Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

French PCI DSS v4.0 Webinaire.pdf

Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Chargement dans…3
×

Consultez-les par la suite

1 sur 35 Publicité
Publicité

Plus De Contenu Connexe

Publicité

French PCI DSS v4.0 Webinaire.pdf

  1. 1. WEBINAR: PCI DSS 4.0 VOTRE PARTENAIRE EN MATIÈRE DE CONFORMITÉ INFORMATIQUE - ALLEZ AU-DELÀ DE LA LISTE DE CONTRÔLE Télécharger l'aide-mémoire PCI DSS 4.0 Programme de la discussion sur la certification PCI DSS
  2. 2. INTRODUCTIONS Yossra Antit Consultant en sécurité de l'information, ControlCase Karolien Holsters Directeur du développement commercial, Europe, Moyen-Orient et Afrique, ControlCase
  3. 3. À propos de ControlCase À propos de PCI DSS Historique de la norme PCI DSS PCI DSS v4.0 Mise à jour du ControlCase Plongée en profondeur : Changements notables Chronologie de la norme PCI DSS v4.0 Agenda 3 1 2 3 4 5 6
  4. 4. 1 © ControlCase. All Rights Reserved. 4 À PROPOS DE CONTROLCASE
  5. 5. Aperçu de ControlCase © ControlCase. All Rights Reserved. 5 SERVICES DE CERTIFICATION ET DE CONFORMITÉ CONTINUE Allez au-delà de la liste de contrôle de l'auditeur pour : Réduire considérablement le temps, les coûts et la charge liés à l'obtention de la certification et au maintien de la conformité informatique. • Démontrer la conformité de manière plus efficace et plus rentable (certitude des coûts) • Améliorer l'efficacité • Faites plus avec moins de ressources et gagnez en sérénité en matière de conformité. • Libérez vos ressources internes pour qu'elles puissent se concentrer sur leurs priorités. • Déchargez une grande partie de la charge de conformité à un partenaire de confiance. PLUS DE 1,000 PLUS DE 275 PLUS DE 10,000 CLIENTES CERTIFICATIONS EN SÉCURITÉ INFORMATIQUE EXPERTS EN SÉCURITÉ
  6. 6. Solución © ControlCase. All Rights Reserved. 6 Services de certification et de conformité continue “ J'ai travaillé sur les deux côtés de l'audit. Je n'ai vu aucun autre cabinet fournir le même produit et service avec la même valeur. Aucun autre cabinet n'offre cette amélioration continue, ce niveau de détail et cette réactivité. — Responsable de la sécurité et de la conformité, centre de données ControlCase Compliance Hub® Axé sur l’automatisation Services de Conformité Continue Approche Partenariale Services de Certification Informatique
  7. 7. Partenariat stratégique de sécurité pour la conformité à la norme PCI DSS © ControlCase. All Rights Reserved. 7 Les évaluations PCI DSS doivent être réalisées par un évaluateur de sécurité qualifié (QSA). ControlCase est une société QSA offrant les services suivants : Approche associative Gestion de la réussite client Équipe d'assistance réactive Expérience proactivea Pensée créative
  8. 8. Services de certification © ControlCase. All Rights Reserved. 8 “ Vous avez 27 secondes pour faire une première impression. Et après notre première rencontre, il est apparu clairement qu'ils étaient plus intéressés à aider notre entreprise et à établir une relation, qu'à simplement obtenir le marché. — Directeur senior, Risque et conformité de l'information, grand marchand PCI DSS ISO 27001-2 SOC 1,2,3,& Cybersecurity HIPAA FedRAMP PCI P2PE GDPR NIST 800-53 PCI PIN PCI SSF/SLC CSA STAR HITRUST CSF One Audit™ Évaluez une fois. Se conformer à plusieurs..
  9. 9. Tableau de bord de l'audit ControlCase One Audit™ © ControlCase. All Rights Reserved. 9
  10. 10. 2 © ControlCase. All Rights Reserved. 10 À PROPOS DE PCI DSS
  11. 11. Qu'est-ce que la norme PCI DSS ? NORME DE SÉCURITÉ DES DONNÉES DE L'INDUSTRIE DES CARTES DE PAIEMENT Créée en 2006 par les principaux émetteurs de cartes de paiement. (VISA, MasterCard, American Express, JCB International et Discover Financial Services) Mantenido por el Consejo de Estándares de Seguridad PCI (PCI SSC). La norme PCI DSS fournit des exigences opérationnelles et techniques pour protéger les données des titulaires de cartes. ACTUELLEMENT EN PCI DSS VERSION 3.2 LA VERSION 4.0 DE LA NORME PCI DSS VIENT D'ÊTRE ANNONCÉE. © ControlCase. All Rights Reserved. 11
  12. 12. 12 Exigences de PCI DSS © ControlCase. All Rights Reserved. 12 OBJECTIFS DE CONTRÔLE (6 PRINCIPES) 12 EXIGENCES Construire et maintenir un réseau sécurisé 1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes. 2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité. Protéger les données des titulaires de cartes 3. Protéger les données stockées des titulaires de cartes 4. Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics. Maintenir un programme de gestion des vulnérabilités 5. Utilisez et mettez régulièrement à jour un logiciel antivirus sur tous les systèmes couramment touchés par les logiciels malveillants. 6. Développer et maintenir des systèmes et des applications sécurisés Mettre en place de solides mesures de contrôle d'accès 7. Restreindre l'accès aux données des titulaires de cartes en fonction du besoin d'en connaître. 8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur. 9. Limiter l'accès physique aux données des titulaires de cartes Contrôler et tester régulièrement les réseaux 10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes. 11. Tester régulièrement les systèmes et processus de sécurité Maintenir une politique de sécurité de l'information 12. Maintenir une politique qui traite de la sécurité de l'information
  13. 13. Famille de normes PCI DSS © ControlCase. All Rights Reserved. 13  PCI DSS Sécurité des environnements qui stockent, traitent ou transmettent des données de compte  PCI PA-DSS Les applications de paiement sont conformes à la norme PCI DSS  PCI P2PE Garantit que les données sont cryptées au point d'accès et ne peuvent être décryptées que par un environnement dédié.  PCI TSP Exigences pour les fournisseurs de services de jetons pour les jetons de paiement EMV  Production de cartes PCI Exigences de sécurité physique et logique pour la fabrication et la personnalisation des cartes  PCI 3DS Exigences physiques et logiques pour les entités qui mettent en œuvre la solution de paiement 3DS  PCI PTS - HSM Contrôles physiques et logiques pour sécuriser le HSM  PCI PTS - POI Protection des données sensibles chez POI  PCI PTS - Sécurité du PIN Gestion, traitement et transmission sécurisés des données PIN
  14. 14. Données en question (données relatives aux cartes de crédit et de débit) © ControlCase. All Rights Reserved. 14 LES DONNÉES DU TITULAIRE DE LA CARTE COMPRENNENT : • Numéro de compte primaire (PAN) • Nom du titulaire de la carte • Date d'expiration • Code de service LES DONNÉES D'AUTHENTIFICATION SENSIBLES COMPRENNENT : • Données sur la piste complète • CAV2/CVC2/CVV2/CID • PINs/Blocs PINs Types de données sur une carte de crédit Date d'expiration Bande magnétique (données sur les pistes 1 et 2) Numéro de compte principal Code d'identific ation de la carte de crédit (American Express Code d'identification de la carte de crédit (American Express) Code d'identification de la carte de crédit. (Discover, JCB, MasterCard, Visa)
  15. 15. 3 © ControlCase. All Rights Reserved. 15 HISTORIQUE DE LA NORME PCI DSS
  16. 16. Histoire de PCI DSS Dates de publication de PCI DSS © ControlCase. All Rights Reserved. 16 • PCI DSS v1 - Décembre 2004 • PCI DSS v1.1- Septembre 2006 • PCI DSS v1.2- Octobre 2008 • PCI DSS v2 - Octobre 2010 • PCI DSS v3 - Novembre 2013 • PCI DSS v3.1 - Avril 2015 • PCI DSS v3.2 - Avril 2016 • PCI DSS v3.2.1 - Mai 2018 • PCI DSS v4 - Mars 2022
  17. 17. 4 © ControlCase. All Rights Reserved. 17 PCI DSS V4.0 MISE À JOUR DU CONTROLCASE
  18. 18. Mise à jour de PCI DSS V4.0 Aucune entreprise ne peut pas encore certifier des autres entreprises dans PCI DSS V 4.0. Le Conseil PCI a publié une liste de modifications e documentation en ligne. ControlCase mettra les clients au courrant lorsque nous nous rapprochons du 3ème trimester de l’année 2022. Jusque-là, notre processus d’évaluation n’aura aucun changement. Le Conseil PCI offrira la première formation en juin 2022 – après quoi les QSA pourront commencer les évaluations dans le cadre de PCI DSS 4.0. Les entreprises disposeront de 2 ans pour faire la transition à la version v4.0, mais elles pourront également le faire plus tôt. © ControlCase. All Rights Reserved. 18
  19. 19. Objectifs de PCI DSS v4.0 PCI DSS v4.0 est la nouvelle generation de la norme et a les objectifs suivants: • Continuer à répondre aux besoins de sécurité de l’industrie de paiements • Promouvoir la sécurité en tant que processus continue • Augmenter la flexibilité pour les organisations qui utilisent méthodes différentes pout atteindre les objectifs de sécurité • Améliorer les méthodes et procedures de validation © ControlCase. All Rights Reserved. 19
  20. 20. Changements critiques de PCI DSS v3.2.1 à v4.0 © ControlCase. All Rights Reserved. 20 CHANGEMENTS MÉTHODOLOGIQUES • Plusieurs petites mises à jour des exigences avec des clarifications ou guide supplémentaires • Introduction d’une approche personalisée pour offrir une méthode de validation des exigences supplémentaire pour atteindre l’objectif de l’exigence • Introduction d’une analyse de risque ciblée pour diverses exigences critiques • Pour les fournisseurs de services – Confirmation de la portée PCI DSS au moins une fois tous les 6 mois et en cas d’un changement important de l’environnement de la portée NOUVELLES EXIGENCES QUI PEUVENT NÉCESSITER DES EFFORTS/MISES EN ŒUVRE IMPORTANTS • Exigences strictes en matière de mot de pass et de MFA (Authentification Multifacteur) • Mécanismes de detection et protection du personnel contre les attaques phishing • Sollution technique automatisée pour les applications web publiques qui détecte regulièrement et prévient les attaques web • Mécanismes automatisés pour examiner les journaux d’audit pour tous les CDE et les système critiques • Analyses internes de vulnérabilité via une analyse authentifiée
  21. 21. 5 © ControlCase. All Rights Reserved. 21 PLONGÉE DANS LES CHANGEMENTS NOTABLES
  22. 22. 12 Exigences de PCI DSS v3.2.1 par rapport à v4.0 PCI DSS v3.2.1 - 12 EXIGENCES PCI DSS v4.0 - 12 EXIGENCES 1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes. 2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité. 3. Installer et maintenir les contrôles de sécurité du réseau 4. Appliquer des configurations sécurisées à tous les composants du système 3. Protéger les données stockées des titulaires de cartes 4. Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics. 3. Protéger les données des comptes stockés 4. Protéger les données des titulaires de cartes grâce à une cryptographie puissante lors de la transmission sur des réseaux publics ouverts 5. Utilisez et mettez régulièrement à jour un logiciel antivirus sur tous les systèmes couramment touchés par les logiciels malveillants. 6. Développer et maintenir des systèmes et des applications sécurisés 5. Protéger tous les systèmes et réseaux contre les logiciels malveillants 6. Développer et maintenir des systèmes et logiciels sécurisés 7. Restreindre l'accès aux données des titulaires de cartes en fonction du besoin d'en connaître. 8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur. 9. Limiter l'accès physique aux données des titulaires de cartes 7. Restreindre l'accès aux composants du système et aux données des titulaires de cartes en fonction du besoin d'en connaître. 8. Identifier les utilisateurs et authentifier l'accès aux composants du système 9. Limiter l'accès physique aux données des titulaires de cartes 10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes. 11. Tester régulièrement les systèmes et processus de sécurité 10. Consigner et surveiller tous les accès aux composants du système et aux données des titulaires de carte 11. Tester régulièrement la sécurité des systèmes et des réseaux 12. Maintenir une politique qui traite de la sécurité de l'information 12. Soutenir la sécurité de l'information par des politiques et des programmes organisationnels © ControlCase. All Rights Reserved. 22
  23. 23. Principales mises à jour des exigences de la norme PCI DSS v4.0 Titre © ControlCase. All Rights Reserved. 23 • Exigence 1 : • Changement du titre de l'exigence de "Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes" à "Installer et maintenir des contrôles de sécurité du réseau". • Mise à jour du titre de l'exigence pour refléter l'accent mis sur des "contrôles de sécurité du réseau" plus larges. Remplacement de "pare-feu" et "routeurs" par "contrôles de sécurité du réseau" afin de prendre en charge un éventail plus large de technologies, y compris la technologie du cloud utilisée pour atteindre les objectifs de sécurité traditionnellement atteints par les pare-feu. • Exigence 2 : • Changement du titre de l'exigence "Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité" en "Appliquer des configurations sécurisées à tous les composants du système". • Mise à jour du titre de l'exigence pour indiquer que l'accent est mis sur les configurations sécurisées en général, et pas seulement sur les valeurs par défaut fournies par le fournisseur. • Exigence 3 : • Changement du titre de l'exigence de "Protéger les données stockées des titulaires de cartes" à "Protéger les données stockées des comptes". • Mise à jour du titre de l'exigence pour refléter l'accent mis sur les données de compte. Remplacement de "Données du titulaire de carte" par "Données du compte" pour appliquer les exigences de protection des données aux données du titulaire de carte et aux données d'authentification sensibles, et pas seulement aux données du titulaire de carte, afin d'être réceptif aux besoins des diverses parties telles que les émetteurs.
  24. 24. Principales mises à jour des exigences de la norme PCI DSS v4.0 Titre © ControlCase. All Rights Reserved. 24 • Exigence 5 : • Changement du titre de l'exigence de "Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels ou programmes anti- virus" à "Protéger tous les systèmes et réseaux contre les logiciels malveillants". • Mise à jour du titre de l'exigence pour refléter l'accent mis sur la protection de tous les systèmes et réseaux contre les logiciels malveillants. Remplacement de "anti- virus" par "anti-malware" dans l'ensemble de l'exigence afin de prendre en charge une gamme plus large de technologies utilisées pour atteindre les objectifs de sécurité traditionnellement atteints par les logiciels anti-virus. • Exigence 12 : • Changement du titre de l'exigence de "Maintenir une politique qui traite de la sécurité des informations pour tout le personnel" à "Soutenir la sécurité des informations avec des politiques et des programmes organisationnels". • Mise à jour du titre de l'exigence pour refléter le fait que l'accent est mis sur les politiques et programmes organisationnels qui soutiennent la sécurité des informations.
  25. 25. Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 25 CONTINUER À RÉPONDRE AUX BESOINS DE SÉCURITÉ DU SECTEUR DES PAIEMENTS Les pratiques de sécurité doivent évoluer pour continuer à répondre aux besoins de sécurité du secteur des paiements à mesure que les menaces changent. Exemple : Mise à jour des exigences en matière d'authentification multifactorielle (MFA). Mise à jour des exigences en matière de mots de passe, conformément aux meilleures pratiques actuelles du secteur. Ajout de nouvelles normes en matière de commerce électronique et de phishing pour faire face aux menaces permanentes. Mise à jour des exigences relatives au traitement sécurisé des données d'authentification sensibles (DAS). Ajout d'une exigence d'analyse de vulnérabilité interne authentifiée pour une meilleure connaissance du paysage de vulnérabilité des organisations.
  26. 26. Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 26 PROMOUVOIR LA SÉCURITÉ COMME UN PROCESSUS CONTINU PROMOUVOIR LA SÉCURITÉ COMME UN PROCESSUS CONTINU, CAR UNE SÉCURITÉ PERMANENTE EST ESSENTIELLE POUR PROTÉGER LES DONNÉES DE PAIEMENT. Exemple : Rôles et responsabilités clairement attribués au personnel travaillant sur chaque exigence. Des conseils ont été ajoutés à l'ensemble des exigences pour aider les organisations à mieux comprendre comment mettre en œuvre et maintenir la sécurité. Ajout d'une nouvelle option de rapport pour mettre en évidence les domaines
  27. 27. Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 27 AUGMENTER LA FLEXIBILITÉ POUR LES ORGANISATIONS UTILISANT DIFFÉRENTES MÉTHODES POUR ATTEINDRE LES OBJECTIFS DE SÉCURITÉ. Fournir plus d'options et différentes méthodes de validation afin d'accroître la flexibilité des organisations pour atteindre les objectifs de sécurité et soutenir l'innovation en matière de technologie de paiement. Exemple : Autorise l'utilisation de comptes de groupe, partagés et publics avec des exceptions. Introduction d'analyses de risques ciblées qui permettent aux organisations de déterminer la fréquence d'exécution de certaines activités. L'introduction d'une nouvelle méthode d'approche personnalisée pour valider les exigences PCI DSS, donne aux organisations une autre option pour envisager des méthodes innovantes pour atteindre leurs objectifs de sécurité.
  28. 28. Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 28 AMÉLIORER LES MÉTHODES ET PROCÉDURES DE VALIDATION AVEC DES OPTIONS DE VALIDATION ET DE RAPPORT CLAIRES POUR FAVORISER LA TRANSPARENCE ET LA GRANULARITÉ. Exemple : Alignement accru entre les informations rapportées dans un rapport de conformité ou un questionnaire d'auto-évaluation et les informations résumées dans une attestation de conformité.
  29. 29. Contrôles compensatoires vs approche personnalisée © ControlCase. All Rights Reserved. 29 CONTRÔLES COMPENSATOIRES L'entité ne peut pas satisfaire à l'exigence telle qu'elle est énoncée en raison de contraintes techniques ou commerciales documentées, mais a mis en place des contrôles alternatifs pour atténuer le risque. APPROCHE PERSONNALISÉE L'entité a des pratiques matures de gestion des risques et choisit de mettre en œuvre différents contrôles qui répondent à l'objectif de l'approche personnalisée mais ne satisfait pas à l'exigence telle qu'elle est énoncée.
  30. 30. 6 © ControlCase. All Rights Reserved. 30 CHRONOLOGIE DE LA NORME PCI DSS V4.0
  31. 31. 2022 Q1 Q2 Q3 Q4 Communiqué officiel PCI DSS v4.0 avec documents de validation Formation ISA/QSA et documents d'accompagnement 31 mars 2024 Retrait de la norme PCI DSS v3.2.1 31 mars 2025 Les nouvelles exigences datées de l'avenir entrent en vigueur 2023 Q1 Q2 Q3 Q4 2024 Q1 Q2 Q3 Q4 2025 Q1 Q2 Q3 Q4 Calendrier de mise en œuvre de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 31 Période de transition de PCI DSS v3.2.1 à v4.0 Mise en œuvre de nouvelles exigences datant de l'aveni
  32. 32. Quelle est la prochaine étape ? © ControlCase. All Rights Reserved. 32 Q1 2022 • La norme PCI DSS v4.0 et les documents de validation ont été publiés le 31 mars. • Les résumés des commentaires des RFC seront disponibles sur le portail PCI. • Blog et contenu vidéo prévus pour introduire la v4.0 Q2 2022 • Les traductions, les documents d'accompagnement et les formations seront disponibles d'ici la fin du mois de juin. • Symposium mondial PCI DSS v4.0 Q3-Q4 2022 • Engagement, soutien des parties prenantes • Mises à jour supplémentaires des documents d'orientation
  33. 33. Transition de PCI DSS V3.2.1 a V4.0 © ControlCase. All Rights Reserved. 33 Q3 2022 *A partir de la fin juin • Formations transitoires QSA et ISA disponibles • Toute la documentation a été publiée • Les organisations peuvent commencer les évaluations par rapport à la v4.0 en utilisant des QSAs approuvés**. Q1 2024 *31 mars 2024 • Retraite PCI DSS v3.2.1 • PCI v4.0 devient la version exclusive à utiliser Q1 2025 *31 mars 2025 • Les nouvelles exigences PCI DSS avec des dates futures entrent en vigueur *Selon la chronologie actuelle formation avant d'entreprendre des évaluations v4.0 ** Les QSA doivent avoir terminé la v4.0 avec succès.
  34. 34. 7 © ControlCase. All Rights Reserved. 34 QUESTIONS ET RÉPONSES
  35. 35. MERCI DE NOUS DONNER L'OCCASION DE CONTRIBUER À VOTRE PROGRAMME DE CONFORMITÉ INFORMATIQUE. www.controlcase.com (LONDON) + 1 703.483.6383 contact@controlcase.com

×