des réseaux La conformité est une contrainte Coût de la conformitéet de la certification Sécurité vs conformité Obligations métier vs réglementation locale La conformitéest un levier Débloque les budgets Rapproche le métier de l IT 4

Les marchands selon l activité PCI-DSS cible le e-commerce Activité«carte non présente» Maturité importante sur la sécurité«it» D autres secteurs sensibles Hôtellerie Les Autoroutes Les différentes structures rendent les obligations complexes Franchises, filiales, multi-acquéreurs Assistance de QSA pour la relation avec les banques 5

Les PSP obligations L obligation vient des réseaux Liste des PSP certifiés chez Visa Relation directe sans passer par les acquéreurs Contrainte métier forte Interdiction de contractualiser avec un PSP non certifié Marché hautement concurrentiel Point d attention de tous les acteurs de PCI 6

Les PSP les difficultés Service vs entité Multiples services et offres indépendantes Programmes de mise en conformité Architectures complexes et contraintes de dispo Masse de transactions très importante Bases de données très larges Limites des solutions techniques Compétition sur le temps de réponse 7

Les banques -obligations Obligation «morale» Pas de certification exigée par les réseaux Devoir vis-à-vis des marchands Demande de conformitépar la BdF Risque sur l image Prise en compte par les grands groupes Programmes de refonte Analyses d écart Accompagnement 8

Les banques-contraintes Complexité La donnée est partout Systèmes hétérogènes Criticité de la Disponibilité Mais aussi systèmes très anciens Mainframe HP nonstop Cobol La sécurité est assurée depuis très longtemps 9

Et les autres? De très nombreux services «indirects» De la supervision à l archivage Parfois services très limités Obligation par ricochet Jamais directement concerné Exigences 12.8.x De plus en plus demandé Stratégie de certification Service pas nécessairement adapté(mono client) Mais peut être un argument commercial 10

L épreuve de l audit Evaluation de la conformité par rapport au standard 280 exigences, environ 900 points de contrôles 100% de conformité pour la certification Le QSA évalue, le réseau certifie Lien entre réalitédu métier et attentes des réseaux Etablit un constat et non un jugement de valeur Le meilleur avocat pour défendre son client L audit est toujours un enjeu / une phase critique Sa préparation est fondamentale 11

Bien choisirson QSA Opter pour un accompagnement jusqu àl audit Le même QSA est autorisé: principe de PCI-DSS Validation / Réduction du périmètre : 50% du projet Conseil sur sa mise en œuvre, interprétation, démystification, mesures compensatoires : limiter le risque Votre QSA en a vu d autres : Connaissance des spécificitéde votre métier de votre organisation Expérience d architectures similaires Maitrise des relations entre les entités / tiers 12

Autres apports du QSA Stratégie de mise en conformité Audit vs conformité Externalisation vs mise en conformité Stratégie d audit d organisations complexes Lien avec les banques Définition du niveau de marchand Stratégie de mise en conformité Lien avec les réseaux (cas des PSP) Stratégie de mise en conformité Architectures multi-périmètres 13

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back