Embed Size (px)
DESCRIPTION
Le standard PCI DSS ( Payment Card Industry Data Security Standard). Sommaire. Pourquoi le standard PCI DSS? Les niveaux de conformité et de validation Les données de titulaire de carte Les considérations juridiques Exécution d’un audit PCI DSS Réduction des frais grâce à l’automatisation. - PowerPoint PPT Presentation
Citation preview
Le standard PCI DSS (Payment Card Industry Data Security Standard)
Sommaire
Pourquoi le standard PCI DSS?
Les niveaux de conformité et de validation
Les données de titulaire de carte
Les considérations juridiques
Exécution d’un audit PCI DSS
Réduction des frais grâce à l’automatisation
Qu’est-ce que c’est la standard PCI DSS (Payment Card Industry Data Security Standard)? Le standard PCI DSS de sécurité de données de l'industrie de carte
de paiement est un ensemble normes déterminées par les principales institutions financières de cartes de paiement notamment VISA et MasterCard dans le but de protéger les données de cartes de crédit et de débit
Jusqu'ici, ces conditions régissent tous les canaux de paiement comprenant les ventes au détail, les ventes par correspondance, les commandes par téléphone et l'e-commerce
Au départ c'était une norme séparée de sécurité de l'information, cependant, elle est maintenant devenue un standard global de sécurité
Pourquoi le standard PCI DDS est-il requis?
Le vol et la fraude de données de détenteur de carte existent depuis le milieu des années 80 et ceci a incité Visa d’établir le premier programme de sécurité
La récente infraction de sécurité perpétrée chez TJX au cours de laquelle au moins 45.6 millions de numéros de cartes de crédit et de débit ont été volés par des intrus qui s’étaient introduits au sein de son réseau souligne le besoin accru d’une plus grande sécurité
Selon InformationWeek, les intrus peuvent vendre des données de cartes de crédit volées sur le marché noir à un prix de USD 490$ pour une carte avec un numéro secret d’identification personnel ( PIN)
PCI Data Security Standard v1.1 (1/3)
Le standard PCI DSS impose 12 conditions de sécurité qui peuvent être groupées dans trois domaines principaux :
> Collection et stockage de tous les enregistrements de données de sorte qu'ils soient disponibles pour l'analyse
> Compte rendu de toutes les activités afin de pouvoir prouver la conformité sur demande
> Surveillance et alertes par lesquelles les administrateurs peuvent constamment surveiller l'accès et l'utilisation des données et sont avertis immédiatement en cas de problèmes
PCI Data Security Standard v1.1 (2/3)
Catégories du standard PCI DSS
Le cadre du standard PCI DSS consiste également de six catégories suivantes :
Construire et maintenir une infrastructure sécurisée
Protéger les données de propriétaire de carte de paiement
Maintenir un programme de gestion des vulnérabilités
Maintenir une politique de sécurité d’information
Surveiller et tester régulièrement les réseaux d'information
Implémenter des mesures strictes de contrôles d'accès
PCI Data Security Standard v1.1 (3/3)
Conditions du standard PCI DSS
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Installez et entretenez une configuration de firewall pour protéger les données de détenteurs de cartes
N’utilisez pas de mots de passe fournis par des fournisseurs ou tout autre paramètre de sécurité par défaut
Protégez les données stockées
Cryptez la transmission des données de titulaire de carte et de toute information sensible à travers les réseaux publics
Utilisez et mettez à jour régulièrement les logiciels ou programmes antivirus
Développez et maintenez la sécurité de vos systèmes et de vos applications
Limitez l'accès aux seules données de titulaire de carte dont l'utilisateur a besoin ("business need-to-know'")
Assignez un identifiant unique à chaque personne ayant accès à l'ordinateur
Limitez l'accès physique aux données de titulaire de la carte de paiement
Traquez et surveillez tout accès aux ressources du réseau et aux données de titulaire de carte de paiement
Testez régulièrement les systèmes et les processus de sécurité
Maintenez une politique axée sur la sécurité de l'information pour vos employés et les entrepreneurs
Toute information d'une carte de crédit/débit utilisée dans une transaction- pcianswers.com
Eléments d'information de titulaire de carte> Numéro de compte principal (PAN)> Nom de titulaire de carte> Date d’échéance
Données Sensibles d'Authentification> Données de la piste magnétiques> Code de validation de carte (CVC)> Numéro d'identification personnelle (PIN)
Qu’est-ce que c’est « les données de titulaire de carte »?
1234
123
Stockage de données de titulaire de carte
Le standard PCI DSS protège les données de titulaire de carte
ll est autorisé de stocker les détails suivants aussi longtemps qu'ils sont chiffrés, hachés ou tronqués :
> Numéro de compte principal (PAN), Nom de titulaire de carte, date d’échéance, Code de service
Ž La passerelle de paiement effectue la transaction
par l'intermédiaire d'une connexion sécurisée vers la banque garante du négociant
La banque garante consulte la centrale d’échange
de cartes de crédit ‘Credit Card Interchange’ pour obtenir l’autorisation de la transaction
Œ Un client emploie une carte de crédit pour payer
les marchandises achetées chez un négociant
Internet
$ 0.00
Merchant
Customerpurchase
Payment Gateway
1234 5678 9012 3456
DATE: 01/01John Doe
Credit Card
CreditCard
Merchant’s Bank
Credit Card Interchange
Le négociant soumet la transaction de carte de
crédit à la passerelle de paiement
Ž
Déroulement d’une transaction typique
Œ
Qui doit se conformer au standard PCI DSS?
A partir du 30 septembre 30, 2007 toutes les entreprises manipulant les données de carte de paiement –indépendamment de leur taille– doivent se conformer aux standards stricts de sécurité fixés par les principales institutions financières de carte de paiement
Ceci s’applique à toutes les organisations où les données de carte de paiement sont:
> Stockées> Transmises> Traitées
Toutes les organisations décrites comme négociants ou fournisseurs de services doivent se conformer
Les négociants
Les organisations qui acceptent le paiement par carte de crédit
Exemples de secteurs affectés> Commerce en ligne (par exemple ebay.com)> Vente au détail (par exemple Wal-Mart)> Enseignement supérieur (par exemple les universités)> Santé (par exemple les hôpitaux)> Voyage et divertissement (par exemple les restaurants)> Energie (par exemple les stations de carburants) > Finance (par exemple les compagnies d’assurance)
Niveaux de conformité des négociants
NIVEAUX DE NEGOCIANTS
Niveau 1
Les négociants dont des données de titulaire de carte ont été compromises
Les négociants effectuant plus de six millions de transactions annuelles de carte de paiement
Niveau 2
Les négociants effectuant entre 1 et 6 millions de transactions annuelles de cartes de paiement
Niveau 3
Les négociants effectuant entre 20.000 et 1.000.000 de transactions annuelles de cartes de paiement
Niveau 4
Tous les autres négociants
Les fournisseurs de services
Entités qui fournissent des services aux négociants
Exemples de services> Passerelles de paiement (par exemple PayPal)> Services de traitement de paiements > Fournisseurs de service d’e-commerce > Fournisseurs de service de contrôle > Agences de contrôle de solvabilité > Entreprises de gestion d’enregistrements de secours > Entreprises de destruction de documents
Niveaux de conformité des fournisseurs de servicesNIVEAUX DE FOURNISSEURS DE SERVICES
Niveau 1
Tous les agents de traitement et toutes les passerelles de paiement
Niveau 2
Tout fournisseur de services qui n’est pas de Niveau 1 avec plus de 1 million de transactions de comptes de cartes de crédit par an
Niveau 3
Tout fournisseur de services qui n’est pas du Niveau 1 avec moins de 1 million de transactions de comptes de cartes de crédit par an
Négociant Audit de sécurité sur place exigé
Questionnaire d’autocontrôle exigé
Balayage de réseau exigé
Niveau 1 Annuellement Trimestriellement
Niveau 2 Annuellement Trimestriellement
Niveau 3 Annuellement Trimestriellement
Niveau 4 Annuellement Trimestriellement
Fournisseur de service
Niveau 1 Annuellement Trimestriellement
Niveau 2 Annuellement Trimestriellement
Niveau 3 Annuellement Trimestriellement
Par: Assesseur de sécurité agréé
Interne Vendeur de balayage agréé
Document : Rapport de conformité Questionnaire d’autocontrôle
Compte rendu du balayage
Procédures de conformité au standard PCI DSS
Données de titulaire de carte compromises
« L’intrusion sur un ordinateur où la divulgation non autorisée, la modification ou la destruction de données de titulaire de carte est suspectée »
- PCI DSS glossary Plan de réponse à un incident
> Condition 12.9
Pourquoi rapporter une compromission de données?> Limiter les dégâts
Canaux de rapportage d’incidents> Équipe interne de réponse aux incidents> Associations et banques garantes de carte de crédit> Agences locales d’application de la loi
Qui court le risque d’une compromission?
Conséquences
Financières> Peut mener à des amendes pouvant atteindre $500.000 USD et des
coûts élevés des procès
Réputation> Un mauvais incident peut avoir un grand impact sur l’image de marque
d’un produit et d’une entreprise> Implication d’agences d’application de la loi
Opérationnelles> Niveaux 2, 3 ou 4 + compromise = Niveau 1> Pourrait mener à une perte éventuelle de privilèges de traitement de
données de carte
Préparation à la conformité au standard PCI DSS
Familiarisez-vous avec les conditions du standard PCI DSS
Identifiez toutes les données de titulaire de carte et enlevez les données qui ne sont pas nécessaires
Effectuez une analyse de sécurité
Créez un plan d'action et au besoin, consultez des experts pour obtenir un conseil
Frais de conformité au standard PCI DSS
Négociant Audit de sécurité sur place exigé
Questionnaire d’autocontrôle exigé
Balayage de réseau exigé
Niveau 1 Annuellement Trimestriellement
Niveau 2 Annuellement Trimestriellement
Niveau 3 Annuellement Trimestriellement
Niveau 4 Annuellement Trimestriellement
Fournisseur de service
Niveau 1 Annuellement Trimestriellement
Niveau 2 Annuellement Trimestriellement
Niveau 3 Annuellement Trimestriellement
Par : Assesseur de sécurité agréé
Interne Vendeur de balayage agréé
Document : Rapport de conformité Questionnaire d’autocontrôle
Compte rendu du balayage
Pain points
Maintenir la sécurité des systèmes et des applications> Inspecter votre réseau> Balayage de vulnérabilité> Déployer les patches/service packs
Surveiller le réseau> Enregistrer l’activité d’utilisateur> Enregistrer l’accès aux données de
titulaire de carte> Alerter à propos d’importants événements
Fournir une preuve appuyée par des documents> Maintenir la sécurité des systèmes> Surveiller toutes les activités> Entreprendre une action réparatrice
Automatisation par logiciel
Réduisez considérablement les tâches manuelles, répétitives :
Inspections de réseau
Gestion des vulnérabilités
Surveillance des activités
Alertes en temps réel
Actions correctives
Création de rapports
PCI DSS et les produits de sécurité de réseau de GFILes conditions du standard PCI DSS
1.
2.
3.
4.Cryptez la transmission des données de titulaire de carte et de toute information sensible à travers les réseaux publics
5. Utilisez et mettez à jour régulièrement vos logiciels ou programmes antivirus
6. Développez et maintenez la sécurité de vos systèmes et de vos applications
7.Limitez l'accès aux seules données de titulaire de carte dont l'utilisateur a besoin ("business need-to-know'").
8.
9. Limitez l'accès physique aux données de titulaire de la carte de paiement
10.
11. Testez régulièrement les systèmes et les processus de sécurité
12.Maintenez une politique axée sur la sécurité de l'information pour vos employés et les entrepreneurs
Installez et maintenez un firewall pour protéger les données de titulaire de carte
N’utilisez pas de mots de passe fournis par des fournisseurs ou tout autre paramètre de sécurité par défaut
Protégez les données de titulaire de carte stockées
Assignez un identifiant unique à chaque personne ayant accès à l'ordinateur
GFI
EventsManager
Traquez et surveillez tout accès aux ressources du réseau et aux données de titulaire de carte de paiement
GFI
LANguard N.S.S.
Avantages d’investissement
Automatisation> Réduction des tâches manuelles et répétitives> Réduction du fardeau d’administrateur> Déclenchement de mesures correctives proactives
Protection> Complément de votre politique de sécurité> Notification en cas de menaces de sécurité potentielles> Vous rassure sur la sécurité de votre système
Economies> Prévention d’amendes pour non-conformité au standard PCI DSS> Elimination des frais de consultation externe> Continuité d’affaires
Conclusion
Etant donné que les entreprises courent constamment le risque de perdre les données sensibles de détenteur de carte, qui pourrait avoir comme conséquences des amendes, des poursuites judiciaires et de la mauvaise publicité, la réalisation de la conformité au PCI DSS devrait être la priorité à l'ordre du jour des entreprises qui stockent, transmettent ou traitent des données de carte de paiement
La conformité au standard PCI DSS doit être effectuée en septembre 2007 – ceci est la date limite fixée par les institutions financières de cartes de crédit/débit
GFI Software offre deux produits de ce genre aux entreprises, GFI EventsManager et GFI LANguard Network Security Scanner (N.S.S.), pour les aider dans leurs efforts de se conformer au standard PCI DSS
GFI en bref
La visionDevenir la technologie de choix lorsqu’il s’agit des solutions de sécurité et de la productivité. La missionFournir aux professionnels de l’informatique à travers le monde, des solutions rentables de qualité de sécurité de contenu, de sécurité de réseau et de messagerie.
Fondée en 1992
Plus de 200 employés dans le monde entier
Bureaux à Malte, Londres, Raleigh, Hong Kong et Adélaïde
Produits de GFI installés sur plus de 200.000 réseaux d’entreprises dans le monde entier, des PMEs pour la plupart
Entreprise spécialisée avec plus de 10.000 partenaires à travers le monde
