Contenu connexe Similaire à French PCI DSS v4.0 Webinaire.pdf (20) French PCI DSS v4.0 Webinaire.pdf1. WEBINAR:
PCI DSS 4.0
VOTRE PARTENAIRE EN MATIÈRE DE CONFORMITÉ
INFORMATIQUE - ALLEZ AU-DELÀ DE LA LISTE DE
CONTRÔLE
Télécharger l'aide-mémoire PCI DSS 4.0
Programme de la discussion sur la certification PCI DSS
3. À propos de ControlCase
À propos de PCI DSS
Historique de la norme PCI DSS
PCI DSS v4.0 Mise à jour du ControlCase
Plongée en profondeur : Changements notables
Chronologie de la norme PCI DSS v4.0
Agenda
3
1
2
3
4
5
6
5. Aperçu de ControlCase
© ControlCase. All Rights Reserved. 5
SERVICES DE CERTIFICATION ET DE CONFORMITÉ CONTINUE
Allez au-delà de la liste de contrôle de l'auditeur pour :
Réduire considérablement le temps, les coûts et la charge liés à l'obtention
de la certification et au maintien de la conformité informatique.
• Démontrer la conformité de manière plus
efficace et plus rentable (certitude des coûts)
• Améliorer l'efficacité
• Faites plus avec moins de ressources et
gagnez en sérénité en matière de
conformité.
• Libérez vos ressources internes pour qu'elles
puissent se concentrer sur leurs priorités.
• Déchargez une grande partie de la charge
de conformité à un partenaire de confiance.
PLUS DE
1,000
PLUS DE
275
PLUS DE
10,000
CLIENTES CERTIFICATIONS EN
SÉCURITÉ
INFORMATIQUE
EXPERTS EN
SÉCURITÉ
6. Solución
© ControlCase. All Rights Reserved. 6
Services de certification et de conformité continue
“
J'ai travaillé sur les deux côtés de l'audit.
Je n'ai vu aucun autre cabinet fournir le
même produit et service avec la même
valeur. Aucun autre cabinet n'offre cette
amélioration continue, ce niveau de détail
et cette réactivité.
— Responsable de la sécurité et de la conformité,
centre de données
ControlCase
Compliance Hub®
Axé sur l’automatisation
Services de Conformité
Continue
Approche
Partenariale
Services de Certification
Informatique
7. Partenariat stratégique de sécurité pour la conformité à la norme PCI DSS
© ControlCase. All Rights Reserved. 7
Les évaluations PCI DSS doivent être réalisées par un
évaluateur de sécurité qualifié (QSA).
ControlCase est une société QSA offrant les services suivants :
Approche associative
Gestion de la
réussite client
Équipe
d'assistance
réactive
Expérience
proactivea
Pensée créative
8. Services de certification
© ControlCase. All Rights Reserved. 8
“
Vous avez 27 secondes pour faire une
première impression. Et après notre
première rencontre, il est apparu
clairement qu'ils étaient plus intéressés à
aider notre entreprise et à établir une
relation, qu'à simplement obtenir le
marché.
— Directeur senior, Risque et conformité de
l'information, grand marchand
PCI DSS ISO 27001-2 SOC 1,2,3,&
Cybersecurity
HIPAA
FedRAMP PCI P2PE GDPR NIST 800-53
PCI PIN PCI SSF/SLC CSA STAR HITRUST CSF
One Audit™
Évaluez une fois. Se conformer à plusieurs..
9. Tableau de bord de l'audit ControlCase One Audit™
© ControlCase. All Rights Reserved. 9
11. Qu'est-ce que la norme PCI DSS ?
NORME DE SÉCURITÉ DES DONNÉES DE L'INDUSTRIE
DES CARTES DE PAIEMENT
Créée en 2006 par les principaux
émetteurs de cartes de paiement.
(VISA, MasterCard, American Express,
JCB International et Discover Financial
Services)
Mantenido por el Consejo de
Estándares de Seguridad PCI
(PCI SSC).
La norme PCI DSS fournit des
exigences opérationnelles et
techniques pour protéger les
données des titulaires de cartes.
ACTUELLEMENT EN PCI DSS VERSION 3.2
LA VERSION 4.0 DE LA NORME PCI DSS VIENT D'ÊTRE
ANNONCÉE.
© ControlCase. All Rights Reserved. 11
12. 12 Exigences de PCI DSS
© ControlCase. All Rights Reserved. 12
OBJECTIFS DE CONTRÔLE (6 PRINCIPES) 12 EXIGENCES
Construire et maintenir un réseau sécurisé
1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de
cartes.
2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et
autres paramètres de sécurité.
Protéger les données des titulaires de cartes
3. Protéger les données stockées des titulaires de cartes
4. Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics.
Maintenir un programme de gestion des vulnérabilités
5. Utilisez et mettez régulièrement à jour un logiciel antivirus sur tous les systèmes couramment
touchés par les logiciels malveillants.
6. Développer et maintenir des systèmes et des applications sécurisés
Mettre en place de solides mesures de contrôle d'accès
7. Restreindre l'accès aux données des titulaires de cartes en fonction du besoin d'en connaître.
8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur.
9. Limiter l'accès physique aux données des titulaires de cartes
Contrôler et tester régulièrement les réseaux
10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes.
11. Tester régulièrement les systèmes et processus de sécurité
Maintenir une politique de sécurité de l'information 12. Maintenir une politique qui traite de la sécurité de l'information
13. Famille de normes PCI DSS
© ControlCase. All Rights Reserved. 13
PCI DSS Sécurité des environnements qui stockent, traitent ou transmettent des données de compte
PCI PA-DSS Les applications de paiement sont conformes à la norme PCI DSS
PCI P2PE Garantit que les données sont cryptées au point d'accès et ne peuvent être décryptées que par un
environnement dédié.
PCI TSP Exigences pour les fournisseurs de services de jetons pour les jetons de paiement EMV
Production de cartes PCI Exigences de sécurité physique et logique pour la fabrication et la personnalisation des cartes
PCI 3DS Exigences physiques et logiques pour les entités qui mettent en œuvre la solution de paiement 3DS
PCI PTS - HSM Contrôles physiques et logiques pour sécuriser le HSM
PCI PTS - POI Protection des données sensibles chez POI
PCI PTS - Sécurité du PIN Gestion, traitement et transmission sécurisés des données PIN
14. Données en question (données relatives aux cartes de crédit et de débit)
© ControlCase. All Rights Reserved. 14
LES DONNÉES DU TITULAIRE DE LA CARTE
COMPRENNENT :
• Numéro de compte primaire (PAN)
• Nom du titulaire de la carte
• Date d'expiration
• Code de service
LES DONNÉES D'AUTHENTIFICATION SENSIBLES
COMPRENNENT :
• Données sur la piste complète
• CAV2/CVC2/CVV2/CID
• PINs/Blocs PINs
Types de données sur une carte de crédit
Date d'expiration Bande magnétique
(données sur les
pistes 1 et 2)
Numéro de
compte
principal
Code
d'identific
ation de
la carte
de crédit
(American
Express
Code d'identification de la
carte de crédit (American
Express)
Code d'identification de la carte
de crédit. (Discover, JCB,
MasterCard, Visa)
16. Histoire de PCI DSS
Dates de publication de PCI DSS
© ControlCase. All Rights Reserved. 16
• PCI DSS v1 - Décembre 2004
• PCI DSS v1.1- Septembre 2006
• PCI DSS v1.2- Octobre 2008
• PCI DSS v2 - Octobre 2010
• PCI DSS v3 - Novembre 2013
• PCI DSS v3.1 - Avril 2015
• PCI DSS v3.2 - Avril 2016
• PCI DSS v3.2.1 - Mai 2018
• PCI DSS v4 - Mars 2022
18. Mise à jour de PCI DSS V4.0
Aucune entreprise ne peut pas encore certifier
des autres entreprises dans PCI DSS V 4.0.
Le Conseil PCI a publié une liste de modifications
e documentation en ligne. ControlCase mettra les
clients au courrant lorsque nous nous
rapprochons du 3ème trimester de l’année 2022.
Jusque-là, notre processus d’évaluation n’aura
aucun changement.
Le Conseil PCI offrira la première formation en
juin 2022 – après quoi les QSA pourront
commencer les évaluations dans le cadre de PCI
DSS 4.0.
Les entreprises disposeront de 2 ans pour faire la
transition à la version v4.0, mais elles pourront
également le faire plus tôt.
© ControlCase. All Rights Reserved. 18
19. Objectifs de PCI DSS v4.0
PCI DSS v4.0 est la nouvelle generation de la norme et a les objectifs suivants:
• Continuer à répondre aux besoins de sécurité de l’industrie de paiements
• Promouvoir la sécurité en tant que processus continue
• Augmenter la flexibilité pour les organisations qui utilisent méthodes différentes pout atteindre les objectifs de
sécurité
• Améliorer les méthodes et procedures de validation
© ControlCase. All Rights Reserved. 19
20. Changements critiques de PCI DSS v3.2.1 à v4.0
© ControlCase. All Rights Reserved. 20
CHANGEMENTS MÉTHODOLOGIQUES
• Plusieurs petites mises à jour des exigences avec des
clarifications ou guide supplémentaires
• Introduction d’une approche personalisée pour offrir
une méthode de validation des exigences
supplémentaire pour atteindre l’objectif de l’exigence
• Introduction d’une analyse de risque ciblée pour
diverses exigences critiques
• Pour les fournisseurs de services – Confirmation de la
portée PCI DSS au moins une fois tous les 6 mois et
en cas d’un changement important de l’environnement
de la portée
NOUVELLES EXIGENCES QUI PEUVENT
NÉCESSITER DES EFFORTS/MISES EN ŒUVRE
IMPORTANTS
• Exigences strictes en matière de mot de pass et de
MFA (Authentification Multifacteur)
• Mécanismes de detection et protection du personnel
contre les attaques phishing
• Sollution technique automatisée pour les applications
web publiques qui détecte regulièrement et prévient
les attaques web
• Mécanismes automatisés pour examiner les journaux
d’audit pour tous les CDE et les système critiques
• Analyses internes de vulnérabilité via une analyse
authentifiée
22. 12 Exigences de PCI DSS v3.2.1 par rapport à v4.0
PCI DSS v3.2.1 - 12 EXIGENCES PCI DSS v4.0 - 12 EXIGENCES
1. Installer et maintenir une configuration de pare-feu pour protéger les données des
titulaires de cartes.
2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de
passe système et autres paramètres de sécurité.
3. Installer et maintenir les contrôles de sécurité du réseau
4. Appliquer des configurations sécurisées à tous les composants du système
3. Protéger les données stockées des titulaires de cartes
4. Crypter la transmission des données des titulaires de cartes sur les réseaux
ouverts et publics.
3. Protéger les données des comptes stockés
4. Protéger les données des titulaires de cartes grâce à une cryptographie puissante
lors de la transmission sur des réseaux publics ouverts
5. Utilisez et mettez régulièrement à jour un logiciel antivirus sur tous les systèmes
couramment touchés par les logiciels malveillants.
6. Développer et maintenir des systèmes et des applications sécurisés
5. Protéger tous les systèmes et réseaux contre les logiciels malveillants
6. Développer et maintenir des systèmes et logiciels sécurisés
7. Restreindre l'accès aux données des titulaires de cartes en fonction du besoin
d'en connaître.
8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur.
9. Limiter l'accès physique aux données des titulaires de cartes
7. Restreindre l'accès aux composants du système et aux données des titulaires de
cartes en fonction du besoin d'en connaître.
8. Identifier les utilisateurs et authentifier l'accès aux composants du système
9. Limiter l'accès physique aux données des titulaires de cartes
10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des
titulaires de cartes.
11. Tester régulièrement les systèmes et processus de sécurité
10. Consigner et surveiller tous les accès aux composants du système et aux données
des titulaires de carte
11. Tester régulièrement la sécurité des systèmes et des réseaux
12. Maintenir une politique qui traite de la sécurité de l'information
12. Soutenir la sécurité de l'information par des politiques et des programmes
organisationnels
© ControlCase. All Rights Reserved. 22
23. Principales mises à jour des exigences de la norme PCI DSS v4.0 Titre
© ControlCase. All Rights Reserved. 23
• Exigence 1 :
• Changement du titre de l'exigence de "Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes" à "Installer et maintenir
des contrôles de sécurité du réseau".
• Mise à jour du titre de l'exigence pour refléter l'accent mis sur des "contrôles de sécurité du réseau" plus larges. Remplacement de "pare-feu" et "routeurs" par
"contrôles de sécurité du réseau" afin de prendre en charge un éventail plus large de technologies, y compris la technologie du cloud utilisée pour atteindre les
objectifs de sécurité traditionnellement atteints par les pare-feu.
• Exigence 2 :
• Changement du titre de l'exigence "Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de
sécurité" en "Appliquer des configurations sécurisées à tous les composants du système".
• Mise à jour du titre de l'exigence pour indiquer que l'accent est mis sur les configurations sécurisées en général, et pas seulement sur les valeurs par défaut
fournies par le fournisseur.
• Exigence 3 :
• Changement du titre de l'exigence de "Protéger les données stockées des titulaires de cartes" à "Protéger les données stockées des comptes".
• Mise à jour du titre de l'exigence pour refléter l'accent mis sur les données de compte. Remplacement de "Données du titulaire de carte" par "Données du compte"
pour appliquer les exigences de protection des données aux données du titulaire de carte et aux données d'authentification sensibles, et pas seulement aux
données du titulaire de carte, afin d'être réceptif aux besoins des diverses parties telles que les émetteurs.
24. Principales mises à jour des exigences de la norme PCI DSS v4.0 Titre
© ControlCase. All Rights Reserved. 24
• Exigence 5 :
• Changement du titre de l'exigence de "Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels ou programmes anti-
virus" à "Protéger tous les systèmes et réseaux contre les logiciels malveillants".
• Mise à jour du titre de l'exigence pour refléter l'accent mis sur la protection de tous les systèmes et réseaux contre les logiciels malveillants. Remplacement de "anti-
virus" par "anti-malware" dans l'ensemble de l'exigence afin de prendre en charge une gamme plus large de technologies utilisées pour atteindre les objectifs de
sécurité traditionnellement atteints par les logiciels anti-virus.
• Exigence 12 :
• Changement du titre de l'exigence de "Maintenir une politique qui traite de la sécurité des informations pour tout le personnel" à "Soutenir la sécurité des
informations avec des politiques et des programmes organisationnels".
• Mise à jour du titre de l'exigence pour refléter le fait que l'accent est mis sur les politiques et programmes organisationnels qui soutiennent la sécurité des
informations.
25. Objectifs de la norme PCI DSS v4.0
© ControlCase. All Rights Reserved. 25
CONTINUER À RÉPONDRE
AUX BESOINS DE SÉCURITÉ
DU SECTEUR DES PAIEMENTS
Les pratiques de sécurité doivent évoluer pour
continuer à répondre aux besoins de sécurité du
secteur des paiements à mesure que les menaces
changent.
Exemple :
Mise à jour des exigences en matière d'authentification
multifactorielle (MFA).
Mise à jour des exigences en matière de mots de passe,
conformément aux meilleures pratiques actuelles du secteur.
Ajout de nouvelles normes en matière de commerce électronique et
de phishing pour faire face aux menaces permanentes.
Mise à jour des exigences relatives au traitement sécurisé des
données d'authentification sensibles (DAS).
Ajout d'une exigence d'analyse de vulnérabilité interne authentifiée
pour une meilleure connaissance du paysage de vulnérabilité des
organisations.
26. Objectifs de la norme PCI DSS v4.0
© ControlCase. All Rights Reserved. 26
PROMOUVOIR LA SÉCURITÉ
COMME UN PROCESSUS
CONTINU
PROMOUVOIR LA SÉCURITÉ
COMME UN PROCESSUS
CONTINU, CAR UNE SÉCURITÉ
PERMANENTE EST
ESSENTIELLE POUR
PROTÉGER LES DONNÉES DE
PAIEMENT.
Exemple :
Rôles et responsabilités clairement attribués au personnel
travaillant sur chaque exigence.
Des conseils ont été ajoutés à l'ensemble des exigences pour aider
les organisations à mieux comprendre comment mettre en œuvre
et maintenir la sécurité.
Ajout d'une nouvelle option de rapport pour mettre en évidence les
domaines
27. Objectifs de la norme PCI DSS v4.0
© ControlCase. All Rights Reserved. 27
AUGMENTER LA FLEXIBILITÉ
POUR LES ORGANISATIONS
UTILISANT DIFFÉRENTES
MÉTHODES POUR ATTEINDRE
LES OBJECTIFS DE
SÉCURITÉ.
Fournir plus d'options et différentes méthodes de
validation afin d'accroître la flexibilité des
organisations pour atteindre les objectifs de sécurité
et soutenir l'innovation en matière de technologie de
paiement.
Exemple :
Autorise l'utilisation de comptes de groupe, partagés et publics
avec des exceptions.
Introduction d'analyses de risques ciblées qui permettent aux
organisations de déterminer la fréquence d'exécution de certaines
activités.
L'introduction d'une nouvelle méthode d'approche personnalisée
pour valider les exigences PCI DSS, donne aux organisations une
autre option pour envisager des méthodes innovantes pour
atteindre leurs objectifs de sécurité.
28. Objectifs de la norme PCI DSS v4.0
© ControlCase. All Rights Reserved. 28
AMÉLIORER LES MÉTHODES
ET PROCÉDURES DE
VALIDATION AVEC DES
OPTIONS DE VALIDATION ET
DE RAPPORT CLAIRES POUR
FAVORISER LA
TRANSPARENCE ET LA
GRANULARITÉ.
Exemple :
Alignement accru entre les informations rapportées dans un rapport
de conformité ou un questionnaire d'auto-évaluation et les
informations résumées dans une attestation de conformité.
29. Contrôles compensatoires vs approche personnalisée
© ControlCase. All Rights Reserved. 29
CONTRÔLES COMPENSATOIRES
L'entité ne peut pas satisfaire à
l'exigence telle qu'elle est énoncée en
raison de contraintes techniques ou
commerciales documentées, mais a mis
en place des contrôles alternatifs pour
atténuer le risque.
APPROCHE PERSONNALISÉE
L'entité a des pratiques matures de
gestion des risques et choisit de mettre
en œuvre différents contrôles qui
répondent à l'objectif de l'approche
personnalisée mais ne satisfait pas à
l'exigence telle qu'elle est énoncée.
31. 2022
Q1 Q2 Q3 Q4
Communiqué officiel
PCI DSS v4.0 avec
documents de
validation
Formation ISA/QSA
et documents
d'accompagnement
31 mars 2024
Retrait de la norme PCI
DSS v3.2.1
31 mars 2025
Les nouvelles
exigences datées de
l'avenir
entrent en vigueur
2023
Q1 Q2 Q3 Q4
2024
Q1 Q2 Q3 Q4
2025
Q1 Q2 Q3 Q4
Calendrier de mise en œuvre de la norme PCI DSS v4.0
© ControlCase. All Rights Reserved. 31
Période de transition de PCI DSS v3.2.1 à v4.0
Mise en œuvre de nouvelles exigences datant de l'aveni
32. Quelle est la prochaine étape ?
© ControlCase. All Rights Reserved. 32
Q1 2022
• La norme PCI DSS v4.0 et les
documents de validation ont été
publiés le 31 mars.
• Les résumés des
commentaires des RFC seront
disponibles sur le portail PCI.
• Blog et contenu vidéo prévus
pour introduire la v4.0
Q2 2022
• Les traductions, les documents
d'accompagnement et les
formations seront disponibles
d'ici la fin du mois de juin.
• Symposium mondial PCI DSS
v4.0
Q3-Q4 2022
• Engagement, soutien des
parties prenantes
• Mises à jour supplémentaires
des documents d'orientation
33. Transition de PCI DSS V3.2.1 a V4.0
© ControlCase. All Rights Reserved. 33
Q3 2022
*A partir de la fin juin
• Formations transitoires QSA et
ISA disponibles
• Toute la documentation a été
publiée
• Les organisations peuvent
commencer les évaluations par
rapport à la v4.0 en utilisant
des QSAs approuvés**.
Q1 2024
*31 mars 2024
• Retraite PCI DSS v3.2.1
• PCI v4.0 devient la version
exclusive à utiliser
Q1 2025
*31 mars 2025
• Les nouvelles exigences PCI
DSS avec des dates futures
entrent en vigueur
*Selon la chronologie actuelle formation avant d'entreprendre des évaluations v4.0 ** Les QSA doivent avoir terminé la v4.0 avec succès.
35. MERCI DE NOUS DONNER L'OCCASION
DE CONTRIBUER À VOTRE
PROGRAMME DE CONFORMITÉ
INFORMATIQUE.
www.controlcase.com
(LONDON) + 1 703.483.6383
contact@controlcase.com