SlideShare une entreprise Scribd logo
WEBINAR:
PCI DSS 4.0
VOTRE PARTENAIRE EN MATIÈRE DE CONFORMITÉ
INFORMATIQUE - ALLEZ AU-DELÀ DE LA LISTE DE
CONTRÔLE
Télécharger l'aide-mémoire PCI DSS 4.0
Programme de la discussion sur la certification PCI DSS
INTRODUCTIONS
Yossra Antit
Consultant en sécurité de
l'information, ControlCase
Karolien Holsters
Directeur du développement
commercial, Europe,
Moyen-Orient et Afrique,
ControlCase
À propos de ControlCase
À propos de PCI DSS
Historique de la norme PCI DSS
PCI DSS v4.0 Mise à jour du ControlCase
Plongée en profondeur : Changements notables
Chronologie de la norme PCI DSS v4.0
Agenda
3
1
2
3
4
5
6
1
© ControlCase. All Rights Reserved. 4
À PROPOS DE
CONTROLCASE
Aperçu de ControlCase
© ControlCase. All Rights Reserved. 5
SERVICES DE CERTIFICATION ET DE CONFORMITÉ CONTINUE
Allez au-delà de la liste de contrôle de l'auditeur pour :
Réduire considérablement le temps, les coûts et la charge liés à l'obtention
de la certification et au maintien de la conformité informatique.
• Démontrer la conformité de manière plus
efficace et plus rentable (certitude des coûts)
• Améliorer l'efficacité
• Faites plus avec moins de ressources et
gagnez en sérénité en matière de
conformité.
• Libérez vos ressources internes pour qu'elles
puissent se concentrer sur leurs priorités.
• Déchargez une grande partie de la charge
de conformité à un partenaire de confiance.
PLUS DE
1,000
PLUS DE
275
PLUS DE
10,000
CLIENTES CERTIFICATIONS EN
SÉCURITÉ
INFORMATIQUE
EXPERTS EN
SÉCURITÉ
Solución
© ControlCase. All Rights Reserved. 6
Services de certification et de conformité continue
“
J'ai travaillé sur les deux côtés de l'audit.
Je n'ai vu aucun autre cabinet fournir le
même produit et service avec la même
valeur. Aucun autre cabinet n'offre cette
amélioration continue, ce niveau de détail
et cette réactivité.
— Responsable de la sécurité et de la conformité,
centre de données
ControlCase
Compliance Hub®
Axé sur l’automatisation
Services de Conformité
Continue
Approche
Partenariale
Services de Certification
Informatique
Partenariat stratégique de sécurité pour la conformité à la norme PCI DSS
© ControlCase. All Rights Reserved. 7
Les évaluations PCI DSS doivent être réalisées par un
évaluateur de sécurité qualifié (QSA).
ControlCase est une société QSA offrant les services suivants :
Approche associative
Gestion de la
réussite client
Équipe
d'assistance
réactive
Expérience
proactivea
Pensée créative
Services de certification
© ControlCase. All Rights Reserved. 8
“
Vous avez 27 secondes pour faire une
première impression. Et après notre
première rencontre, il est apparu
clairement qu'ils étaient plus intéressés à
aider notre entreprise et à établir une
relation, qu'à simplement obtenir le
marché.
— Directeur senior, Risque et conformité de
l'information, grand marchand
PCI DSS ISO 27001-2 SOC 1,2,3,&
Cybersecurity
HIPAA
FedRAMP PCI P2PE GDPR NIST 800-53
PCI PIN PCI SSF/SLC CSA STAR HITRUST CSF
One Audit™
Évaluez une fois. Se conformer à plusieurs..
Tableau de bord de l'audit ControlCase One Audit™
© ControlCase. All Rights Reserved. 9
2
© ControlCase. All Rights Reserved. 10
À PROPOS DE PCI DSS
Qu'est-ce que la norme PCI DSS ?
NORME DE SÉCURITÉ DES DONNÉES DE L'INDUSTRIE
DES CARTES DE PAIEMENT
Créée en 2006 par les principaux
émetteurs de cartes de paiement.
(VISA, MasterCard, American Express,
JCB International et Discover Financial
Services)
Mantenido por el Consejo de
Estándares de Seguridad PCI
(PCI SSC).
La norme PCI DSS fournit des
exigences opérationnelles et
techniques pour protéger les
données des titulaires de cartes.
ACTUELLEMENT EN PCI DSS VERSION 3.2
LA VERSION 4.0 DE LA NORME PCI DSS VIENT D'ÊTRE
ANNONCÉE.
© ControlCase. All Rights Reserved. 11
12 Exigences de PCI DSS
© ControlCase. All Rights Reserved. 12
OBJECTIFS DE CONTRÔLE (6 PRINCIPES) 12 EXIGENCES
Construire et maintenir un réseau sécurisé
1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de
cartes.
2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et
autres paramètres de sécurité.
Protéger les données des titulaires de cartes
3. Protéger les données stockées des titulaires de cartes
4. Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics.
Maintenir un programme de gestion des vulnérabilités
5. Utilisez et mettez régulièrement à jour un logiciel antivirus sur tous les systèmes couramment
touchés par les logiciels malveillants.
6. Développer et maintenir des systèmes et des applications sécurisés
Mettre en place de solides mesures de contrôle d'accès
7. Restreindre l'accès aux données des titulaires de cartes en fonction du besoin d'en connaître.
8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur.
9. Limiter l'accès physique aux données des titulaires de cartes
Contrôler et tester régulièrement les réseaux
10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes.
11. Tester régulièrement les systèmes et processus de sécurité
Maintenir une politique de sécurité de l'information 12. Maintenir une politique qui traite de la sécurité de l'information
Famille de normes PCI DSS
© ControlCase. All Rights Reserved. 13
 PCI DSS Sécurité des environnements qui stockent, traitent ou transmettent des données de compte
 PCI PA-DSS Les applications de paiement sont conformes à la norme PCI DSS
 PCI P2PE Garantit que les données sont cryptées au point d'accès et ne peuvent être décryptées que par un
environnement dédié.
 PCI TSP Exigences pour les fournisseurs de services de jetons pour les jetons de paiement EMV
 Production de cartes PCI Exigences de sécurité physique et logique pour la fabrication et la personnalisation des cartes
 PCI 3DS Exigences physiques et logiques pour les entités qui mettent en œuvre la solution de paiement 3DS
 PCI PTS - HSM Contrôles physiques et logiques pour sécuriser le HSM
 PCI PTS - POI Protection des données sensibles chez POI
 PCI PTS - Sécurité du PIN Gestion, traitement et transmission sécurisés des données PIN
Données en question (données relatives aux cartes de crédit et de débit)
© ControlCase. All Rights Reserved. 14
LES DONNÉES DU TITULAIRE DE LA CARTE
COMPRENNENT :
• Numéro de compte primaire (PAN)
• Nom du titulaire de la carte
• Date d'expiration
• Code de service
LES DONNÉES D'AUTHENTIFICATION SENSIBLES
COMPRENNENT :
• Données sur la piste complète
• CAV2/CVC2/CVV2/CID
• PINs/Blocs PINs
Types de données sur une carte de crédit
Date d'expiration Bande magnétique
(données sur les
pistes 1 et 2)
Numéro de
compte
principal
Code
d'identific
ation de
la carte
de crédit
(American
Express
Code d'identification de la
carte de crédit (American
Express)
Code d'identification de la carte
de crédit. (Discover, JCB,
MasterCard, Visa)
3
© ControlCase. All Rights Reserved. 15
HISTORIQUE DE LA NORME
PCI DSS
Histoire de PCI DSS
Dates de publication de PCI DSS
© ControlCase. All Rights Reserved. 16
• PCI DSS v1 - Décembre 2004
• PCI DSS v1.1- Septembre 2006
• PCI DSS v1.2- Octobre 2008
• PCI DSS v2 - Octobre 2010
• PCI DSS v3 - Novembre 2013
• PCI DSS v3.1 - Avril 2015
• PCI DSS v3.2 - Avril 2016
• PCI DSS v3.2.1 - Mai 2018
• PCI DSS v4 - Mars 2022
4
© ControlCase. All Rights Reserved. 17
PCI DSS V4.0 MISE À JOUR DU
CONTROLCASE
Mise à jour de PCI DSS V4.0
Aucune entreprise ne peut pas encore certifier
des autres entreprises dans PCI DSS V 4.0.
Le Conseil PCI a publié une liste de modifications
e documentation en ligne. ControlCase mettra les
clients au courrant lorsque nous nous
rapprochons du 3ème trimester de l’année 2022.
Jusque-là, notre processus d’évaluation n’aura
aucun changement.
Le Conseil PCI offrira la première formation en
juin 2022 – après quoi les QSA pourront
commencer les évaluations dans le cadre de PCI
DSS 4.0.
Les entreprises disposeront de 2 ans pour faire la
transition à la version v4.0, mais elles pourront
également le faire plus tôt.
© ControlCase. All Rights Reserved. 18
Objectifs de PCI DSS v4.0
PCI DSS v4.0 est la nouvelle generation de la norme et a les objectifs suivants:
• Continuer à répondre aux besoins de sécurité de l’industrie de paiements
• Promouvoir la sécurité en tant que processus continue
• Augmenter la flexibilité pour les organisations qui utilisent méthodes différentes pout atteindre les objectifs de
sécurité
• Améliorer les méthodes et procedures de validation
© ControlCase. All Rights Reserved. 19
Changements critiques de PCI DSS v3.2.1 à v4.0
© ControlCase. All Rights Reserved. 20
CHANGEMENTS MÉTHODOLOGIQUES
• Plusieurs petites mises à jour des exigences avec des
clarifications ou guide supplémentaires
• Introduction d’une approche personalisée pour offrir
une méthode de validation des exigences
supplémentaire pour atteindre l’objectif de l’exigence
• Introduction d’une analyse de risque ciblée pour
diverses exigences critiques
• Pour les fournisseurs de services – Confirmation de la
portée PCI DSS au moins une fois tous les 6 mois et
en cas d’un changement important de l’environnement
de la portée
NOUVELLES EXIGENCES QUI PEUVENT
NÉCESSITER DES EFFORTS/MISES EN ŒUVRE
IMPORTANTS
• Exigences strictes en matière de mot de pass et de
MFA (Authentification Multifacteur)
• Mécanismes de detection et protection du personnel
contre les attaques phishing
• Sollution technique automatisée pour les applications
web publiques qui détecte regulièrement et prévient
les attaques web
• Mécanismes automatisés pour examiner les journaux
d’audit pour tous les CDE et les système critiques
• Analyses internes de vulnérabilité via une analyse
authentifiée
5
© ControlCase. All Rights Reserved. 21
PLONGÉE DANS LES
CHANGEMENTS NOTABLES
12 Exigences de PCI DSS v3.2.1 par rapport à v4.0
PCI DSS v3.2.1 - 12 EXIGENCES PCI DSS v4.0 - 12 EXIGENCES
1. Installer et maintenir une configuration de pare-feu pour protéger les données des
titulaires de cartes.
2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de
passe système et autres paramètres de sécurité.
3. Installer et maintenir les contrôles de sécurité du réseau
4. Appliquer des configurations sécurisées à tous les composants du système
3. Protéger les données stockées des titulaires de cartes
4. Crypter la transmission des données des titulaires de cartes sur les réseaux
ouverts et publics.
3. Protéger les données des comptes stockés
4. Protéger les données des titulaires de cartes grâce à une cryptographie puissante
lors de la transmission sur des réseaux publics ouverts
5. Utilisez et mettez régulièrement à jour un logiciel antivirus sur tous les systèmes
couramment touchés par les logiciels malveillants.
6. Développer et maintenir des systèmes et des applications sécurisés
5. Protéger tous les systèmes et réseaux contre les logiciels malveillants
6. Développer et maintenir des systèmes et logiciels sécurisés
7. Restreindre l'accès aux données des titulaires de cartes en fonction du besoin
d'en connaître.
8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur.
9. Limiter l'accès physique aux données des titulaires de cartes
7. Restreindre l'accès aux composants du système et aux données des titulaires de
cartes en fonction du besoin d'en connaître.
8. Identifier les utilisateurs et authentifier l'accès aux composants du système
9. Limiter l'accès physique aux données des titulaires de cartes
10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des
titulaires de cartes.
11. Tester régulièrement les systèmes et processus de sécurité
10. Consigner et surveiller tous les accès aux composants du système et aux données
des titulaires de carte
11. Tester régulièrement la sécurité des systèmes et des réseaux
12. Maintenir une politique qui traite de la sécurité de l'information
12. Soutenir la sécurité de l'information par des politiques et des programmes
organisationnels
© ControlCase. All Rights Reserved. 22
Principales mises à jour des exigences de la norme PCI DSS v4.0 Titre
© ControlCase. All Rights Reserved. 23
• Exigence 1 :
• Changement du titre de l'exigence de "Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes" à "Installer et maintenir
des contrôles de sécurité du réseau".
• Mise à jour du titre de l'exigence pour refléter l'accent mis sur des "contrôles de sécurité du réseau" plus larges. Remplacement de "pare-feu" et "routeurs" par
"contrôles de sécurité du réseau" afin de prendre en charge un éventail plus large de technologies, y compris la technologie du cloud utilisée pour atteindre les
objectifs de sécurité traditionnellement atteints par les pare-feu.
• Exigence 2 :
• Changement du titre de l'exigence "Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de
sécurité" en "Appliquer des configurations sécurisées à tous les composants du système".
• Mise à jour du titre de l'exigence pour indiquer que l'accent est mis sur les configurations sécurisées en général, et pas seulement sur les valeurs par défaut
fournies par le fournisseur.
• Exigence 3 :
• Changement du titre de l'exigence de "Protéger les données stockées des titulaires de cartes" à "Protéger les données stockées des comptes".
• Mise à jour du titre de l'exigence pour refléter l'accent mis sur les données de compte. Remplacement de "Données du titulaire de carte" par "Données du compte"
pour appliquer les exigences de protection des données aux données du titulaire de carte et aux données d'authentification sensibles, et pas seulement aux
données du titulaire de carte, afin d'être réceptif aux besoins des diverses parties telles que les émetteurs.
Principales mises à jour des exigences de la norme PCI DSS v4.0 Titre
© ControlCase. All Rights Reserved. 24
• Exigence 5 :
• Changement du titre de l'exigence de "Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels ou programmes anti-
virus" à "Protéger tous les systèmes et réseaux contre les logiciels malveillants".
• Mise à jour du titre de l'exigence pour refléter l'accent mis sur la protection de tous les systèmes et réseaux contre les logiciels malveillants. Remplacement de "anti-
virus" par "anti-malware" dans l'ensemble de l'exigence afin de prendre en charge une gamme plus large de technologies utilisées pour atteindre les objectifs de
sécurité traditionnellement atteints par les logiciels anti-virus.
• Exigence 12 :
• Changement du titre de l'exigence de "Maintenir une politique qui traite de la sécurité des informations pour tout le personnel" à "Soutenir la sécurité des
informations avec des politiques et des programmes organisationnels".
• Mise à jour du titre de l'exigence pour refléter le fait que l'accent est mis sur les politiques et programmes organisationnels qui soutiennent la sécurité des
informations.
Objectifs de la norme PCI DSS v4.0
© ControlCase. All Rights Reserved. 25
CONTINUER À RÉPONDRE
AUX BESOINS DE SÉCURITÉ
DU SECTEUR DES PAIEMENTS
Les pratiques de sécurité doivent évoluer pour
continuer à répondre aux besoins de sécurité du
secteur des paiements à mesure que les menaces
changent.
Exemple :
Mise à jour des exigences en matière d'authentification
multifactorielle (MFA).
Mise à jour des exigences en matière de mots de passe,
conformément aux meilleures pratiques actuelles du secteur.
Ajout de nouvelles normes en matière de commerce électronique et
de phishing pour faire face aux menaces permanentes.
Mise à jour des exigences relatives au traitement sécurisé des
données d'authentification sensibles (DAS).
Ajout d'une exigence d'analyse de vulnérabilité interne authentifiée
pour une meilleure connaissance du paysage de vulnérabilité des
organisations.
Objectifs de la norme PCI DSS v4.0
© ControlCase. All Rights Reserved. 26
PROMOUVOIR LA SÉCURITÉ
COMME UN PROCESSUS
CONTINU
PROMOUVOIR LA SÉCURITÉ
COMME UN PROCESSUS
CONTINU, CAR UNE SÉCURITÉ
PERMANENTE EST
ESSENTIELLE POUR
PROTÉGER LES DONNÉES DE
PAIEMENT.
Exemple :
Rôles et responsabilités clairement attribués au personnel
travaillant sur chaque exigence.
Des conseils ont été ajoutés à l'ensemble des exigences pour aider
les organisations à mieux comprendre comment mettre en œuvre
et maintenir la sécurité.
Ajout d'une nouvelle option de rapport pour mettre en évidence les
domaines
Objectifs de la norme PCI DSS v4.0
© ControlCase. All Rights Reserved. 27
AUGMENTER LA FLEXIBILITÉ
POUR LES ORGANISATIONS
UTILISANT DIFFÉRENTES
MÉTHODES POUR ATTEINDRE
LES OBJECTIFS DE
SÉCURITÉ.
Fournir plus d'options et différentes méthodes de
validation afin d'accroître la flexibilité des
organisations pour atteindre les objectifs de sécurité
et soutenir l'innovation en matière de technologie de
paiement.
Exemple :
Autorise l'utilisation de comptes de groupe, partagés et publics
avec des exceptions.
Introduction d'analyses de risques ciblées qui permettent aux
organisations de déterminer la fréquence d'exécution de certaines
activités.
L'introduction d'une nouvelle méthode d'approche personnalisée
pour valider les exigences PCI DSS, donne aux organisations une
autre option pour envisager des méthodes innovantes pour
atteindre leurs objectifs de sécurité.
Objectifs de la norme PCI DSS v4.0
© ControlCase. All Rights Reserved. 28
AMÉLIORER LES MÉTHODES
ET PROCÉDURES DE
VALIDATION AVEC DES
OPTIONS DE VALIDATION ET
DE RAPPORT CLAIRES POUR
FAVORISER LA
TRANSPARENCE ET LA
GRANULARITÉ.
Exemple :
Alignement accru entre les informations rapportées dans un rapport
de conformité ou un questionnaire d'auto-évaluation et les
informations résumées dans une attestation de conformité.
Contrôles compensatoires vs approche personnalisée
© ControlCase. All Rights Reserved. 29
CONTRÔLES COMPENSATOIRES
L'entité ne peut pas satisfaire à
l'exigence telle qu'elle est énoncée en
raison de contraintes techniques ou
commerciales documentées, mais a mis
en place des contrôles alternatifs pour
atténuer le risque.
APPROCHE PERSONNALISÉE
L'entité a des pratiques matures de
gestion des risques et choisit de mettre
en œuvre différents contrôles qui
répondent à l'objectif de l'approche
personnalisée mais ne satisfait pas à
l'exigence telle qu'elle est énoncée.
6
© ControlCase. All Rights Reserved. 30
CHRONOLOGIE DE LA NORME PCI
DSS V4.0
2022
Q1 Q2 Q3 Q4
Communiqué officiel
PCI DSS v4.0 avec
documents de
validation
Formation ISA/QSA
et documents
d'accompagnement
31 mars 2024
Retrait de la norme PCI
DSS v3.2.1
31 mars 2025
Les nouvelles
exigences datées de
l'avenir
entrent en vigueur
2023
Q1 Q2 Q3 Q4
2024
Q1 Q2 Q3 Q4
2025
Q1 Q2 Q3 Q4
Calendrier de mise en œuvre de la norme PCI DSS v4.0
© ControlCase. All Rights Reserved. 31
Période de transition de PCI DSS v3.2.1 à v4.0
Mise en œuvre de nouvelles exigences datant de l'aveni
Quelle est la prochaine étape ?
© ControlCase. All Rights Reserved. 32
Q1 2022
• La norme PCI DSS v4.0 et les
documents de validation ont été
publiés le 31 mars.
• Les résumés des
commentaires des RFC seront
disponibles sur le portail PCI.
• Blog et contenu vidéo prévus
pour introduire la v4.0
Q2 2022
• Les traductions, les documents
d'accompagnement et les
formations seront disponibles
d'ici la fin du mois de juin.
• Symposium mondial PCI DSS
v4.0
Q3-Q4 2022
• Engagement, soutien des
parties prenantes
• Mises à jour supplémentaires
des documents d'orientation
Transition de PCI DSS V3.2.1 a V4.0
© ControlCase. All Rights Reserved. 33
Q3 2022
*A partir de la fin juin
• Formations transitoires QSA et
ISA disponibles
• Toute la documentation a été
publiée
• Les organisations peuvent
commencer les évaluations par
rapport à la v4.0 en utilisant
des QSAs approuvés**.
Q1 2024
*31 mars 2024
• Retraite PCI DSS v3.2.1
• PCI v4.0 devient la version
exclusive à utiliser
Q1 2025
*31 mars 2025
• Les nouvelles exigences PCI
DSS avec des dates futures
entrent en vigueur
*Selon la chronologie actuelle formation avant d'entreprendre des évaluations v4.0 ** Les QSA doivent avoir terminé la v4.0 avec succès.
7
© ControlCase. All Rights Reserved. 34
QUESTIONS ET RÉPONSES
MERCI DE NOUS DONNER L'OCCASION
DE CONTRIBUER À VOTRE
PROGRAMME DE CONFORMITÉ
INFORMATIQUE.
www.controlcase.com
(LONDON) + 1 703.483.6383
contact@controlcase.com

Contenu connexe

Tendances

PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?
Djallal BOUABDALLAH
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
soumaila Doumbia
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
ControlCase
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates
VISTA InfoSec
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf
ControlCase
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI compliance
Jisc
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process Overview
Shankar Subramaniyan
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
PCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step GuidePCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step Guide
AlienVault
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Any Standard is Better Than None: GDPR and the ISO Standards
Any Standard is Better Than None: GDPR and the ISO StandardsAny Standard is Better Than None: GDPR and the ISO Standards
Any Standard is Better Than None: GDPR and the ISO Standards
PECB
 
Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0
Kriangkrai Chumsaktrakul
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
saqrjareh
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
Shellmates
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
Ammar Sassi
 

Tendances (20)

PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates Webinar - pci dss 4.0 updates
Webinar - pci dss 4.0 updates
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI compliance
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process Overview
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
PCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step GuidePCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step Guide
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Any Standard is Better Than None: GDPR and the ISO Standards
Any Standard is Better Than None: GDPR and the ISO StandardsAny Standard is Better Than None: GDPR and the ISO Standards
Any Standard is Better Than None: GDPR and the ISO Standards
 
Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 

Similaire à French PCI DSS v4.0 Webinaire.pdf

frenchpcidssv4-221018223841-092a9f77.pptx
frenchpcidssv4-221018223841-092a9f77.pptxfrenchpcidssv4-221018223841-092a9f77.pptx
frenchpcidssv4-221018223841-092a9f77.pptx
Fatimsall
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
Cyber Security Alliance
 
Business case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNETBusiness case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNET
Matthieu DEMOOR
 
PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...
PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...
PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...
Fatimsall
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
Yann Riviere CCSK, CISSP, CRISC, CISM
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational_France
 
Sisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-access
Sisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-accessSisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-access
Sisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-access
CERTyou Formation
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
Sebastien Gioria
 
Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?
DataStax
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days
 
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
Samir Arezki ☁
 
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Marius Zaharia
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Christophe Pekar
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
Infopole1
 
SSO une solution pertinente
SSO une solution pertinenteSSO une solution pertinente
SSO une solution pertinente
Patrick Barrabé® 😊
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
3 certificats et csa - claire lenain
3   certificats et csa - claire lenain3   certificats et csa - claire lenain
3 certificats et csa - claire lenain
ASIP Santé
 
Top 10 des certifications les plus demandées en afrique en 2017
Top 10 des certifications les plus demandées en afrique en 2017Top 10 des certifications les plus demandées en afrique en 2017
Top 10 des certifications les plus demandées en afrique en 2017
Franck Wamba 🏅
 
Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...
Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...
Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...
CERTyou Formation
 

Similaire à French PCI DSS v4.0 Webinaire.pdf (20)

frenchpcidssv4-221018223841-092a9f77.pptx
frenchpcidssv4-221018223841-092a9f77.pptxfrenchpcidssv4-221018223841-092a9f77.pptx
frenchpcidssv4-221018223841-092a9f77.pptx
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
 
Business case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNETBusiness case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNET
 
PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...
PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...
PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieur
 
Sisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-access
Sisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-accessSisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-access
Sisas formation-mettre-en-oeuvre-les-solutions-cisco-secure-access
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?Comment se préparer à la directive DSP2?
Comment se préparer à la directive DSP2?
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
 
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
SSO une solution pertinente
SSO une solution pertinenteSSO une solution pertinente
SSO une solution pertinente
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
3 certificats et csa - claire lenain
3   certificats et csa - claire lenain3   certificats et csa - claire lenain
3 certificats et csa - claire lenain
 
DCI Beta Systems
DCI Beta SystemsDCI Beta Systems
DCI Beta Systems
 
Top 10 des certifications les plus demandées en afrique en 2017
Top 10 des certifications les plus demandées en afrique en 2017Top 10 des certifications les plus demandées en afrique en 2017
Top 10 des certifications les plus demandées en afrique en 2017
 
Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...
Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...
Sise formation-mettre-en-oeuvre-et-configurer-la-solution-cisco-identity-serv...
 

Plus de ControlCase

PCI PIN Basics Webinar from the Controlcase Team
PCI PIN Basics Webinar from the Controlcase TeamPCI PIN Basics Webinar from the Controlcase Team
PCI PIN Basics Webinar from the Controlcase Team
ControlCase
 
Maintaining Data Privacy with Ashish Kirtikar
Maintaining Data Privacy with Ashish KirtikarMaintaining Data Privacy with Ashish Kirtikar
Maintaining Data Privacy with Ashish Kirtikar
ControlCase
 
PCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfPCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdf
ControlCase
 
Integrated Compliance Webinar.pptx
Integrated Compliance Webinar.pptxIntegrated Compliance Webinar.pptx
Integrated Compliance Webinar.pptx
ControlCase
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf
ControlCase
 
DFARS CMMC SPRS NIST 800-171 Explainer.pdf
DFARS CMMC SPRS NIST 800-171 Explainer.pdfDFARS CMMC SPRS NIST 800-171 Explainer.pdf
DFARS CMMC SPRS NIST 800-171 Explainer.pdf
ControlCase
 
Webinar-MSP+ Cyber Insurance Fina.pptx
Webinar-MSP+  Cyber Insurance Fina.pptxWebinar-MSP+  Cyber Insurance Fina.pptx
Webinar-MSP+ Cyber Insurance Fina.pptx
ControlCase
 
2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf
2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf
2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf
ControlCase
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
ControlCase
 
PCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptxPCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptx
ControlCase
 
Webinar - CMMC Certification.pptx
Webinar - CMMC Certification.pptxWebinar - CMMC Certification.pptx
Webinar - CMMC Certification.pptx
ControlCase
 
HITRUST Certification
HITRUST CertificationHITRUST Certification
HITRUST Certification
ControlCase
 
CMMC Certification
CMMC CertificationCMMC Certification
CMMC Certification
ControlCase
 
FedRAMP Certification & FedRAMP Marketplace
FedRAMP Certification & FedRAMP MarketplaceFedRAMP Certification & FedRAMP Marketplace
FedRAMP Certification & FedRAMP Marketplace
ControlCase
 
SOC 2 Compliance and Certification
SOC 2 Compliance and CertificationSOC 2 Compliance and Certification
SOC 2 Compliance and Certification
ControlCase
 
OneAudit™ - Assess Once, Certify to Many
OneAudit™ - Assess Once, Certify to ManyOneAudit™ - Assess Once, Certify to Many
OneAudit™ - Assess Once, Certify to Many
ControlCase
 
Continuous Compliance Monitoring
Continuous Compliance MonitoringContinuous Compliance Monitoring
Continuous Compliance Monitoring
ControlCase
 
Managing Multiple Assessments Using Zero Trust Principles
Managing Multiple Assessments Using Zero Trust PrinciplesManaging Multiple Assessments Using Zero Trust Principles
Managing Multiple Assessments Using Zero Trust Principles
ControlCase
 
PCI DSS Compliance in the Cloud
PCI DSS Compliance in the CloudPCI DSS Compliance in the Cloud
PCI DSS Compliance in the Cloud
ControlCase
 
Performing One Audit Using Zero Trust Principles
Performing One Audit Using Zero Trust PrinciplesPerforming One Audit Using Zero Trust Principles
Performing One Audit Using Zero Trust Principles
ControlCase
 

Plus de ControlCase (20)

PCI PIN Basics Webinar from the Controlcase Team
PCI PIN Basics Webinar from the Controlcase TeamPCI PIN Basics Webinar from the Controlcase Team
PCI PIN Basics Webinar from the Controlcase Team
 
Maintaining Data Privacy with Ashish Kirtikar
Maintaining Data Privacy with Ashish KirtikarMaintaining Data Privacy with Ashish Kirtikar
Maintaining Data Privacy with Ashish Kirtikar
 
PCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdfPCI DSS v4 - ControlCase Update Webinar Final.pdf
PCI DSS v4 - ControlCase Update Webinar Final.pdf
 
Integrated Compliance Webinar.pptx
Integrated Compliance Webinar.pptxIntegrated Compliance Webinar.pptx
Integrated Compliance Webinar.pptx
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf
 
DFARS CMMC SPRS NIST 800-171 Explainer.pdf
DFARS CMMC SPRS NIST 800-171 Explainer.pdfDFARS CMMC SPRS NIST 800-171 Explainer.pdf
DFARS CMMC SPRS NIST 800-171 Explainer.pdf
 
Webinar-MSP+ Cyber Insurance Fina.pptx
Webinar-MSP+  Cyber Insurance Fina.pptxWebinar-MSP+  Cyber Insurance Fina.pptx
Webinar-MSP+ Cyber Insurance Fina.pptx
 
2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf
2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf
2022-Q3-Webinar-PPT-DataProtectionByDesign.pdf
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
 
PCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptxPCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptx
 
Webinar - CMMC Certification.pptx
Webinar - CMMC Certification.pptxWebinar - CMMC Certification.pptx
Webinar - CMMC Certification.pptx
 
HITRUST Certification
HITRUST CertificationHITRUST Certification
HITRUST Certification
 
CMMC Certification
CMMC CertificationCMMC Certification
CMMC Certification
 
FedRAMP Certification & FedRAMP Marketplace
FedRAMP Certification & FedRAMP MarketplaceFedRAMP Certification & FedRAMP Marketplace
FedRAMP Certification & FedRAMP Marketplace
 
SOC 2 Compliance and Certification
SOC 2 Compliance and CertificationSOC 2 Compliance and Certification
SOC 2 Compliance and Certification
 
OneAudit™ - Assess Once, Certify to Many
OneAudit™ - Assess Once, Certify to ManyOneAudit™ - Assess Once, Certify to Many
OneAudit™ - Assess Once, Certify to Many
 
Continuous Compliance Monitoring
Continuous Compliance MonitoringContinuous Compliance Monitoring
Continuous Compliance Monitoring
 
Managing Multiple Assessments Using Zero Trust Principles
Managing Multiple Assessments Using Zero Trust PrinciplesManaging Multiple Assessments Using Zero Trust Principles
Managing Multiple Assessments Using Zero Trust Principles
 
PCI DSS Compliance in the Cloud
PCI DSS Compliance in the CloudPCI DSS Compliance in the Cloud
PCI DSS Compliance in the Cloud
 
Performing One Audit Using Zero Trust Principles
Performing One Audit Using Zero Trust PrinciplesPerforming One Audit Using Zero Trust Principles
Performing One Audit Using Zero Trust Principles
 

French PCI DSS v4.0 Webinaire.pdf

  • 1. WEBINAR: PCI DSS 4.0 VOTRE PARTENAIRE EN MATIÈRE DE CONFORMITÉ INFORMATIQUE - ALLEZ AU-DELÀ DE LA LISTE DE CONTRÔLE Télécharger l'aide-mémoire PCI DSS 4.0 Programme de la discussion sur la certification PCI DSS
  • 2. INTRODUCTIONS Yossra Antit Consultant en sécurité de l'information, ControlCase Karolien Holsters Directeur du développement commercial, Europe, Moyen-Orient et Afrique, ControlCase
  • 3. À propos de ControlCase À propos de PCI DSS Historique de la norme PCI DSS PCI DSS v4.0 Mise à jour du ControlCase Plongée en profondeur : Changements notables Chronologie de la norme PCI DSS v4.0 Agenda 3 1 2 3 4 5 6
  • 4. 1 © ControlCase. All Rights Reserved. 4 À PROPOS DE CONTROLCASE
  • 5. Aperçu de ControlCase © ControlCase. All Rights Reserved. 5 SERVICES DE CERTIFICATION ET DE CONFORMITÉ CONTINUE Allez au-delà de la liste de contrôle de l'auditeur pour : Réduire considérablement le temps, les coûts et la charge liés à l'obtention de la certification et au maintien de la conformité informatique. • Démontrer la conformité de manière plus efficace et plus rentable (certitude des coûts) • Améliorer l'efficacité • Faites plus avec moins de ressources et gagnez en sérénité en matière de conformité. • Libérez vos ressources internes pour qu'elles puissent se concentrer sur leurs priorités. • Déchargez une grande partie de la charge de conformité à un partenaire de confiance. PLUS DE 1,000 PLUS DE 275 PLUS DE 10,000 CLIENTES CERTIFICATIONS EN SÉCURITÉ INFORMATIQUE EXPERTS EN SÉCURITÉ
  • 6. Solución © ControlCase. All Rights Reserved. 6 Services de certification et de conformité continue “ J'ai travaillé sur les deux côtés de l'audit. Je n'ai vu aucun autre cabinet fournir le même produit et service avec la même valeur. Aucun autre cabinet n'offre cette amélioration continue, ce niveau de détail et cette réactivité. — Responsable de la sécurité et de la conformité, centre de données ControlCase Compliance Hub® Axé sur l’automatisation Services de Conformité Continue Approche Partenariale Services de Certification Informatique
  • 7. Partenariat stratégique de sécurité pour la conformité à la norme PCI DSS © ControlCase. All Rights Reserved. 7 Les évaluations PCI DSS doivent être réalisées par un évaluateur de sécurité qualifié (QSA). ControlCase est une société QSA offrant les services suivants : Approche associative Gestion de la réussite client Équipe d'assistance réactive Expérience proactivea Pensée créative
  • 8. Services de certification © ControlCase. All Rights Reserved. 8 “ Vous avez 27 secondes pour faire une première impression. Et après notre première rencontre, il est apparu clairement qu'ils étaient plus intéressés à aider notre entreprise et à établir une relation, qu'à simplement obtenir le marché. — Directeur senior, Risque et conformité de l'information, grand marchand PCI DSS ISO 27001-2 SOC 1,2,3,& Cybersecurity HIPAA FedRAMP PCI P2PE GDPR NIST 800-53 PCI PIN PCI SSF/SLC CSA STAR HITRUST CSF One Audit™ Évaluez une fois. Se conformer à plusieurs..
  • 9. Tableau de bord de l'audit ControlCase One Audit™ © ControlCase. All Rights Reserved. 9
  • 10. 2 © ControlCase. All Rights Reserved. 10 À PROPOS DE PCI DSS
  • 11. Qu'est-ce que la norme PCI DSS ? NORME DE SÉCURITÉ DES DONNÉES DE L'INDUSTRIE DES CARTES DE PAIEMENT Créée en 2006 par les principaux émetteurs de cartes de paiement. (VISA, MasterCard, American Express, JCB International et Discover Financial Services) Mantenido por el Consejo de Estándares de Seguridad PCI (PCI SSC). La norme PCI DSS fournit des exigences opérationnelles et techniques pour protéger les données des titulaires de cartes. ACTUELLEMENT EN PCI DSS VERSION 3.2 LA VERSION 4.0 DE LA NORME PCI DSS VIENT D'ÊTRE ANNONCÉE. © ControlCase. All Rights Reserved. 11
  • 12. 12 Exigences de PCI DSS © ControlCase. All Rights Reserved. 12 OBJECTIFS DE CONTRÔLE (6 PRINCIPES) 12 EXIGENCES Construire et maintenir un réseau sécurisé 1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes. 2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité. Protéger les données des titulaires de cartes 3. Protéger les données stockées des titulaires de cartes 4. Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics. Maintenir un programme de gestion des vulnérabilités 5. Utilisez et mettez régulièrement à jour un logiciel antivirus sur tous les systèmes couramment touchés par les logiciels malveillants. 6. Développer et maintenir des systèmes et des applications sécurisés Mettre en place de solides mesures de contrôle d'accès 7. Restreindre l'accès aux données des titulaires de cartes en fonction du besoin d'en connaître. 8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur. 9. Limiter l'accès physique aux données des titulaires de cartes Contrôler et tester régulièrement les réseaux 10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes. 11. Tester régulièrement les systèmes et processus de sécurité Maintenir une politique de sécurité de l'information 12. Maintenir une politique qui traite de la sécurité de l'information
  • 13. Famille de normes PCI DSS © ControlCase. All Rights Reserved. 13  PCI DSS Sécurité des environnements qui stockent, traitent ou transmettent des données de compte  PCI PA-DSS Les applications de paiement sont conformes à la norme PCI DSS  PCI P2PE Garantit que les données sont cryptées au point d'accès et ne peuvent être décryptées que par un environnement dédié.  PCI TSP Exigences pour les fournisseurs de services de jetons pour les jetons de paiement EMV  Production de cartes PCI Exigences de sécurité physique et logique pour la fabrication et la personnalisation des cartes  PCI 3DS Exigences physiques et logiques pour les entités qui mettent en œuvre la solution de paiement 3DS  PCI PTS - HSM Contrôles physiques et logiques pour sécuriser le HSM  PCI PTS - POI Protection des données sensibles chez POI  PCI PTS - Sécurité du PIN Gestion, traitement et transmission sécurisés des données PIN
  • 14. Données en question (données relatives aux cartes de crédit et de débit) © ControlCase. All Rights Reserved. 14 LES DONNÉES DU TITULAIRE DE LA CARTE COMPRENNENT : • Numéro de compte primaire (PAN) • Nom du titulaire de la carte • Date d'expiration • Code de service LES DONNÉES D'AUTHENTIFICATION SENSIBLES COMPRENNENT : • Données sur la piste complète • CAV2/CVC2/CVV2/CID • PINs/Blocs PINs Types de données sur une carte de crédit Date d'expiration Bande magnétique (données sur les pistes 1 et 2) Numéro de compte principal Code d'identific ation de la carte de crédit (American Express Code d'identification de la carte de crédit (American Express) Code d'identification de la carte de crédit. (Discover, JCB, MasterCard, Visa)
  • 15. 3 © ControlCase. All Rights Reserved. 15 HISTORIQUE DE LA NORME PCI DSS
  • 16. Histoire de PCI DSS Dates de publication de PCI DSS © ControlCase. All Rights Reserved. 16 • PCI DSS v1 - Décembre 2004 • PCI DSS v1.1- Septembre 2006 • PCI DSS v1.2- Octobre 2008 • PCI DSS v2 - Octobre 2010 • PCI DSS v3 - Novembre 2013 • PCI DSS v3.1 - Avril 2015 • PCI DSS v3.2 - Avril 2016 • PCI DSS v3.2.1 - Mai 2018 • PCI DSS v4 - Mars 2022
  • 17. 4 © ControlCase. All Rights Reserved. 17 PCI DSS V4.0 MISE À JOUR DU CONTROLCASE
  • 18. Mise à jour de PCI DSS V4.0 Aucune entreprise ne peut pas encore certifier des autres entreprises dans PCI DSS V 4.0. Le Conseil PCI a publié une liste de modifications e documentation en ligne. ControlCase mettra les clients au courrant lorsque nous nous rapprochons du 3ème trimester de l’année 2022. Jusque-là, notre processus d’évaluation n’aura aucun changement. Le Conseil PCI offrira la première formation en juin 2022 – après quoi les QSA pourront commencer les évaluations dans le cadre de PCI DSS 4.0. Les entreprises disposeront de 2 ans pour faire la transition à la version v4.0, mais elles pourront également le faire plus tôt. © ControlCase. All Rights Reserved. 18
  • 19. Objectifs de PCI DSS v4.0 PCI DSS v4.0 est la nouvelle generation de la norme et a les objectifs suivants: • Continuer à répondre aux besoins de sécurité de l’industrie de paiements • Promouvoir la sécurité en tant que processus continue • Augmenter la flexibilité pour les organisations qui utilisent méthodes différentes pout atteindre les objectifs de sécurité • Améliorer les méthodes et procedures de validation © ControlCase. All Rights Reserved. 19
  • 20. Changements critiques de PCI DSS v3.2.1 à v4.0 © ControlCase. All Rights Reserved. 20 CHANGEMENTS MÉTHODOLOGIQUES • Plusieurs petites mises à jour des exigences avec des clarifications ou guide supplémentaires • Introduction d’une approche personalisée pour offrir une méthode de validation des exigences supplémentaire pour atteindre l’objectif de l’exigence • Introduction d’une analyse de risque ciblée pour diverses exigences critiques • Pour les fournisseurs de services – Confirmation de la portée PCI DSS au moins une fois tous les 6 mois et en cas d’un changement important de l’environnement de la portée NOUVELLES EXIGENCES QUI PEUVENT NÉCESSITER DES EFFORTS/MISES EN ŒUVRE IMPORTANTS • Exigences strictes en matière de mot de pass et de MFA (Authentification Multifacteur) • Mécanismes de detection et protection du personnel contre les attaques phishing • Sollution technique automatisée pour les applications web publiques qui détecte regulièrement et prévient les attaques web • Mécanismes automatisés pour examiner les journaux d’audit pour tous les CDE et les système critiques • Analyses internes de vulnérabilité via une analyse authentifiée
  • 21. 5 © ControlCase. All Rights Reserved. 21 PLONGÉE DANS LES CHANGEMENTS NOTABLES
  • 22. 12 Exigences de PCI DSS v3.2.1 par rapport à v4.0 PCI DSS v3.2.1 - 12 EXIGENCES PCI DSS v4.0 - 12 EXIGENCES 1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes. 2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité. 3. Installer et maintenir les contrôles de sécurité du réseau 4. Appliquer des configurations sécurisées à tous les composants du système 3. Protéger les données stockées des titulaires de cartes 4. Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics. 3. Protéger les données des comptes stockés 4. Protéger les données des titulaires de cartes grâce à une cryptographie puissante lors de la transmission sur des réseaux publics ouverts 5. Utilisez et mettez régulièrement à jour un logiciel antivirus sur tous les systèmes couramment touchés par les logiciels malveillants. 6. Développer et maintenir des systèmes et des applications sécurisés 5. Protéger tous les systèmes et réseaux contre les logiciels malveillants 6. Développer et maintenir des systèmes et logiciels sécurisés 7. Restreindre l'accès aux données des titulaires de cartes en fonction du besoin d'en connaître. 8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur. 9. Limiter l'accès physique aux données des titulaires de cartes 7. Restreindre l'accès aux composants du système et aux données des titulaires de cartes en fonction du besoin d'en connaître. 8. Identifier les utilisateurs et authentifier l'accès aux composants du système 9. Limiter l'accès physique aux données des titulaires de cartes 10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes. 11. Tester régulièrement les systèmes et processus de sécurité 10. Consigner et surveiller tous les accès aux composants du système et aux données des titulaires de carte 11. Tester régulièrement la sécurité des systèmes et des réseaux 12. Maintenir une politique qui traite de la sécurité de l'information 12. Soutenir la sécurité de l'information par des politiques et des programmes organisationnels © ControlCase. All Rights Reserved. 22
  • 23. Principales mises à jour des exigences de la norme PCI DSS v4.0 Titre © ControlCase. All Rights Reserved. 23 • Exigence 1 : • Changement du titre de l'exigence de "Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes" à "Installer et maintenir des contrôles de sécurité du réseau". • Mise à jour du titre de l'exigence pour refléter l'accent mis sur des "contrôles de sécurité du réseau" plus larges. Remplacement de "pare-feu" et "routeurs" par "contrôles de sécurité du réseau" afin de prendre en charge un éventail plus large de technologies, y compris la technologie du cloud utilisée pour atteindre les objectifs de sécurité traditionnellement atteints par les pare-feu. • Exigence 2 : • Changement du titre de l'exigence "Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité" en "Appliquer des configurations sécurisées à tous les composants du système". • Mise à jour du titre de l'exigence pour indiquer que l'accent est mis sur les configurations sécurisées en général, et pas seulement sur les valeurs par défaut fournies par le fournisseur. • Exigence 3 : • Changement du titre de l'exigence de "Protéger les données stockées des titulaires de cartes" à "Protéger les données stockées des comptes". • Mise à jour du titre de l'exigence pour refléter l'accent mis sur les données de compte. Remplacement de "Données du titulaire de carte" par "Données du compte" pour appliquer les exigences de protection des données aux données du titulaire de carte et aux données d'authentification sensibles, et pas seulement aux données du titulaire de carte, afin d'être réceptif aux besoins des diverses parties telles que les émetteurs.
  • 24. Principales mises à jour des exigences de la norme PCI DSS v4.0 Titre © ControlCase. All Rights Reserved. 24 • Exigence 5 : • Changement du titre de l'exigence de "Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels ou programmes anti- virus" à "Protéger tous les systèmes et réseaux contre les logiciels malveillants". • Mise à jour du titre de l'exigence pour refléter l'accent mis sur la protection de tous les systèmes et réseaux contre les logiciels malveillants. Remplacement de "anti- virus" par "anti-malware" dans l'ensemble de l'exigence afin de prendre en charge une gamme plus large de technologies utilisées pour atteindre les objectifs de sécurité traditionnellement atteints par les logiciels anti-virus. • Exigence 12 : • Changement du titre de l'exigence de "Maintenir une politique qui traite de la sécurité des informations pour tout le personnel" à "Soutenir la sécurité des informations avec des politiques et des programmes organisationnels". • Mise à jour du titre de l'exigence pour refléter le fait que l'accent est mis sur les politiques et programmes organisationnels qui soutiennent la sécurité des informations.
  • 25. Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 25 CONTINUER À RÉPONDRE AUX BESOINS DE SÉCURITÉ DU SECTEUR DES PAIEMENTS Les pratiques de sécurité doivent évoluer pour continuer à répondre aux besoins de sécurité du secteur des paiements à mesure que les menaces changent. Exemple : Mise à jour des exigences en matière d'authentification multifactorielle (MFA). Mise à jour des exigences en matière de mots de passe, conformément aux meilleures pratiques actuelles du secteur. Ajout de nouvelles normes en matière de commerce électronique et de phishing pour faire face aux menaces permanentes. Mise à jour des exigences relatives au traitement sécurisé des données d'authentification sensibles (DAS). Ajout d'une exigence d'analyse de vulnérabilité interne authentifiée pour une meilleure connaissance du paysage de vulnérabilité des organisations.
  • 26. Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 26 PROMOUVOIR LA SÉCURITÉ COMME UN PROCESSUS CONTINU PROMOUVOIR LA SÉCURITÉ COMME UN PROCESSUS CONTINU, CAR UNE SÉCURITÉ PERMANENTE EST ESSENTIELLE POUR PROTÉGER LES DONNÉES DE PAIEMENT. Exemple : Rôles et responsabilités clairement attribués au personnel travaillant sur chaque exigence. Des conseils ont été ajoutés à l'ensemble des exigences pour aider les organisations à mieux comprendre comment mettre en œuvre et maintenir la sécurité. Ajout d'une nouvelle option de rapport pour mettre en évidence les domaines
  • 27. Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 27 AUGMENTER LA FLEXIBILITÉ POUR LES ORGANISATIONS UTILISANT DIFFÉRENTES MÉTHODES POUR ATTEINDRE LES OBJECTIFS DE SÉCURITÉ. Fournir plus d'options et différentes méthodes de validation afin d'accroître la flexibilité des organisations pour atteindre les objectifs de sécurité et soutenir l'innovation en matière de technologie de paiement. Exemple : Autorise l'utilisation de comptes de groupe, partagés et publics avec des exceptions. Introduction d'analyses de risques ciblées qui permettent aux organisations de déterminer la fréquence d'exécution de certaines activités. L'introduction d'une nouvelle méthode d'approche personnalisée pour valider les exigences PCI DSS, donne aux organisations une autre option pour envisager des méthodes innovantes pour atteindre leurs objectifs de sécurité.
  • 28. Objectifs de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 28 AMÉLIORER LES MÉTHODES ET PROCÉDURES DE VALIDATION AVEC DES OPTIONS DE VALIDATION ET DE RAPPORT CLAIRES POUR FAVORISER LA TRANSPARENCE ET LA GRANULARITÉ. Exemple : Alignement accru entre les informations rapportées dans un rapport de conformité ou un questionnaire d'auto-évaluation et les informations résumées dans une attestation de conformité.
  • 29. Contrôles compensatoires vs approche personnalisée © ControlCase. All Rights Reserved. 29 CONTRÔLES COMPENSATOIRES L'entité ne peut pas satisfaire à l'exigence telle qu'elle est énoncée en raison de contraintes techniques ou commerciales documentées, mais a mis en place des contrôles alternatifs pour atténuer le risque. APPROCHE PERSONNALISÉE L'entité a des pratiques matures de gestion des risques et choisit de mettre en œuvre différents contrôles qui répondent à l'objectif de l'approche personnalisée mais ne satisfait pas à l'exigence telle qu'elle est énoncée.
  • 30. 6 © ControlCase. All Rights Reserved. 30 CHRONOLOGIE DE LA NORME PCI DSS V4.0
  • 31. 2022 Q1 Q2 Q3 Q4 Communiqué officiel PCI DSS v4.0 avec documents de validation Formation ISA/QSA et documents d'accompagnement 31 mars 2024 Retrait de la norme PCI DSS v3.2.1 31 mars 2025 Les nouvelles exigences datées de l'avenir entrent en vigueur 2023 Q1 Q2 Q3 Q4 2024 Q1 Q2 Q3 Q4 2025 Q1 Q2 Q3 Q4 Calendrier de mise en œuvre de la norme PCI DSS v4.0 © ControlCase. All Rights Reserved. 31 Période de transition de PCI DSS v3.2.1 à v4.0 Mise en œuvre de nouvelles exigences datant de l'aveni
  • 32. Quelle est la prochaine étape ? © ControlCase. All Rights Reserved. 32 Q1 2022 • La norme PCI DSS v4.0 et les documents de validation ont été publiés le 31 mars. • Les résumés des commentaires des RFC seront disponibles sur le portail PCI. • Blog et contenu vidéo prévus pour introduire la v4.0 Q2 2022 • Les traductions, les documents d'accompagnement et les formations seront disponibles d'ici la fin du mois de juin. • Symposium mondial PCI DSS v4.0 Q3-Q4 2022 • Engagement, soutien des parties prenantes • Mises à jour supplémentaires des documents d'orientation
  • 33. Transition de PCI DSS V3.2.1 a V4.0 © ControlCase. All Rights Reserved. 33 Q3 2022 *A partir de la fin juin • Formations transitoires QSA et ISA disponibles • Toute la documentation a été publiée • Les organisations peuvent commencer les évaluations par rapport à la v4.0 en utilisant des QSAs approuvés**. Q1 2024 *31 mars 2024 • Retraite PCI DSS v3.2.1 • PCI v4.0 devient la version exclusive à utiliser Q1 2025 *31 mars 2025 • Les nouvelles exigences PCI DSS avec des dates futures entrent en vigueur *Selon la chronologie actuelle formation avant d'entreprendre des évaluations v4.0 ** Les QSA doivent avoir terminé la v4.0 avec succès.
  • 34. 7 © ControlCase. All Rights Reserved. 34 QUESTIONS ET RÉPONSES
  • 35. MERCI DE NOUS DONNER L'OCCASION DE CONTRIBUER À VOTRE PROGRAMME DE CONFORMITÉ INFORMATIQUE. www.controlcase.com (LONDON) + 1 703.483.6383 contact@controlcase.com