SlideShare une entreprise Scribd logo

French PCI DSS v4.0 Webinaire.pdf

ControlCase
ControlCase

PCI DSS v4.0 Webinaire

Internet
1  sur  35
Télécharger pour lire hors ligne
WEBINAR: PCI DSS 4.0 VOTRE PARTENAIRE EN MATIÈRE DE CONFORMITÉ INFORMATIQUE - ALLEZ AU-DELÀ DE LA LISTE DE CONTRÔLE Télécharger l'aide-mémoire PCI DSS 4.0 Programme de la discussion sur la certification PCI DSS
INTRODUCTIONS Yossra Antit Consultant en sécurité de l'information, ControlCase Karolien Holsters Directeur du développement commercial, Europe, Moyen-Orient et Afrique, ControlCase
À propos de ControlCase À propos de PCI DSS Historique de la norme PCI DSS PCI DSS v4.0 Mise à jour du ControlCase Plongée en profondeur : Changements notables Chronologie de la norme PCI DSS v4.0 Agenda 3 1 2 3 4 5 6
1 © ControlCase. All Rights Reserved. 4 À PROPOS DE CONTROLCASE
Aperçu de ControlCase © ControlCase. All Rights Reserved. 5 SERVICES DE CERTIFICATION ET DE CONFORMITÉ CONTINUE Allez au-delà de la liste de contrôle de l'auditeur pour : Réduire considérablement le temps, les coûts et la charge liés à l'obtention de la certification et au maintien de la conformité informatique. • Démontrer la conformité de manière plus efficace et plus rentable (certitude des coûts) • Améliorer l'efficacité • Faites plus avec moins de ressources et gagnez en sérénité en matière de conformité. • Libérez vos ressources internes pour qu'elles puissent se concentrer sur leurs priorités. • Déchargez une grande partie de la charge de conformité à un partenaire de confiance. PLUS DE 1,000 PLUS DE 275 PLUS DE 10,000 CLIENTES CERTIFICATIONS EN SÉCURITÉ INFORMATIQUE EXPERTS EN SÉCURITÉ
Solución © ControlCase. All Rights Reserved. 6 Services de certification et de conformité continue “ J'ai travaillé sur les deux côtés de l'audit. Je n'ai vu aucun autre cabinet fournir le même produit et service avec la même valeur. Aucun autre cabinet n'offre cette amélioration continue, ce niveau de détail et cette réactivité. — Responsable de la sécurité et de la conformité, centre de données ControlCase Compliance Hub® Axé sur l’automatisation Services de Conformité Continue Approche Partenariale Services de Certification Informatique
Partenariat stratégique de sécurité pour la conformité à la norme PCI DSS © ControlCase. All Rights Reserved. 7 Les évaluations PCI DSS doivent être réalisées par un évaluateur de sécurité qualifié (QSA). ControlCase est une société QSA offrant les services suivants : Approche associative Gestion de la réussite client Équipe d'assistance réactive Expérience proactivea Pensée créative
Services de certification © ControlCase. All Rights Reserved. 8 “ Vous avez 27 secondes pour faire une première impression. Et après notre première rencontre, il est apparu clairement qu'ils étaient plus intéressés à aider notre entreprise et à établir une relation, qu'à simplement obtenir le marché. — Directeur senior, Risque et conformité de l'information, grand marchand PCI DSS ISO 27001-2 SOC 1,2,3,& Cybersecurity HIPAA FedRAMP PCI P2PE GDPR NIST 800-53 PCI PIN PCI SSF/SLC CSA STAR HITRUST CSF One Audit™ Évaluez une fois. Se conformer à plusieurs..
Tableau de bord de l'audit ControlCase One Audit™ © ControlCase. All Rights Reserved. 9
2 © ControlCase. All Rights Reserved. 10 À PROPOS DE PCI DSS
Qu'est-ce que la norme PCI DSS ? NORME DE SÉCURITÉ DES DONNÉES DE L'INDUSTRIE DES CARTES DE PAIEMENT Créée en 2006 par les principaux émetteurs de cartes de paiement. (VISA, MasterCard, American Express, JCB International et Discover Financial Services) Mantenido por el Consejo de Estándares de Seguridad PCI (PCI SSC). La norme PCI DSS fournit des exigences opérationnelles et techniques pour protéger les données des titulaires de cartes. ACTUELLEMENT EN PCI DSS VERSION 3.2 LA VERSION 4.0 DE LA NORME PCI DSS VIENT D'ÊTRE ANNONCÉE. © ControlCase. All Rights Reserved. 11
12 Exigences de PCI DSS © ControlCase. All Rights Reserved. 12 OBJECTIFS DE CONTRÔLE (6 PRINCIPES) 12 EXIGENCES Construire et maintenir un réseau sécurisé 1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes. 2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité. Protéger les données des titulaires de cartes 3. Protéger les données stockées des titulaires de cartes 4. Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics. Maintenir un programme de gestion des vulnérabilités 5. Utilisez et mettez régulièrement à jour un logiciel antivirus sur tous les systèmes couramment touchés par les logiciels malveillants. 6. Développer et maintenir des systèmes et des applications sécurisés Mettre en place de solides mesures de contrôle d'accès 7. Restreindre l'accès aux données des titulaires de cartes en fonction du besoin d'en connaître. 8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur. 9. Limiter l'accès physique aux données des titulaires de cartes Contrôler et tester régulièrement les réseaux 10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes. 11. Tester régulièrement les systèmes et processus de sécurité Maintenir une politique de sécurité de l'information 12. Maintenir une politique qui traite de la sécurité de l'information
Famille de normes PCI DSS © ControlCase. All Rights Reserved. 13  PCI DSS Sécurité des environnements qui stockent, traitent ou transmettent des données de compte  PCI PA-DSS Les applications de paiement sont conformes à la norme PCI DSS  PCI P2PE Garantit que les données sont cryptées au point d'accès et ne peuvent être décryptées que par un environnement dédié.  PCI TSP Exigences pour les fournisseurs de services de jetons pour les jetons de paiement EMV  Production de cartes PCI Exigences de sécurité physique et logique pour la fabrication et la personnalisation des cartes  PCI 3DS Exigences physiques et logiques pour les entités qui mettent en œuvre la solution de paiement 3DS  PCI PTS - HSM Contrôles physiques et logiques pour sécuriser le HSM  PCI PTS - POI Protection des données sensibles chez POI  PCI PTS - Sécurité du PIN Gestion, traitement et transmission sécurisés des données PIN
Données en question (données relatives aux cartes de crédit et de débit) © ControlCase. All Rights Reserved. 14 LES DONNÉES DU TITULAIRE DE LA CARTE COMPRENNENT : • Numéro de compte primaire (PAN) • Nom du titulaire de la carte • Date d'expiration • Code de service LES DONNÉES D'AUTHENTIFICATION SENSIBLES COMPRENNENT : • Données sur la piste complète • CAV2/CVC2/CVV2/CID • PINs/Blocs PINs Types de données sur une carte de crédit Date d'expiration Bande magnétique (données sur les pistes 1 et 2) Numéro de compte principal Code d'identific ation de la carte de crédit (American Express Code d'identification de la carte de crédit (American Express) Code d'identification de la carte de crédit. (Discover, JCB, MasterCard, Visa)
3 © ControlCase. All Rights Reserved. 15 HISTORIQUE DE LA NORME PCI DSS
Histoire de PCI DSS Dates de publication de PCI DSS © ControlCase. All Rights Reserved. 16 • PCI DSS v1 - Décembre 2004 • PCI DSS v1.1- Septembre 2006 • PCI DSS v1.2- Octobre 2008 • PCI DSS v2 - Octobre 2010 • PCI DSS v3 - Novembre 2013 • PCI DSS v3.1 - Avril 2015 • PCI DSS v3.2 - Avril 2016 • PCI DSS v3.2.1 - Mai 2018 • PCI DSS v4 - Mars 2022
4 © ControlCase. All Rights Reserved. 17 PCI DSS V4.0 MISE À JOUR DU CONTROLCASE
Mise à jour de PCI DSS V4.0 Aucune entreprise ne peut pas encore certifier des autres entreprises dans PCI DSS V 4.0. Le Conseil PCI a publié une liste de modifications e documentation en ligne. ControlCase mettra les clients au courrant lorsque nous nous rapprochons du 3ème trimester de l’année 2022. Jusque-là, notre processus d’évaluation n’aura aucun changement. Le Conseil PCI offrira la première formation en juin 2022 – après quoi les QSA pourront commencer les évaluations dans le cadre de PCI DSS 4.0. Les entreprises disposeront de 2 ans pour faire la transition à la version v4.0, mais elles pourront également le faire plus tôt. © ControlCase. All Rights Reserved. 18
Objectifs de PCI DSS v4.0 PCI DSS v4.0 est la nouvelle generation de la norme et a les objectifs suivants: • Continuer à répondre aux besoins de sécurité de l’industrie de paiements • Promouvoir la sécurité en tant que processus continue • Augmenter la flexibilité pour les organisations qui utilisent méthodes différentes pout atteindre les objectifs de sécurité • Améliorer les méthodes et procedures de validation © ControlCase. All Rights Reserved. 19
Changements critiques de PCI DSS v3.2.1 à v4.0 © ControlCase. All Rights Reserved. 20 CHANGEMENTS MÉTHODOLOGIQUES • Plusieurs petites mises à jour des exigences avec des clarifications ou guide supplémentaires • Introduction d’une approche personalisée pour offrir une méthode de validation des exigences supplémentaire pour atteindre l’objectif de l’exigence • Introduction d’une analyse de risque ciblée pour diverses exigences critiques • Pour les fournisseurs de services – Confirmation de la portée PCI DSS au moins une fois tous les 6 mois et en cas d’un changement important de l’environnement de la portée NOUVELLES EXIGENCES QUI PEUVENT NÉCESSITER DES EFFORTS/MISES EN ŒUVRE IMPORTANTS • Exigences strictes en matière de mot de pass et de MFA (Authentification Multifacteur) • Mécanismes de detection et protection du personnel contre les attaques phishing • Sollution technique automatisée pour les applications web publiques qui détecte regulièrement et prévient les attaques web • Mécanismes automatisés pour examiner les journaux d’audit pour tous les CDE et les système critiques • Analyses internes de vulnérabilité via une analyse authentifiée
5 © ControlCase. All Rights Reserved. 21 PLONGÉE DANS LES CHANGEMENTS NOTABLES
12 Exigences de PCI DSS v3.2.1 par rapport à v4.0 PCI DSS v3.2.1 - 12 EXIGENCES PCI DSS v4.0 - 12 EXIGENCES 1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes. 2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité. 3. Installer et maintenir les contrôles de sécurité du réseau 4. Appliquer des configurations sécurisées à tous les composants du système 3. Protéger les données stockées des titulaires de cartes 4. Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics. 3. Protéger les données des comptes stockés 4. Protéger les données des titulaires de cartes grâce à une cryptographie puissante lors de la transmission sur des réseaux publics ouverts 5. Utilisez et mettez régulièrement à jour un logiciel antivirus sur tous les systèmes couramment touchés par les logiciels malveillants. 6. Développer et maintenir des systèmes et des applications sécurisés 5. Protéger tous les systèmes et réseaux contre les logiciels malveillants 6. Développer et maintenir des systèmes et logiciels sécurisés 7. Restreindre l'accès aux données des titulaires de cartes en fonction du besoin d'en connaître. 8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur. 9. Limiter l'accès physique aux données des titulaires de cartes 7. Restreindre l'accès aux composants du système et aux données des titulaires de cartes en fonction du besoin d'en connaître. 8. Identifier les utilisateurs et authentifier l'accès aux composants du système 9. Limiter l'accès physique aux données des titulaires de cartes 10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes. 11. Tester régulièrement les systèmes et processus de sécurité 10. Consigner et surveiller tous les accès aux composants du système et aux données des titulaires de carte 11. Tester régulièrement la sécurité des systèmes et des réseaux 12. Maintenir une politique qui traite de la sécurité de l'information 12. Soutenir la sécurité de l'information par des politiques et des programmes organisationnels © ControlCase. All Rights Reserved. 22
Principales mises à jour des exigences de la norme PCI DSS v4.0 Titre © ControlCase. All Rights Reserved. 23 • Exigence 1 : • Changement du titre de l'exigence de "Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes" à "Installer et maintenir des contrôles de sécurité du réseau". • Mise à jour du titre de l'exigence pour refléter l'accent mis sur des "contrôles de sécurité du réseau" plus larges. Remplacement de "pare-feu" et "routeurs" par "contrôles de sécurité du réseau" afin de prendre en charge un éventail plus large de technologies, y compris la technologie du cloud utilisée pour atteindre les objectifs de sécurité traditionnellement atteints par les pare-feu. • Exigence 2 : • Changement du titre de l'exigence "Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité" en "Appliquer des configurations sécurisées à tous les composants du système". • Mise à jour du titre de l'exigence pour indiquer que l'accent est mis sur les configurations sécurisées en général, et pas seulement sur les valeurs par défaut fournies par le fournisseur. • Exigence 3 : • Changement du titre de l'exigence de "Protéger les données stockées des titulaires de cartes" à "Protéger les données stockées des comptes". • Mise à jour du titre de l'exigence pour refléter l'accent mis sur les données de compte. Remplacement de "Données du titulaire de carte" par "Données du compte" pour appliquer les exigences de protection des données aux données du titulaire de carte et aux données d'authentification sensibles, et pas seulement aux données du titulaire de carte, afin d'être réceptif aux besoins des diverses parties telles que les émetteurs.
Principales mises à jour des exigences de la norme PCI DSS v4.0 Titre © ControlCase. All Rights Reserved. 24 • Exigence 5 : • Changement du titre de l'exigence de "Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels ou programmes anti- virus" à "Protéger tous les systèmes et réseaux contre les logiciels malveillants". • Mise à jour du titre de l'exigence pour refléter l'accent mis sur la protection de tous les systèmes et réseaux contre les logiciels malveillants. Remplacement de "anti- virus" par "anti-malware" dans l'ensemble de l'exigence afin de prendre en charge une gamme plus large de technologies utilisées pour atteindre les objectifs de sécurité traditionnellement atteints par les logiciels anti-virus. • Exigence 12 : • Changement du titre de l'exigence de "Maintenir une politique qui traite de la sécurité des informations pour tout le personnel" à "Soutenir la sécurité des informations avec des politiques et des programmes organisationnels". • Mise à jour du titre de l'exigence pour refléter le fait que l'accent est mis sur les politiques et programmes organisationnels qui soutiennent la sécurité des informations.
Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 25 CONTINUER À RÉPONDRE AUX BESOINS DE SÉCURITÉ DU SECTEUR DES PAIEMENTS Les pratiques de sécurité doivent évoluer pour continuer à répondre aux besoins de sécurité du secteur des paiements à mesure que les menaces changent. Exemple : Mise à jour des exigences en matière d'authentification multifactorielle (MFA). Mise à jour des exigences en matière de mots de passe, conformément aux meilleures pratiques actuelles du secteur. Ajout de nouvelles normes en matière de commerce électronique et de phishing pour faire face aux menaces permanentes. Mise à jour des exigences relatives au traitement sécurisé des données d'authentification sensibles (DAS). Ajout d'une exigence d'analyse de vulnérabilité interne authentifiée pour une meilleure connaissance du paysage de vulnérabilité des organisations.
Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 26 PROMOUVOIR LA SÉCURITÉ COMME UN PROCESSUS CONTINU PROMOUVOIR LA SÉCURITÉ COMME UN PROCESSUS CONTINU, CAR UNE SÉCURITÉ PERMANENTE EST ESSENTIELLE POUR PROTÉGER LES DONNÉES DE PAIEMENT. Exemple : Rôles et responsabilités clairement attribués au personnel travaillant sur chaque exigence. Des conseils ont été ajoutés à l'ensemble des exigences pour aider les organisations à mieux comprendre comment mettre en œuvre et maintenir la sécurité. Ajout d'une nouvelle option de rapport pour mettre en évidence les domaines
Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 27 AUGMENTER LA FLEXIBILITÉ POUR LES ORGANISATIONS UTILISANT DIFFÉRENTES MÉTHODES POUR ATTEINDRE LES OBJECTIFS DE SÉCURITÉ. Fournir plus d'options et différentes méthodes de validation afin d'accroître la flexibilité des organisations pour atteindre les objectifs de sécurité et soutenir l'innovation en matière de technologie de paiement. Exemple : Autorise l'utilisation de comptes de groupe, partagés et publics avec des exceptions. Introduction d'analyses de risques ciblées qui permettent aux organisations de déterminer la fréquence d'exécution de certaines activités. L'introduction d'une nouvelle méthode d'approche personnalisée pour valider les exigences PCI DSS, donne aux organisations une autre option pour envisager des méthodes innovantes pour atteindre leurs objectifs de sécurité.
Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 28 AMÉLIORER LES MÉTHODES ET PROCÉDURES DE VALIDATION AVEC DES OPTIONS DE VALIDATION ET DE RAPPORT CLAIRES POUR FAVORISER LA TRANSPARENCE ET LA GRANULARITÉ. Exemple : Alignement accru entre les informations rapportées dans un rapport de conformité ou un questionnaire d'auto-évaluation et les informations résumées dans une attestation de conformité.
Contrôles compensatoires vs approche personnalisée © ControlCase. All Rights Reserved. 29 CONTRÔLES COMPENSATOIRES L'entité ne peut pas satisfaire à l'exigence telle qu'elle est énoncée en raison de contraintes techniques ou commerciales documentées, mais a mis en place des contrôles alternatifs pour atténuer le risque. APPROCHE PERSONNALISÉE L'entité a des pratiques matures de gestion des risques et choisit de mettre en œuvre différents contrôles qui répondent à l'objectif de l'approche personnalisée mais ne satisfait pas à l'exigence telle qu'elle est énoncée.
6 © ControlCase. All Rights Reserved. 30 CHRONOLOGIE DE LA NORME PCI DSS V4.0
2022 Q1 Q2 Q3 Q4 Communiqué officiel PCI DSS v4.0 avec documents de validation Formation ISA/QSA et documents d'accompagnement 31 mars 2024 Retrait de la norme PCI DSS v3.2.1 31 mars 2025 Les nouvelles exigences datées de l'avenir entrent en vigueur 2023 Q1 Q2 Q3 Q4 2024 Q1 Q2 Q3 Q4 2025 Q1 Q2 Q3 Q4 Calendrier de mise en œuvre de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 31 Période de transition de PCI DSS v3.2.1 à v4.0 Mise en œuvre de nouvelles exigences datant de l'aveni
Quelle est la prochaine étape ? © ControlCase. All Rights Reserved. 32 Q1 2022 • La norme PCI DSS v4.0 et les documents de validation ont été publiés le 31 mars. • Les résumés des commentaires des RFC seront disponibles sur le portail PCI. • Blog et contenu vidéo prévus pour introduire la v4.0 Q2 2022 • Les traductions, les documents d'accompagnement et les formations seront disponibles d'ici la fin du mois de juin. • Symposium mondial PCI DSS v4.0 Q3-Q4 2022 • Engagement, soutien des parties prenantes • Mises à jour supplémentaires des documents d'orientation
Transition de PCI DSS V3.2.1 a V4.0 © ControlCase. All Rights Reserved. 33 Q3 2022 *A partir de la fin juin • Formations transitoires QSA et ISA disponibles • Toute la documentation a été publiée • Les organisations peuvent commencer les évaluations par rapport à la v4.0 en utilisant des QSAs approuvés**. Q1 2024 *31 mars 2024 • Retraite PCI DSS v3.2.1 • PCI v4.0 devient la version exclusive à utiliser Q1 2025 *31 mars 2025 • Les nouvelles exigences PCI DSS avec des dates futures entrent en vigueur *Selon la chronologie actuelle formation avant d'entreprendre des évaluations v4.0 ** Les QSA doivent avoir terminé la v4.0 avec succès.
7 © ControlCase. All Rights Reserved. 34 QUESTIONS ET RÉPONSES
MERCI DE NOUS DONNER L'OCCASION DE CONTRIBUER À VOTRE PROGRAMME DE CONFORMITÉ INFORMATIQUE. www.controlcase.com (LONDON) + 1 703.483.6383 contact@controlcase.com

Recommandé

PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?
Djallal BOUABDALLAH
 
PCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfPCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdf
ControlCase
 
PCI DSS Compliance Checklist
PCI DSS Compliance ChecklistPCI DSS Compliance Checklist
PCI DSS Compliance Checklist
ControlCase
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSS
Saumya Vishnoi
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI compliance
Jisc
 
Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates
VISTA InfoSec
 
PCI DSS Compliance
PCI DSS CompliancePCI DSS Compliance
PCI DSS Compliance
Saumya Vishnoi
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 

Recommandé

PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?
Djallal BOUABDALLAH
 
PCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfPCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdf
ControlCase
 
PCI DSS Compliance Checklist
PCI DSS Compliance ChecklistPCI DSS Compliance Checklist
PCI DSS Compliance Checklist
ControlCase
 
Introduction to PCI DSS
Introduction to PCI DSSIntroduction to PCI DSS
Introduction to PCI DSS
Saumya Vishnoi
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI compliance
Jisc
 
Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates
VISTA InfoSec
 
PCI DSS Compliance
PCI DSS CompliancePCI DSS Compliance
PCI DSS Compliance
Saumya Vishnoi
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
Oscar Reyes Hevia
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
Internet Security Auditors
 
Iso27001
Iso27001 Iso27001
Iso27001
Arsene Allogo
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 
PCI-DSS_Overview
PCI-DSS_OverviewPCI-DSS_Overview
PCI-DSS_Overview
sameh Abulfotooh
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
Duy Do Phan
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0
Kriangkrai Chumsaktrakul
 
PCI DSS for Penetration Testing
PCI DSS for Penetration TestingPCI DSS for Penetration Testing
PCI DSS for Penetration Testing
Network Intelligence India
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
ControlCase
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
ControlCase
 
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
Jerimi Soma
 
PCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptxPCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptx
ControlCase
 
Apakah PCI DSS
Apakah PCI DSSApakah PCI DSS
Apakah PCI DSS
Hendrix Yapputro , Certified IT Architect
 
PCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step GuidePCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step Guide
AlienVault
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
P2PE - PCI DSS
P2PE - PCI DSSP2PE - PCI DSS
P2PE - PCI DSS
ControlCase
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to know
PECB
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
Cyber Security Alliance
 
Business case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNETBusiness case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNET
Matthieu DEMOOR
 

Contenu connexe

Tendances

La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to know
PECB
 

Tendances (20)

Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Iso27001
Iso27001 Iso27001
Iso27001
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
PCI-DSS_Overview
PCI-DSS_OverviewPCI-DSS_Overview
PCI-DSS_Overview
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0
 
PCI DSS for Penetration Testing
PCI DSS for Penetration TestingPCI DSS for Penetration Testing
PCI DSS for Penetration Testing
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
 
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
 
PCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptxPCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptx
 
Apakah PCI DSS
Apakah PCI DSSApakah PCI DSS
Apakah PCI DSS
 
PCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step GuidePCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step Guide
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
P2PE - PCI DSS
P2PE - PCI DSSP2PE - PCI DSS
P2PE - PCI DSS
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to know
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 

Similaire à French PCI DSS v4.0 Webinaire.pdf

Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational_France
 
Sisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-access
Sisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-accessSisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-access
Sisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-access
CERTyou Formation
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
Sebastien Gioria
 
3 certificats et csa - claire lenain
3 certificats et csa - claire lenain3 certificats et csa - claire lenain
3 certificats et csa - claire lenain
ASIP Santé
 
Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...
Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...
Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...
CERTyou Formation
 

Similaire à French PCI DSS v4.0 Webinaire.pdf (20)

ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
 
Business case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNETBusiness case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNET
 
PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...
PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...
PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieur
 
Sisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-access
Sisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-accessSisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-access
Sisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-access
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
 
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
SSO une solution pertinente
SSO une solution pertinenteSSO une solution pertinente
SSO une solution pertinente
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
3 certificats et csa - claire lenain
3 certificats et csa - claire lenain3 certificats et csa - claire lenain
3 certificats et csa - claire lenain
 
DCI Beta Systems
DCI Beta SystemsDCI Beta Systems
DCI Beta Systems
 
Top 10 des certifications les plus demandées en afrique en 2017
Top 10 des certifications les plus demandées en afrique en 2017Top 10 des certifications les plus demandées en afrique en 2017
Top 10 des certifications les plus demandées en afrique en 2017
 
Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...
Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...
Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...
 
HIT 2017 - ASIP Santé - Matinée CPS
HIT 2017 - ASIP Santé - Matinée CPS HIT 2017 - ASIP Santé - Matinée CPS
HIT 2017 - ASIP Santé - Matinée CPS
 

Plus de ControlCase

Plus de ControlCase (20)

Maintaining Data Privacy with Ashish Kirtikar
Maintaining Data Privacy with Ashish KirtikarMaintaining Data Privacy with Ashish Kirtikar
Maintaining Data Privacy with Ashish Kirtikar
 
Integrated Compliance Webinar.pptx
Integrated Compliance Webinar.pptxIntegrated Compliance Webinar.pptx
Integrated Compliance Webinar.pptx
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf
 
DFARS CMMC SPRS NIST 800-171 Explainer.pdf
DFARS CMMC SPRS NIST 800-171 Explainer.pdfDFARS CMMC SPRS NIST 800-171 Explainer.pdf
DFARS CMMC SPRS NIST 800-171 Explainer.pdf
 
Webinar-MSP+ Cyber Insurance Fina.pptx
Webinar-MSP+ Cyber Insurance Fina.pptxWebinar-MSP+ Cyber Insurance Fina.pptx
Webinar-MSP+ Cyber Insurance Fina.pptx
 
2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf
2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf
2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf
 
Webinar - CMMC Certification.pptx
Webinar - CMMC Certification.pptxWebinar - CMMC Certification.pptx
Webinar - CMMC Certification.pptx
 
HITRUST Certification
HITRUST CertificationHITRUST Certification
HITRUST Certification
 
CMMC Certification
CMMC CertificationCMMC Certification
CMMC Certification
 
FedRAMP Certification & FedRAMP Marketplace
FedRAMP Certification & FedRAMP MarketplaceFedRAMP Certification & FedRAMP Marketplace
FedRAMP Certification & FedRAMP Marketplace
 
SOC 2 Compliance and Certification
SOC 2 Compliance and CertificationSOC 2 Compliance and Certification
SOC 2 Compliance and Certification
 
OneAudit™ - Assess Once, Certify to Many
OneAudit™ - Assess Once, Certify to ManyOneAudit™ - Assess Once, Certify to Many
OneAudit™ - Assess Once, Certify to Many
 
Continuous Compliance Monitoring
Continuous Compliance MonitoringContinuous Compliance Monitoring
Continuous Compliance Monitoring
 
Managing Multiple Assessments Using Zero Trust Principles
Managing Multiple Assessments Using Zero Trust PrinciplesManaging Multiple Assessments Using Zero Trust Principles
Managing Multiple Assessments Using Zero Trust Principles
 
PCI DSS Compliance in the Cloud
PCI DSS Compliance in the CloudPCI DSS Compliance in the Cloud
PCI DSS Compliance in the Cloud
 
Performing One Audit Using Zero Trust Principles
Performing One Audit Using Zero Trust PrinciplesPerforming One Audit Using Zero Trust Principles
Performing One Audit Using Zero Trust Principles
 
Vendor Management for PCI DSS, HIPAA, and FFIEC
Vendor Management for PCI DSS, HIPAA, and FFIECVendor Management for PCI DSS, HIPAA, and FFIEC
Vendor Management for PCI DSS, HIPAA, and FFIEC
 
Performing PCI DSS Assessments Using Zero Trust Principles
Performing PCI DSS Assessments Using Zero Trust PrinciplesPerforming PCI DSS Assessments Using Zero Trust Principles
Performing PCI DSS Assessments Using Zero Trust Principles
 
PCI DSS Business as Usual
PCI DSS Business as UsualPCI DSS Business as Usual
PCI DSS Business as Usual
 

French PCI DSS v4.0 Webinaire.pdf

  • 1. WEBINAR: PCI DSS 4.0 VOTRE PARTENAIRE EN MATIÈRE DE CONFORMITÉ INFORMATIQUE - ALLEZ AU-DELÀ DE LA LISTE DE CONTRÔLE Télécharger l'aide-mémoire PCI DSS 4.0 Programme de la discussion sur la certification PCI DSS
  • 2. INTRODUCTIONS Yossra Antit Consultant en sécurité de l'information, ControlCase Karolien Holsters Directeur du développement commercial, Europe, Moyen-Orient et Afrique, ControlCase
  • 3. À propos de ControlCase À propos de PCI DSS Historique de la norme PCI DSS PCI DSS v4.0 Mise à jour du ControlCase Plongée en profondeur : Changements notables Chronologie de la norme PCI DSS v4.0 Agenda 3 1 2 3 4 5 6
  • 4. 1 © ControlCase. All Rights Reserved. 4 À PROPOS DE CONTROLCASE
  • 5. Aperçu de ControlCase © ControlCase. All Rights Reserved. 5 SERVICES DE CERTIFICATION ET DE CONFORMITÉ CONTINUE Allez au-delà de la liste de contrôle de l'auditeur pour : Réduire considérablement le temps, les coûts et la charge liés à l'obtention de la certification et au maintien de la conformité informatique. • Démontrer la conformité de manière plus efficace et plus rentable (certitude des coûts) • Améliorer l'efficacité • Faites plus avec moins de ressources et gagnez en sérénité en matière de conformité. • Libérez vos ressources internes pour qu'elles puissent se concentrer sur leurs priorités. • Déchargez une grande partie de la charge de conformité à un partenaire de confiance. PLUS DE 1,000 PLUS DE 275 PLUS DE 10,000 CLIENTES CERTIFICATIONS EN SÉCURITÉ INFORMATIQUE EXPERTS EN SÉCURITÉ
  • 6. Solución © ControlCase. All Rights Reserved. 6 Services de certification et de conformité continue “ J'ai travaillé sur les deux côtés de l'audit. Je n'ai vu aucun autre cabinet fournir le même produit et service avec la même valeur. Aucun autre cabinet n'offre cette amélioration continue, ce niveau de détail et cette réactivité. — Responsable de la sécurité et de la conformité, centre de données ControlCase Compliance Hub® Axé sur l’automatisation Services de Conformité Continue Approche Partenariale Services de Certification Informatique
  • 7. Partenariat stratégique de sécurité pour la conformité à la norme PCI DSS © ControlCase. All Rights Reserved. 7 Les évaluations PCI DSS doivent être réalisées par un évaluateur de sécurité qualifié (QSA). ControlCase est une société QSA offrant les services suivants : Approche associative Gestion de la réussite client Équipe d'assistance réactive Expérience proactivea Pensée créative
  • 8. Services de certification © ControlCase. All Rights Reserved. 8 “ Vous avez 27 secondes pour faire une première impression. Et après notre première rencontre, il est apparu clairement qu'ils étaient plus intéressés à aider notre entreprise et à établir une relation, qu'à simplement obtenir le marché. — Directeur senior, Risque et conformité de l'information, grand marchand PCI DSS ISO 27001-2 SOC 1,2,3,& Cybersecurity HIPAA FedRAMP PCI P2PE GDPR NIST 800-53 PCI PIN PCI SSF/SLC CSA STAR HITRUST CSF One Audit™ Évaluez une fois. Se conformer à plusieurs..
  • 9. Tableau de bord de l'audit ControlCase One Audit™ © ControlCase. All Rights Reserved. 9
  • 10. 2 © ControlCase. All Rights Reserved. 10 À PROPOS DE PCI DSS
  • 11. Qu'est-ce que la norme PCI DSS ? NORME DE SÉCURITÉ DES DONNÉES DE L'INDUSTRIE DES CARTES DE PAIEMENT Créée en 2006 par les principaux émetteurs de cartes de paiement. (VISA, MasterCard, American Express, JCB International et Discover Financial Services) Mantenido por el Consejo de Estándares de Seguridad PCI (PCI SSC). La norme PCI DSS fournit des exigences opérationnelles et techniques pour protéger les données des titulaires de cartes. ACTUELLEMENT EN PCI DSS VERSION 3.2 LA VERSION 4.0 DE LA NORME PCI DSS VIENT D'ÊTRE ANNONCÉE. © ControlCase. All Rights Reserved. 11
  • 12. 12 Exigences de PCI DSS © ControlCase. All Rights Reserved. 12 OBJECTIFS DE CONTRÔLE (6 PRINCIPES) 12 EXIGENCES Construire et maintenir un réseau sécurisé 1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes. 2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité. Protéger les données des titulaires de cartes 3. Protéger les données stockées des titulaires de cartes 4. Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics. Maintenir un programme de gestion des vulnérabilités 5. Utilisez et mettez régulièrement à jour un logiciel antivirus sur tous les systèmes couramment touchés par les logiciels malveillants. 6. Développer et maintenir des systèmes et des applications sécurisés Mettre en place de solides mesures de contrôle d'accès 7. Restreindre l'accès aux données des titulaires de cartes en fonction du besoin d'en connaître. 8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur. 9. Limiter l'accès physique aux données des titulaires de cartes Contrôler et tester régulièrement les réseaux 10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes. 11. Tester régulièrement les systèmes et processus de sécurité Maintenir une politique de sécurité de l'information 12. Maintenir une politique qui traite de la sécurité de l'information
  • 13. Famille de normes PCI DSS © ControlCase. All Rights Reserved. 13  PCI DSS Sécurité des environnements qui stockent, traitent ou transmettent des données de compte  PCI PA-DSS Les applications de paiement sont conformes à la norme PCI DSS  PCI P2PE Garantit que les données sont cryptées au point d'accès et ne peuvent être décryptées que par un environnement dédié.  PCI TSP Exigences pour les fournisseurs de services de jetons pour les jetons de paiement EMV  Production de cartes PCI Exigences de sécurité physique et logique pour la fabrication et la personnalisation des cartes  PCI 3DS Exigences physiques et logiques pour les entités qui mettent en œuvre la solution de paiement 3DS  PCI PTS - HSM Contrôles physiques et logiques pour sécuriser le HSM  PCI PTS - POI Protection des données sensibles chez POI  PCI PTS - Sécurité du PIN Gestion, traitement et transmission sécurisés des données PIN
  • 14. Données en question (données relatives aux cartes de crédit et de débit) © ControlCase. All Rights Reserved. 14 LES DONNÉES DU TITULAIRE DE LA CARTE COMPRENNENT : • Numéro de compte primaire (PAN) • Nom du titulaire de la carte • Date d'expiration • Code de service LES DONNÉES D'AUTHENTIFICATION SENSIBLES COMPRENNENT : • Données sur la piste complète • CAV2/CVC2/CVV2/CID • PINs/Blocs PINs Types de données sur une carte de crédit Date d'expiration Bande magnétique (données sur les pistes 1 et 2) Numéro de compte principal Code d'identific ation de la carte de crédit (American Express Code d'identification de la carte de crédit (American Express) Code d'identification de la carte de crédit. (Discover, JCB, MasterCard, Visa)
  • 15. 3 © ControlCase. All Rights Reserved. 15 HISTORIQUE DE LA NORME PCI DSS
  • 16. Histoire de PCI DSS Dates de publication de PCI DSS © ControlCase. All Rights Reserved. 16 • PCI DSS v1 - Décembre 2004 • PCI DSS v1.1- Septembre 2006 • PCI DSS v1.2- Octobre 2008 • PCI DSS v2 - Octobre 2010 • PCI DSS v3 - Novembre 2013 • PCI DSS v3.1 - Avril 2015 • PCI DSS v3.2 - Avril 2016 • PCI DSS v3.2.1 - Mai 2018 • PCI DSS v4 - Mars 2022
  • 17. 4 © ControlCase. All Rights Reserved. 17 PCI DSS V4.0 MISE À JOUR DU CONTROLCASE
  • 18. Mise à jour de PCI DSS V4.0 Aucune entreprise ne peut pas encore certifier des autres entreprises dans PCI DSS V 4.0. Le Conseil PCI a publié une liste de modifications e documentation en ligne. ControlCase mettra les clients au courrant lorsque nous nous rapprochons du 3ème trimester de l’année 2022. Jusque-là, notre processus d’évaluation n’aura aucun changement. Le Conseil PCI offrira la première formation en juin 2022 – après quoi les QSA pourront commencer les évaluations dans le cadre de PCI DSS 4.0. Les entreprises disposeront de 2 ans pour faire la transition à la version v4.0, mais elles pourront également le faire plus tôt. © ControlCase. All Rights Reserved. 18
  • 19. Objectifs de PCI DSS v4.0 PCI DSS v4.0 est la nouvelle generation de la norme et a les objectifs suivants: • Continuer à répondre aux besoins de sécurité de l’industrie de paiements • Promouvoir la sécurité en tant que processus continue • Augmenter la flexibilité pour les organisations qui utilisent méthodes différentes pout atteindre les objectifs de sécurité • Améliorer les méthodes et procedures de validation © ControlCase. All Rights Reserved. 19
  • 20. Changements critiques de PCI DSS v3.2.1 à v4.0 © ControlCase. All Rights Reserved. 20 CHANGEMENTS MÉTHODOLOGIQUES • Plusieurs petites mises à jour des exigences avec des clarifications ou guide supplémentaires • Introduction d’une approche personalisée pour offrir une méthode de validation des exigences supplémentaire pour atteindre l’objectif de l’exigence • Introduction d’une analyse de risque ciblée pour diverses exigences critiques • Pour les fournisseurs de services – Confirmation de la portée PCI DSS au moins une fois tous les 6 mois et en cas d’un changement important de l’environnement de la portée NOUVELLES EXIGENCES QUI PEUVENT NÉCESSITER DES EFFORTS/MISES EN ŒUVRE IMPORTANTS • Exigences strictes en matière de mot de pass et de MFA (Authentification Multifacteur) • Mécanismes de detection et protection du personnel contre les attaques phishing • Sollution technique automatisée pour les applications web publiques qui détecte regulièrement et prévient les attaques web • Mécanismes automatisés pour examiner les journaux d’audit pour tous les CDE et les système critiques • Analyses internes de vulnérabilité via une analyse authentifiée
  • 21. 5 © ControlCase. All Rights Reserved. 21 PLONGÉE DANS LES CHANGEMENTS NOTABLES
  • 22. 12 Exigences de PCI DSS v3.2.1 par rapport à v4.0 PCI DSS v3.2.1 - 12 EXIGENCES PCI DSS v4.0 - 12 EXIGENCES 1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes. 2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité. 3. Installer et maintenir les contrôles de sécurité du réseau 4. Appliquer des configurations sécurisées à tous les composants du système 3. Protéger les données stockées des titulaires de cartes 4. Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics. 3. Protéger les données des comptes stockés 4. Protéger les données des titulaires de cartes grâce à une cryptographie puissante lors de la transmission sur des réseaux publics ouverts 5. Utilisez et mettez régulièrement à jour un logiciel antivirus sur tous les systèmes couramment touchés par les logiciels malveillants. 6. Développer et maintenir des systèmes et des applications sécurisés 5. Protéger tous les systèmes et réseaux contre les logiciels malveillants 6. Développer et maintenir des systèmes et logiciels sécurisés 7. Restreindre l'accès aux données des titulaires de cartes en fonction du besoin d'en connaître. 8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur. 9. Limiter l'accès physique aux données des titulaires de cartes 7. Restreindre l'accès aux composants du système et aux données des titulaires de cartes en fonction du besoin d'en connaître. 8. Identifier les utilisateurs et authentifier l'accès aux composants du système 9. Limiter l'accès physique aux données des titulaires de cartes 10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes. 11. Tester régulièrement les systèmes et processus de sécurité 10. Consigner et surveiller tous les accès aux composants du système et aux données des titulaires de carte 11. Tester régulièrement la sécurité des systèmes et des réseaux 12. Maintenir une politique qui traite de la sécurité de l'information 12. Soutenir la sécurité de l'information par des politiques et des programmes organisationnels © ControlCase. All Rights Reserved. 22
  • 23. Principales mises à jour des exigences de la norme PCI DSS v4.0 Titre © ControlCase. All Rights Reserved. 23 • Exigence 1 : • Changement du titre de l'exigence de "Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes" à "Installer et maintenir des contrôles de sécurité du réseau". • Mise à jour du titre de l'exigence pour refléter l'accent mis sur des "contrôles de sécurité du réseau" plus larges. Remplacement de "pare-feu" et "routeurs" par "contrôles de sécurité du réseau" afin de prendre en charge un éventail plus large de technologies, y compris la technologie du cloud utilisée pour atteindre les objectifs de sécurité traditionnellement atteints par les pare-feu. • Exigence 2 : • Changement du titre de l'exigence "Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité" en "Appliquer des configurations sécurisées à tous les composants du système". • Mise à jour du titre de l'exigence pour indiquer que l'accent est mis sur les configurations sécurisées en général, et pas seulement sur les valeurs par défaut fournies par le fournisseur. • Exigence 3 : • Changement du titre de l'exigence de "Protéger les données stockées des titulaires de cartes" à "Protéger les données stockées des comptes". • Mise à jour du titre de l'exigence pour refléter l'accent mis sur les données de compte. Remplacement de "Données du titulaire de carte" par "Données du compte" pour appliquer les exigences de protection des données aux données du titulaire de carte et aux données d'authentification sensibles, et pas seulement aux données du titulaire de carte, afin d'être réceptif aux besoins des diverses parties telles que les émetteurs.
  • 24. Principales mises à jour des exigences de la norme PCI DSS v4.0 Titre © ControlCase. All Rights Reserved. 24 • Exigence 5 : • Changement du titre de l'exigence de "Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels ou programmes anti- virus" à "Protéger tous les systèmes et réseaux contre les logiciels malveillants". • Mise à jour du titre de l'exigence pour refléter l'accent mis sur la protection de tous les systèmes et réseaux contre les logiciels malveillants. Remplacement de "anti- virus" par "anti-malware" dans l'ensemble de l'exigence afin de prendre en charge une gamme plus large de technologies utilisées pour atteindre les objectifs de sécurité traditionnellement atteints par les logiciels anti-virus. • Exigence 12 : • Changement du titre de l'exigence de "Maintenir une politique qui traite de la sécurité des informations pour tout le personnel" à "Soutenir la sécurité des informations avec des politiques et des programmes organisationnels". • Mise à jour du titre de l'exigence pour refléter le fait que l'accent est mis sur les politiques et programmes organisationnels qui soutiennent la sécurité des informations.
  • 25. Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 25 CONTINUER À RÉPONDRE AUX BESOINS DE SÉCURITÉ DU SECTEUR DES PAIEMENTS Les pratiques de sécurité doivent évoluer pour continuer à répondre aux besoins de sécurité du secteur des paiements à mesure que les menaces changent. Exemple : Mise à jour des exigences en matière d'authentification multifactorielle (MFA). Mise à jour des exigences en matière de mots de passe, conformément aux meilleures pratiques actuelles du secteur. Ajout de nouvelles normes en matière de commerce électronique et de phishing pour faire face aux menaces permanentes. Mise à jour des exigences relatives au traitement sécurisé des données d'authentification sensibles (DAS). Ajout d'une exigence d'analyse de vulnérabilité interne authentifiée pour une meilleure connaissance du paysage de vulnérabilité des organisations.
  • 26. Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 26 PROMOUVOIR LA SÉCURITÉ COMME UN PROCESSUS CONTINU PROMOUVOIR LA SÉCURITÉ COMME UN PROCESSUS CONTINU, CAR UNE SÉCURITÉ PERMANENTE EST ESSENTIELLE POUR PROTÉGER LES DONNÉES DE PAIEMENT. Exemple : Rôles et responsabilités clairement attribués au personnel travaillant sur chaque exigence. Des conseils ont été ajoutés à l'ensemble des exigences pour aider les organisations à mieux comprendre comment mettre en œuvre et maintenir la sécurité. Ajout d'une nouvelle option de rapport pour mettre en évidence les domaines
  • 27. Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 27 AUGMENTER LA FLEXIBILITÉ POUR LES ORGANISATIONS UTILISANT DIFFÉRENTES MÉTHODES POUR ATTEINDRE LES OBJECTIFS DE SÉCURITÉ. Fournir plus d'options et différentes méthodes de validation afin d'accroître la flexibilité des organisations pour atteindre les objectifs de sécurité et soutenir l'innovation en matière de technologie de paiement. Exemple : Autorise l'utilisation de comptes de groupe, partagés et publics avec des exceptions. Introduction d'analyses de risques ciblées qui permettent aux organisations de déterminer la fréquence d'exécution de certaines activités. L'introduction d'une nouvelle méthode d'approche personnalisée pour valider les exigences PCI DSS, donne aux organisations une autre option pour envisager des méthodes innovantes pour atteindre leurs objectifs de sécurité.
  • 28. Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 28 AMÉLIORER LES MÉTHODES ET PROCÉDURES DE VALIDATION AVEC DES OPTIONS DE VALIDATION ET DE RAPPORT CLAIRES POUR FAVORISER LA TRANSPARENCE ET LA GRANULARITÉ. Exemple : Alignement accru entre les informations rapportées dans un rapport de conformité ou un questionnaire d'auto-évaluation et les informations résumées dans une attestation de conformité.
  • 29. Contrôles compensatoires vs approche personnalisée © ControlCase. All Rights Reserved. 29 CONTRÔLES COMPENSATOIRES L'entité ne peut pas satisfaire à l'exigence telle qu'elle est énoncée en raison de contraintes techniques ou commerciales documentées, mais a mis en place des contrôles alternatifs pour atténuer le risque. APPROCHE PERSONNALISÉE L'entité a des pratiques matures de gestion des risques et choisit de mettre en œuvre différents contrôles qui répondent à l'objectif de l'approche personnalisée mais ne satisfait pas à l'exigence telle qu'elle est énoncée.
  • 30. 6 © ControlCase. All Rights Reserved. 30 CHRONOLOGIE DE LA NORME PCI DSS V4.0
  • 31. 2022 Q1 Q2 Q3 Q4 Communiqué officiel PCI DSS v4.0 avec documents de validation Formation ISA/QSA et documents d'accompagnement 31 mars 2024 Retrait de la norme PCI DSS v3.2.1 31 mars 2025 Les nouvelles exigences datées de l'avenir entrent en vigueur 2023 Q1 Q2 Q3 Q4 2024 Q1 Q2 Q3 Q4 2025 Q1 Q2 Q3 Q4 Calendrier de mise en œuvre de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 31 Période de transition de PCI DSS v3.2.1 à v4.0 Mise en œuvre de nouvelles exigences datant de l'aveni
  • 32. Quelle est la prochaine étape ? © ControlCase. All Rights Reserved. 32 Q1 2022 • La norme PCI DSS v4.0 et les documents de validation ont été publiés le 31 mars. • Les résumés des commentaires des RFC seront disponibles sur le portail PCI. • Blog et contenu vidéo prévus pour introduire la v4.0 Q2 2022 • Les traductions, les documents d'accompagnement et les formations seront disponibles d'ici la fin du mois de juin. • Symposium mondial PCI DSS v4.0 Q3-Q4 2022 • Engagement, soutien des parties prenantes • Mises à jour supplémentaires des documents d'orientation
  • 33. Transition de PCI DSS V3.2.1 a V4.0 © ControlCase. All Rights Reserved. 33 Q3 2022 *A partir de la fin juin • Formations transitoires QSA et ISA disponibles • Toute la documentation a été publiée • Les organisations peuvent commencer les évaluations par rapport à la v4.0 en utilisant des QSAs approuvés**. Q1 2024 *31 mars 2024 • Retraite PCI DSS v3.2.1 • PCI v4.0 devient la version exclusive à utiliser Q1 2025 *31 mars 2025 • Les nouvelles exigences PCI DSS avec des dates futures entrent en vigueur *Selon la chronologie actuelle formation avant d'entreprendre des évaluations v4.0 ** Les QSA doivent avoir terminé la v4.0 avec succès.
  • 34. 7 © ControlCase. All Rights Reserved. 34 QUESTIONS ET RÉPONSES
  • 35. MERCI DE NOUS DONNER L'OCCASION DE CONTRIBUER À VOTRE PROGRAMME DE CONFORMITÉ INFORMATIQUE. www.controlcase.com (LONDON) + 1 703.483.6383 contact@controlcase.com