Embed Size (px)
Citation preview
Octobre 2015
Accompagnement PCI DSSPrésentation de l’offre
20151001-Galitt-Offre PCI DSS.pptx
Sommaire
© Copyright Galitt 2
1. Introduction
2. Présentation de la norme PCI DSS
3. Démarche de mise en conformité
LES TENDANCES EN FRANCE ET DANS LE MONDE
Introduction
© Copyright Galitt 3
Cartes sans contact / NFC
Mobile Acceptance
Portefeuilles numériques
E-commerce et M-commerce
Chip on the Cloud / HCE
Croissance des paiements par carte (proximité et à distance)
domestiques et internationaux apportée par ces évolutions
Croissance de la fraude
En 2012, la fraude brute des porteurs CB a représenté 330 millions d’euros en France et est en augmentation annuelle de 10%.
Les innovations s’accélèrent
Possibilités offertes par les nouvelles technologies autour de la carte de paiement, sur mobiles et internet
PARTICULARITES DE LA FRANCE
• Modèle sécuritaire via le réseau e-rsb
• Utilisation de la carte à puce vs. piste
• Simplicité et fluidité des échanges par l’acceptation étendue et l’interopérabilité entre banques domestiques
Contexte et enjeux du PCI DSS
Contexte français : risque de vols de données
4
BÉNÉFICES POUR LES ACTEURS
• Porteurs : rapidité et souplesse d’utilisation
• Commerçants : rapidité d’encaissementet garantie de paiement
MAIS ATTENTION !
Une entité peut être victime de vols de données destinées à être utilisées dans d’autres espaces géographiques moins sécurisés que la France
Une vigilance renforcée des acteurs est nécessaire
© Copyright Galitt
Contexte et enjeux du PCI DSS
Rappel des risques
© Copyright Galitt
5
• Une dé-crédibilisation de l’image de l’entreprise quia laissé fuir les données
• Selon le type de compromission, la perte d’image peut être estimée entre 17 à 31% de la valeur de l’image de marque (*)
• Le délai de restauration de la réputation d’une entreprise prend en moyenne 11,8 mois (*)
• De lourdes conséquences financières
• Coût moyen violation de données : 2,9M€ (**)• Coût moyen compromission par enregistrement compromis :
127€ (**) • Coût de procès non valorisable• La perte de confiance client peut être très préjudiciable à
l’entreprise
• Des dommages collatéraux : conséquences commerciales
• Dé-crédibilisation de ses partenaires directs : banques, prestataires et de l'ensemble du système carte
• Taux d’attrition (désabonnement) élevé en France à 4,4% (*) 5
Perte de confiance des clients
Coûts des contre-
mesures
Pénalités des réseaux
Coûts de la fraude
CONSÉQUENCES POUR LE CLIENT ET LES BANQUES :
5
(*) Source : « 2011-Ponemon_reputation_impact_of_a_compromission » (**) Source : Rapport ''Cost of Data Breach'‘ de Ponemon Institute et Symantec – juin 2013
Dé-crédibilisation de l’image sécuritaire
• En cas de compromission, un commerçant peut subir
• Multiplication des attaques et nouvelles fraudes en France
• Compromissions à l’international et impacts en France
Contexte et enjeux du PCI DSS
Rappel des risques
© Copyright Galitt 6
3x
10M
58
2,1M
Multiplication par 3 des points de compromissions liés à des commerçants ou à des automates de paiement entre 2011 et 2012 (Rapport 2012 du GIE CB)
10 millions d’euros détournés en 2013 via des échanges de terminaux CB par des terminaux piratés (skimmer) dans de grandes chaînes commerciales
58 points de compromission en VAD ont été mis en évidence (Rapport 2012 du GIE CB)
Exemple d’un opérateur mobile français avec 800 000 personnes touchées par un vol de données personnelle le 16 janvier 2014, puis 1,3 million de personnes en mai 2014
160M160 millions de numéros de cartes volés dans les systèmes de sociétés américaines et européennes en 2013, dont une des principales enseignes françaises de la Grande Distribution (2M de cartes) et une banque franco-belge
5kEn février 2014, le virus JackPOS, affectant les terminaux de paiement, a compromis 5 000 cartes dans le monde, dont la France
Recrudescence des cas de commerçants de proximité acceptant sur le territoire national des cartes contrefaites, essentiellement agréées CB et piratées à l’étranger (Rapport du GIE CB)
Rappel des risques : conséquences des piratages de données porteur
© Copyright Galitt 7
• Revente de données cartes en quantité sur des sites de « Carding »
• Valeur (ordre de grandeur) sur le marché
• Types de fraude possibles avec des données carte volées • Vol de PAN : achat en VAD mal sécurisée (sans présentation de cryptogramme visuel Cxx2)
• Vol de PAN + DFV + Cxx2 (CVV2/CVC2/CBN2) : achat en VAD classique
• Vol de piste ISO2 complète : contrefaçon utilisable en paiement sur un terminal non EMV
• Vol de piste ISO2 complète + PIN : contrefaçon utilisable en paiement et en retrait sur un terminal ou GAB
• Des données compromises
• Numéro de compte (PAN) et CVV2 : 1€
• Données pistes carte classique : 8 à 73€
• « White plastic » avec piste magnétique : 100€
• Données pistes et PIN : 1 000€
• Du matériel informatique nécessaire
• Logiciel malveillant (malware) : 1 000€ à 2 000€
• Equipement de skimming (clonage) : 1 000€ à 2 000€
Sommaire
© Copyright Galitt 8
1. Introduction
2. Présentation de la norme PCI DSS
3. Démarche de mise en conformité
Présentation de la norme PCI DSS
9© Copyright Galitt
• DEFINITION
• PCI DSS est une norme de prévention dont l’objectif est de limiter la fraude par compromission dedonnées du titulaire et/ou des données d’identification
• ORIGINE
• A l’initiative de 5 réseaux cartes internationaux
• Élaboration d’un ensemble de standards
Présentation de la norme PCI DSS
© Copyright Galitt 10
• DONNEES CONCERNEES
• Les données du titulaire et les données d’identification sensibles sont définies comme suit
Numéro de compte
primaire (PAN)
Nom du titulaire
de la carte
Date
d’expiration
Bande magnétique (données piste 1 et 2 parmi lesquelles le
bloc PIN - Personal Identification Number – Version chiffrée du code PIN et le code service)
123
L’équivalent des données bande magnétique
sont également contenues dans la puce
Données du titulaire de cartes : Données d'authentification sensibles :
• Le numéro de compte primaire (PAN)• Le nom du titulaire de la carte• La date d’expiration• Le code service
• Les données de bande magnétique complète ou leur équivalent sur une puce
• Le CAV2/CVC2/CVV2/CID (achat en VAD)• Les Codes/blocs PIN
Cryptogramme visuel
(CAV2/CVC2/CVV2/CID)
LogoBanque
Présentation de la norme PCI DSS
© Copyright Galitt 11
• QUI EST CONCERNE ?
• PCI DSS s’adresse à toutes les entités qui stockent, traitent, ou transmettent des données cartes :• Commerçants accepteurs de cartes d’un ou plusieurs réseaux émetteurs
• Banques (acquéreur et émetteur)
• Fournisseurs de services de paiement (PSP)
• La norme PCI DSS sert de référence aux conditions techniques et opérationnelles conçues pourprotéger les données des titulaires de carte. Elle est articulée autour de 6 thèmes et 12 conditions
Création et gestion d’un réseau et d’un système sécurisés
1. Installer et gérer une configuration de pare-feu pour protéger les données du titulaire2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le
fournisseur
Protection des données du titulaire
3. Protéger les données de titulaire de carte stockées4. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le
fournisseur
Gestion d’un programme de gestion des vulnérabilités
5. Utiliser des logiciels antivirus et les mettre à jour régulièrement6. Développer et gérer des systèmes et des applications sécurisés
Mise en œuvre de mesures de contrôle d’accès strictes
7. Restreindre l'accès aux données de titulaire de carte aux seuls individus qui doivent les connaître8. Affecter un identifiant unique à chaque utilisateur d'ordinateur9. Restreindre l'accès physique aux données de titulaire de carte
Surveillance et tests réguliers des réseaux
10. Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données de titulaire de carte11. Tester régulièrement les processus et les systèmes de sécurité
Gestion d’une politique de sécurité des informations
12. Maintenir une politique qui adresse les informations de sécurité pour l’ensemble du personnel
Présentation de la norme PCI DSS
© Copyright Galitt 12
• ACTIONS REQUISES PAR LES RESEAUX INTERNATIONAUX
NIVEAU CLASSIFICATION DES COMMERÇANTS OBLIGATIONS PESANT SUR LES COMMERÇANTS
1
• Tout commerce traitant plus de 6 millions de transactions VISA ou MASTERCARD* par an
• Tout commerce ayant déjà été compromis • Tout commerce identifié de niveau 1 dans un
système concurrent• Tout commerce classé par le réseau, à sa
discrétion
• Audit annuel par un QSA ou auditeur interne agréé par le PCI-SSC• Scan de vulnérabilité réseau trimestriel par un ASV, et après toute modification
significative des réseaux par un ASV ou une personne interne à la société• Tests d’intrusion interne et externe annuels par un ASV, QSA ou une personne
interne qualifiée
Dérogation : déclassification en niveau 2 si 95% des transactions EMV
2
• Tout commerce traitant de 1 à 6 millionsde transactions VISA ou MASTERCARD par an
• Tout commerce identifié de niveau 2dans un système concurrent
• Questionnaire annuel d’auto-évaluation rempli par un QSA ou un auditeur interne agréé par le PCI SSC (ISA) OU audit annuel par un QSA certifié par le PCI SSC
• Scan de vulnérabilité réseau trimestriel par un ASV, et après toute modification significative des réseaux par un ASV ou une personne interne à la société
• Tests d’intrusion interne et externe annuels (éligible au SAQ D uniquement)
3
• Tout commerce pratiquant le E-commerce traitant de 20 000 à 1 million de transactions VISA ou MASTERCARD par an
• Tout commerce identifié de niveau 3 dans un système concurrent
• Questionnaire annuel d'auto-évaluation• Scan de vulnérabilité réseau trimestriel par un ASV, et après toute modification
significative des réseaux par un ASV ou une personne interne à la société
Dérogation : Dispense de scan pour les commerçants utilisant les solutions certifiées.
4 • Tout autre commerce• Questionnaire d'auto-évaluation annuel (optionnel)• Scan réseau trimestriel par un ASV (optionnel)
Veuillez noter :
• Commerçants multi bancaires : le nombre de transactions pris en compte est basé sur la totalité des transactions VISA ou MasterCard pour l’ensemble des banques acquéreurs.
• Les transactions domestiques (ex. Carte Bancaire) réalisées par carte VISA ou MasterCard « co-brandée » (ex : CB + VISA) doivent être prises en compte dans la comptabilisation des transactions.
Sommaire
© Copyright Galitt 13
1. Introduction
2. Présentation de la norme PCI DSS
3. Démarche de mise en conformité
Démarche de mise en conformité
• La mise en conformité à lanorme PCI DSS implique des enjeux non seulement TECHNIQUES, mais aussi ORGANISATIONNELS et pouvant impacter les processus METIERS
• Le succès de ce projet pour votre entreprise dépend de l’implication / participation de nombreuses fonctions dans une démarche qui convient à la fois au commerçant et à sa banque
Gouvernance du projet
ORGANISATION
METIERS
SYSTÈMES
Equipes monétiques
RH
Equipes DSI Finance
Achats
Compta
Plateformes
Systèmes
Applications
Données
Réseaux
Référents
Contributeurs
Chefs de projet
Direction
> Facteur clef de réussite
Inclure ces aspects dans le projet global
14© Copyright Galitt
• La mise en conformité à la norme PCI DSS doit être perçue en tant que projet global qui nécessitera certains investissements mais vous apportera de nombreux avantages
Démarche de mise en conformité
© Copyright Galitt 15
BENEFICES DE LA MISE EN CONFORMITE
• Renforcement de l’image sécuritaire auprès des partenaires, de la clientèle et du marché
• Assurance vis-à-vis des risques : perte d'exploitation, d’image, fraude, procès, coût de réémission de cartes...
• Opportunité d’une intégration avec d’autres initiatives de mise en conformité RSSI
o Tirer parti des canaux existants o Intégrer le projet dans des outils
ou démarches existantes o Améliorer le retour sur investissement
du projet
PRINCIPAUX OBSTACLES
• Complexité de la délimitation du périmètre d’application de la norme
• Définition d’un cadre de gouvernance dynamique
• Soutien budgétaire de sa propre direction, voirede sa direction générale, pour mener les chantiers nécessaires
• . Maintien de la conformité chaque année
• . Interférences dans les projets de l’entreprise (priorités souvent données
aux actions strictement orientées business)
La certification est une démarche vertueuse car elle permet en cas de compromission d’apporter toutes les justifications nécessaires aux réseaux cartes (GIE CB, VISA, MasterCard, …)
���� X
Démarche de mise en conformité
• Galitt peut vous accompagner sur les grandes phases de la démarche de mise en conformité
16© Copyright Galitt
Définition de la stratégie de mise en conformité
Etat des lieux & analyse d’écarts
Ges
tio
n d
e p
roje
ts
Audits de certification(commerçants de niveau 1)
Aide au remplissage du SAQ (commerçants de niveau 2, 3 et 4)
Sensibilisation des acteurs :
Formation« Mise en œuvre
de PCI»
Réalisation de scans de vulnérabilité à partir d’une plateforme « ASV »
Etudes de cadrage et élaboration de cartographies
Définition du périmètre d’application
Accompagnement (résolution des non conformités : processus, technologies…)
PR
ÉPA
RA
TIO
NC
ERTI
FIC
ATI
ON
REM
ÉDIA
TIO
N
Contact Galitt
17
Rémi GITZINGER
Directeur de Mission
+33 1 77 70 28 59
Contacts
www.galitt.com
© Copyright Galitt
Merci de votre attention !
Bruno KOVACS
Manager Conseil & PCI QSA
+33 1 77 70 28 12
