Djallal BOUABDALLAH, profile picture
Téléchargé parDjallal BOUABDALLAH
1,126 vues

PCI DSS - SSC ... C'est Quoi ?

Le document présente le PCI DSS (Payment Card Industry Data Security Standard), une norme sectorielle visant à protéger les données des cartes de paiement, dans un contexte où la fraude et les violations de données sont en augmentation. Il souligne les exigences de conformité et les risques associés à la compromission des données, ainsi que les conséquences financières et réputationnelles pour les entreprises. Le référentiel comprend des conditions spécifiques pour la gestion sécurisée des données, la protection des systèmes et le contrôle d'accès afin de garantir la sécurité des transactions financières.

Intégrer la présentation

PCI, DSS & SSC …. C’EST QUOI ? CONTEXTE ET ENJEUX DU PCI DSS DJALLAL BOUABDALLAH – EXPERT & CONSULTANT IT 22-11-2016
AGENDA  Introduction  Contexte  Structure du référentiel  Lien avec les normes ISO 270xx  Conclusion
INTRODUCTION
LES TENDANCES DANS LE MONDE Cartes sans contact / NFC Mobile Acceptance Portefeuilles numériques E-commerceet M-commerce Chip on the Cloud / HCE Croissance des paiements par carte (proximité et à distance) domestiques et internationaux apportée par cesévolutions Les innovations s’accélèrent Possibilités offertes par les nouvelles technologies autour de la carte de paiement, sur mobiles et internet Croissance de la fraude En 2015, la fraude brute des porteurs CB a représenté Plus de 592 millions d’euros en France et est en augmentation annuelle de 3%.
RAPPEL DES RISQUES EN CAS DE COMPROMISSION nd Perte de confiance des clients Coûts des contre- mesures Pénalités des réseaux Coûts dela fraude CONSÉQUENCES POURLE CLIENT ET LES BANQUES: • Une dé-crédibilisation de l’image de l’entreprise qui a laissé fuir les données • Selon le type de compromission, la perte d’image peut être estimée entre 17 à 31% de la valeur de l’image de marque • Le délai de restauration de la réputation d’une entreprise en moyenne 11,8 mois • De lourdes conséquences financières • Coût moyen violation de données : 2,9M€ • Coût moyen compromission par enregistrement compromis: 127€ • Coût de procès nonvalorisable • La perte de confiance client peut être très préjudiciableà l’entreprise • Des dommages collatéraux : conséquences commerciales • Dé-crédibilisation de ses partenaires directs : banques, prestataires et de l'ensemble du système carte • Attrition ou désabonnement des clients Dé-crédibilisation de l’image sécuritaire
CONSÉQUENCES DES PIRATAGES DE DONNÉES PORTEUR • Revente de données cartes en quantité sur des sites de « Carding » • Valeur (ordre de grandeur) sur le marché • Des données compromises • Numéro de compte (PAN) et CVV2 : 1€ • Données pistes carte classique : 8 à 73€ • « White plastic » avec piste magnétique : 100€ • Données pistes et PIN : 1 000€ • Du matériel informatique nécessaire • Logiciel malveillant (malware) : 1 000€ à 2 000€ • Equipement de skimming (clonage) : 1 000€ à 2 000€ • Types de fraude possibles avec des données carte volées • Vol de PAN : achat en VAD mal sécurisée (sans présentation de cryptogramme visuelCxx2) • Vol de PAN + DFV + Cxx2 (CVV2/CVC2/CBN2) : achat en VAD classique • Vol de piste ISO2 complète : contrefaçon utilisable en paiement surun terminal non EMV • Vol de piste ISO2 complète + PIN : contrefaçon utilisable en paiement et en retrait sur un terminal ou GAB
CONTEXTE
LE RÉFÉRENTIEL PCI-DSS  Acronyme anglais de « Payment Card Industry Data Security Standard », ce qui signifie « Norme de sécurité des données pour l’industrie des cartes de paiement »  Développé par PCI Security Standards Council (PCI SSC), qui a été fondé par American Express, Discover Financial Services, JCB International, MasterCard Worldwide etVisa, Inc. Décembre 2004 V1.0 Octobre 2008 V1.2 Juillet 2009 V1.2.1 Octobre 2010 V2.0 Novembre 2013 V3.0 Avril 2015 V3.1
APPLICATION DE LA NORME PCI-DSS  Norme spécifique au domaine bancaire  Concerne la protection des données sensibles liées aux cartes bancaires (PAN, date de validité, cryptogramme visuel, piste magnétique…)  But : Pallier aux faiblesses sécuritaires du e-commerce en protégeant la  confidentialité de données publiques (car visibles sur le recto ou le verso des cartes bancaires !)  Impose des mécanismes de sécurité  Firewall  Chiffrement des réseaux  Journalisation  Intégrité des serveurs
FORCES & FAIBLESSES  Forces de l’approche  Acceptée dans le domaine bancaire : conformité imposée parVISA et  Mastercard sous la menace de pénalités financières  Couvre l’absence d’exigences normatives  Autorise le non respect (partiel ou total) d’une exigence, si celle-ci est remplacée par des mesures compensatoires  Faiblesses de l’approche  Les mesures compensatoires sont présentées par l’auditeur (QSA) à VISA et Mastercard, qui peuvent les refuser  Les QSA sont responsables financièrement avec l’audité qu’ils ont aidé à certifier PCI-DSS, en cas de fraude sur le périmètre certifié
CONFORMITÉ À PCI-DSS: QUI EST CONCERNÉ ? Niveau Type d’activité Action requise pour la conformité 1 Tout commerçant traitant plus de 6 millions transactionsVisa ou MasterCard par an Tout commerçant ayant subit une compromission Audit de sécurité sur site Scan de vulnérabilité trimestriel (si commerce en ligne) 2 Tout commerçant traitant de 1 à 6 millions de transactionsVisa ou MasterCard par an Questionnaire d’auto-évaluation annuel Scan de vulnérabilité trimestriel (si commerce en ligne) 3 Tout commerçant traitant de 20,000 à 1 million de transactionsVisa ou MasterCard par an Questionnaire d’auto-évaluation annuel Scan de vulnérabilité trimestriel (si commerce en ligne) 4 Tout commerçant traitant moins de 20,000 transaction de commerce en ligneVisa ou MasterCard par an Tous les autres commerçants traitant jusqu’à 1 million de transactionsVisa ou MasterCard par an Questionnaire d’auto-évaluation annuel Scan de vulnérabilité trimestriel recommandé (si commerce en ligne) (cela dépend si les données sont capturées, stockées ou transmises par l’infrastructure du commerçant ou par un fournisseur de services)
QU’EST-CE QU’UNE « DONNÉES DE COMPTE » ? • Les données du titulaire et les données d’identification sensibles sont définies commesuit Nom du titulaire de la carte Date d’expiration Bande magnétique (données piste 1 et 2 parmi lesquelles le bloc PIN - Personal Identification Number – Version chiffrée du code PIN et le code service) 123 Numéro de compte primaire (PAN) L’équivalent des données bande magnétique sont également contenues dans la puce Données du titulaire de cartes: Données d'authentification sensibles:  Le numéro de compte primaire(PAN)  Le nom du titulairede la carte  La dated’expiration  Le code service  Les données de bande magnétiquecomplète ou leur équivalentsur unepuce  Le CAV2/CVC2/CVV2/CID (achat enVAD)  Les Codes/blocs PIN Cryptogramme visuel (CAV2/CVC2/CVV2/CID) Logo Banque
CONTEXTE: CONFORMITÉ À PCI-DSS Le numéro de compte primaire est le facteur déterminant de l'applicabilité des conditions PCI-DSS  Les conditions PCI-DSS sont applicables si un PAN est stocké, traité ou transmis  Si le PAN n'est pas stocké, traité ou transmis, les conditions PCI-DSS ne s'appliquent pas
SYNTHÈSE DES EXIGENCES EN MATIÈRE DE STOCKAGE DE DONNÉES Élément de données Stockage autorisé Rendre illisibles les données de compte stockées selon la condition 3.4 Donnéesdecompte Données du titulaire de la carte Numéro de compte primaire (PAN) Oui Oui Nom du titulaire de la carte Oui Non Code service Oui Non Date d’expiration Oui Non Données d’authentification sensibles Données complètes de la piste magnétique Non Stockage interdit selon condition 3.2 CAV2/CVC2/CVV2/CID Non Stockage interdit selon condition 3.2 Code/bloc PIN Non Stockage interdit selon condition 3.2
STRUCTURE DU RÉFÉRENTIEL PCI-DSS
THÈMES DES CONDITIONS DE SÉCURITÉ 6 thèmes (+ 1 spécifique)  Création et gestion d’un réseau sécurisé  Protection des données des titulaires de cartes  Gestion d’un programme de gestion des vulnérabilités  Mise en œuvre de mesures de contrôle d’accès strictes  Surveillance et test réguliers des réseaux  Gestion d’une politique de sécurité des informations  Autres conditions s’appliquant aux fournisseurs d’hébergement partagé 12 conditions de sécurité (+ 1 spécifique) 204 exigences élémentaires
CONDITIONS DE SÉCURITÉ  Création et gestion d’un réseau sécurisé  Condition 1 : Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes  Condition 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur  Protection des données des titulaires de cartes  Condition 3 : Protéger les données de titulaires de cartes stockées  Condition 4 : Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts
CONDITIONS DE SÉCURITÉ  Gestion d’un programme de gestion des vulnérabilités  Condition 5 : Utiliser des logiciels antivirus et les mettre à jour régulièrement  Condition 6 : Développer et gérer des systèmes et des applications sécurisés  Mise en œuvre de mesures de contrôle d’accès strictes  Condition 7 : Restreindre l'accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître  Condition 8 :Affecter un ID unique à chaque utilisateur d’ordinateur  Condition 9 : Restreindre l’accès physique aux données des titulaires de cartes
CONDITIONS DE SÉCURITÉ  Surveillance et test réguliers des réseaux  Condition 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes  Condition 11 :Tester régulièrement les processus et les systèmes de sécurité  Gestion d’une politique de sécurité des informations  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel
CONDITIONS DE SÉCURITÉ  Autres conditions s’appliquant aux fournisseurs d’hébergement partagé  Condition A.1 : Les prestataires de services d’hébergement partagé doivent protéger l’environnement des données de titulaires de cartes
LIEN AVEC LES NORMES ISO 270XX
MATRICE DE SIMILITUDE
POLITIQUE DE SÉCURITÉ  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  Processus annuel qui identifie les menaces et les vulnérabilités, et débouche sur une évaluation formelle des risques  Examen annuel de la Politique de sécurité des informations, avec une mise à jour chaque fois que l’environnement change
ORGANISATION DE LA SÉCURITÉ DE L’INFORMATION  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  S’assurer que la politique et les procédures de sécurité définissent clairement les responsabilités de tout le personnel en la matière
SÉCURITÉ LIÉE AUX RESSOURCES HUMAINES  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  Effectuer une sélection préalable à l'embauche du personnel pour minimiser les risques d'attaques par des sources internes  Mettre en œuvre un programme annuel de sensibilisation à la sécurité pour sensibiliser les employés à l'importance de la sécurité des données de titulaires de cartes
SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE  Condition 9 : Restreindre l’accès physique aux données des titulaires de cartes  Installer des caméras vidéo et/ou d’autres mécanismes de contrôle d’accès pour surveiller l’accès physique des individus aux zones sensibles  Examiner les données enregistrées et les mettre en corrélation avec d'autres informations. Les conserver pendant trois mois au minimum, sauf stipulation contraire de la loi  Restreindre l’accès physique aux prises réseau accessibles au public  Restreindre l'accès physique aux points d'accès, passerelles, dispositifs portables, matériel réseau/communications et lignes de télécommunication sans fil
SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE  Utiliser un registre des visites pour tenir un contrôle physique de la circulation des visiteurs, conserver ce registre pendant trois mois au minimum, sauf stipulation contraire de la loi  Ranger les sauvegardes sur support en lieu sûr, de préférence hors de l’installation, par exemple sur un autre site ou un site de secours, ou encore un site de stockage commercial, inspecter la sécurité du site au moins une fois par an  Assurer un contrôle strict de la distribution interne ou externe de tout type de support  S’assurer que les responsables approuvent tous les supports déplacés d’une zone sécurisée (en particulier s’ils sont distribués à des individus)
GESTION DE L’EXPLOITATION ET DES TÉLÉCOMMUNICATIONS  Condition 1 : Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes  Placer les composants du système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone de réseau interne, isolée de la DMZ et des autres réseaux non approuvés  Sécuriser et synchroniser les fichiers de configuration des routeurs  Installer un logiciel pare-feu personnel (non modifiable par les utilisateurs) sur tout ordinateur portable et/ou ordinateur appartenant à un employé équipé d’une connexion directe à Internet, qui est utilisé pour accéder au réseau de l’entreprise  Processus formel d'approbation et de test de toutes les connexions réseau et des modifications apportées aux configurations des pare-feu et des routeurs  Nécessité d’examiner les règles des pare-feu et des routeurs au moins tous les six mois
GESTION DE L’EXPLOITATION ET DES TÉLÉCOMMUNICATIONS  Condition 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur  N'appliquer qu'une fonction principale par serveur (physique ou virtuel) afin d'éviter la coexistence, sur le même serveur, de fonctions exigeant des niveaux de sécurité différents  N'activer que les services, protocoles, démons, etc., nécessaires et sécurisés pour le fonctionnement du système  Changer systématiquement les paramètres par défaut définis par le fournisseur avant d’installer un système sur le réseau  Modifier les clés de chiffrement par défaut des équipements réseau sans fil à l'installation et à chaque fois qu'un employé qui les connaît quitte l'entreprise ou change de poste  Condition 4 : Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts  Utiliser des protocoles de sécurité et de cryptographie robustes (par exemple, SSL/TLS, IPSEC, SSH, etc.) afin de protéger les données sensibles des titulaires de cartes durant la transmission sur des réseaux publics ouverts
GESTION DE L’EXPLOITATION ET DES TÉLÉCOMMUNICATIONS  Condition 5 : Utiliser des logiciels antivirus et les mettre à jour régulièrement  Déployer des logiciels antivirus sur tous les systèmes régulièrement affectés par des logiciels malveillants (en particulier PC et serveurs)  S’assurer que tous les mécanismes antivirus sont à jour, en cours d'exécution et génèrent des journaux d’audit  Condition 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes  Passer en revue les journaux d’audit relatifs à tous les composants du système au moins une fois par jour, notamment les serveurs exécutant des fonctions des sécurité (IDS, RADIUS…)  Conserver l’historique des journaux d’audit pendant une année au moins, en gardant immédiatement à disposition les journaux des trois derniers mois au moins, pour analyse (par exemple, disponibles en ligne, dans des archives ou restaurables à partir d’une sauvegarde)
CONTRÔLE D’ACCÈS  Condition 3 : Protéger les données de titulaires de cartes stockées  Ne stocker aucune donnée d’authentification sensible après autorisation (même chiffrée), ni la totalité du contenu d’une quelconque piste (sur la bande magnétique au verso d'une carte, sur une puce ou ailleurs)  Ne pas stocker le CVx2, le code PIN, ni le PIN-bloc chiffré  Masquer le PAN lorsqu'il s'affiche (les six premiers chiffres et les quatre derniers sont le maximum de chiffres affichés)  Rendre le PAN illisible où qu'il soit stocké, en utilisant l'une des approches suivantes : hachage unilatéral, troncature, tokens et pads d'index, cryptographie robuste  Protéger les clés utilisées pour protéger les données de titulaires de cartes de la divulgation et de l'utilisation illicites
CONTRÔLE D’ACCÈS  Condition 7 : Restreindre l'accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître  Restreindre l'accès aux composants du système et aux données des titulaires de cartes aux seuls individus qui doivent y accéder pour mener à bien leur travail  Condition 8 :Affecter un ID unique à chaque utilisateur d’ordinateur  S’assurer qu’une gestion appropriée des mots de passe et de l’authentification des utilisateurs est mise en oeuvre  Intégrer l’authentification à deux facteurs pour l’accès à distance (accès au niveau du réseau depuis l'extérieur du réseau) des employés, des administrateurs et de tiers au réseau
ACQUISITION, DÉVELOPPEMENT ET MAINTENANCE DES SYSTÈMES D’INFORMATION  Condition 6 : Développer et gérer des systèmes et des applications sécurisés  S’assurer que tous les logiciels et les composants du système sont dotés des derniers correctifs de sécurité développés par le fournisseur, afin de les protéger des vulnérabilités connues  Développer des applications logicielles (internes et externes, y compris l'accès administratif aux applications par le Web) conformément à la norme PCI DSS, basées sur les meilleures pratiques du secteur  Pour les applications Web orientées public, traiter les nouvelles menaces et vulnérabilités de manière régulière et veiller à ce que ces applications soient protégées contre les attaques connues
GESTION DES INCIDENTS LIÉS À LA SÉCURITÉ DE L’INFORMATION  Condition 11 :Tester régulièrement les processus et les systèmes de sécurité  Utiliser des systèmes de détection d’intrusions (IDS) et/ou des systèmes de prévention d’intrusions (IPS)  Déployer des logiciels de contrôle de l’intégrité des fichiers pour alerter le personnel de toute modification non autorisée des fichiers de configuration, des fichiers de contenu ou des fichiers système stratégiques  Tester la présence de points d'accès sans fil et détecter les points d'accès sans fil non autorisés tous les trimestres  Analyser les vulnérabilités potentielles des réseaux internes et externes au moins une fois par trimestre et après tout changement significatif des réseaux  Effectuer des tests de pénétration externe et interne au moins une fois par an et après tout changement ou mise à niveau significatif de l’infrastructure ou des applications  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  Mettre en œuvre un plan de réponse aux incidents, Être prêt à réagir immédiatement à toute intrusion dans le système
CONCLUSION  Très proche du référentiel ISO 27002  Impacte profondément les applications bancaires, surtout pour le back-office (plus de manipulation de PAN en clair, par défaut)  Nécessite de créer un sous-ensemble informatique conforme, pour pouvoir migrer progressivement les applications bancaires
MERCI DEVOTRE ATTENTION !

Contenu connexe

PDF
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
pardiopsamba2
 
PDF
Alphorm.com Formation Microsoft Azure (AZ-500) : Sécurité
parAlphorm
 
PDF
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
parychouhabi
 
PPTX
présentation-PFE.pptx
parAdemKorani
 
PDF
Gouvernance de la sécurite des Systèmes d'Information Volet-1
parPRONETIS
 
PDF
Générateur de guides d’audit informatique (based on cobit methodology)
parAmmar Sassi
 
PDF
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
parISACA Chapitre de Québec
 
PDF
Protéger ses données avec de la DLP
parMarc Rousselet
 
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
pardiopsamba2
 
Alphorm.com Formation Microsoft Azure (AZ-500) : Sécurité
parAlphorm
 
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
parychouhabi
 
présentation-PFE.pptx
parAdemKorani
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
parPRONETIS
 
Générateur de guides d’audit informatique (based on cobit methodology)
parAmmar Sassi
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
parISACA Chapitre de Québec
 
Protéger ses données avec de la DLP
parMarc Rousselet
 

Tendances

PDF
Référentiels et Normes pour l'Audit de la Sécurité des SI
parAlghajati
 
PDF
Iso27001
parArsene Allogo
 
PPT
Audit et sécurité des systèmes d'information
parManuel Cédric EBODE MBALLA
 
PPS
Audit Informatique
paretienne
 
PDF
la sécurité de l'information (extrait de presentation)
parDiane de Haan
 
PDF
Ch_1 - Généralités sur la sécurité informatique.pdf
parNafissa11
 
PDF
ISO 27001
parPhilippe CELLIER
 
PDF
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
parAmmar Sassi
 
PPTX
ETUDE DE LA CYBERSECURITE
parSINCLAIR JAZA FOLEFACK
 
PPTX
Sécurité des systèmes d'informations
parEmna Tfifha
 
PDF
Le Management de la sécurité des SI
parDIALLO Boubacar
 
PPTX
Ebios
parkilojolid
 
PDF
ISO 27001
parMELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
PPT
Securite informatique
parSouhaib El
 
PDF
SMSI.pdf
parHajarSalimi
 
PDF
sécurité informatique
parMohammed Zaoui
 
PDF
Audit des systemes d'information
parAnnick Franck Monyie Fouda
 
PDF
Audit sécurité des systèmes d’information
parAbbes Rharrab
 
PDF
Cours sécurité 2_asr
parTECOS
 
PPTX
Présentation audits de sécurité
parHarvey Francois
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
parAlghajati
 
Iso27001
parArsene Allogo
 
Audit et sécurité des systèmes d'information
parManuel Cédric EBODE MBALLA
 
Audit Informatique
paretienne
 
la sécurité de l'information (extrait de presentation)
parDiane de Haan
 
Ch_1 - Généralités sur la sécurité informatique.pdf
parNafissa11
 
ISO 27001
parPhilippe CELLIER
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
parAmmar Sassi
 
ETUDE DE LA CYBERSECURITE
parSINCLAIR JAZA FOLEFACK
 
Sécurité des systèmes d'informations
parEmna Tfifha
 
Le Management de la sécurité des SI
parDIALLO Boubacar
 
Ebios
parkilojolid
 
ISO 27001
parMELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
Securite informatique
parSouhaib El
 
SMSI.pdf
parHajarSalimi
 
sécurité informatique
parMohammed Zaoui
 
Audit des systemes d'information
parAnnick Franck Monyie Fouda
 
Audit sécurité des systèmes d’information
parAbbes Rharrab
 
Cours sécurité 2_asr
parTECOS
 
Présentation audits de sécurité
parHarvey Francois
 

Similaire à PCI DSS - SSC ... C'est Quoi ?

PDF
French PCI DSS v4.0 Webinaire.pdf
parControlCase
 
PPTX
frenchpcidssv4-221018223841-092a9f77.pptx
parFatimsall
 
PPTX
PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...
parFatimsall
 
PDF
Rational France - Livre blanc - Construire la conformité de l’intérieur
parRational_France
 
PDF
Sécurisation des données bancaires : Quelles garanties pour les clients ?
parGOTIC CI
 
PPTX
securite-2015-fond-blanc-sans-commentaires.pptx
paranisbenaissa3
 
PPTX
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
parCyber Security Alliance
 
PDF
Sensibilisation sur la cybersécurité
parOUSMANESoumailaYaye
 
PDF
Presentation iso27002
parsoumaila Doumbia
 
PPT
Finatech - Présentation Fahd Mekouar Cartes Afrique 2010 : Fraude & Sécurité
parFinatech Group S.A.
 
PDF
Programme de travail de la mission audit de la sécurité des SI
parAmmar Sassi
 
PDF
resume-theorique-m206-v1-0-62f6e972d0748.pdf
parAmineelbouabidi
 
PPTX
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
parAfrican Cyber Security Summit
 
PDF
Atelier louv expo-david-blampain-v01
parDavid Blampain
 
PDF
CH1_IntroductionSecurité.pdfcgood course
paryanguirania
 
PDF
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
parFootballLovers9
 
PPTX
Crédit card Fraud Detection
parOussamaBelarbi2
 
PDF
Baudoin karle-ids-ips
parYassmina AGHIL
 
PPT
La_sécurité_des_systèmes_d-_information.ppt
parmowaffakfejja
 
PPT
La_sécurité_des_systèmes_d-_information.ppt
parChloLau
 
French PCI DSS v4.0 Webinaire.pdf
parControlCase
 
frenchpcidssv4-221018223841-092a9f77.pptx
parFatimsall
 
PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -...
parFatimsall
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
parRational_France
 
Sécurisation des données bancaires : Quelles garanties pour les clients ?
parGOTIC CI
 
securite-2015-fond-blanc-sans-commentaires.pptx
paranisbenaissa3
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
parCyber Security Alliance
 
Sensibilisation sur la cybersécurité
parOUSMANESoumailaYaye
 
Presentation iso27002
parsoumaila Doumbia
 
Finatech - Présentation Fahd Mekouar Cartes Afrique 2010 : Fraude & Sécurité
parFinatech Group S.A.
 
Programme de travail de la mission audit de la sécurité des SI
parAmmar Sassi
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
parAmineelbouabidi
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
parAfrican Cyber Security Summit
 
Atelier louv expo-david-blampain-v01
parDavid Blampain
 
CH1_IntroductionSecurité.pdfcgood course
paryanguirania
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
parFootballLovers9
 
Crédit card Fraud Detection
parOussamaBelarbi2
 
Baudoin karle-ids-ips
parYassmina AGHIL
 
La_sécurité_des_systèmes_d-_information.ppt
parmowaffakfejja
 
La_sécurité_des_systèmes_d-_information.ppt
parChloLau
 

Plus de Djallal BOUABDALLAH

PDF
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...
parDjallal BOUABDALLAH
 
PDF
Sécurité des données de santé
parDjallal BOUABDALLAH
 
PDF
Les bonnes pratiques pour une transformation digitale réussie
parDjallal BOUABDALLAH
 
PDF
CYBER SECURITY & FINTECH
parDjallal BOUABDALLAH
 
PDF
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
parDjallal BOUABDALLAH
 
PDF
Le Marketing Agile
parDjallal BOUABDALLAH
 
PDF
LA DONNÉE: NOUVELLE ARME DE LA GUERRE ÉCONOMIQUE
parDjallal BOUABDALLAH
 
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...
parDjallal BOUABDALLAH
 
Sécurité des données de santé
parDjallal BOUABDALLAH
 
Les bonnes pratiques pour une transformation digitale réussie
parDjallal BOUABDALLAH
 
CYBER SECURITY & FINTECH
parDjallal BOUABDALLAH
 
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
parDjallal BOUABDALLAH
 
Le Marketing Agile
parDjallal BOUABDALLAH
 
LA DONNÉE: NOUVELLE ARME DE LA GUERRE ÉCONOMIQUE
parDjallal BOUABDALLAH
 

PCI DSS - SSC ... C'est Quoi ?

  • 1.
    PCI, DSS &SSC …. C’EST QUOI ? CONTEXTE ET ENJEUX DU PCI DSS DJALLAL BOUABDALLAH – EXPERT & CONSULTANT IT 22-11-2016
  • 2.
    AGENDA  Introduction  Contexte Structure du référentiel  Lien avec les normes ISO 270xx  Conclusion
  • 3.
  • 4.
    LES TENDANCES DANSLE MONDE Cartes sans contact / NFC Mobile Acceptance Portefeuilles numériques E-commerceet M-commerce Chip on the Cloud / HCE Croissance des paiements par carte (proximité et à distance) domestiques et internationaux apportée par cesévolutions Les innovations s’accélèrent Possibilités offertes par les nouvelles technologies autour de la carte de paiement, sur mobiles et internet Croissance de la fraude En 2015, la fraude brute des porteurs CB a représenté Plus de 592 millions d’euros en France et est en augmentation annuelle de 3%.
  • 5.
    RAPPEL DES RISQUESEN CAS DE COMPROMISSION nd Perte de confiance des clients Coûts des contre- mesures Pénalités des réseaux Coûts dela fraude CONSÉQUENCES POURLE CLIENT ET LES BANQUES: • Une dé-crédibilisation de l’image de l’entreprise qui a laissé fuir les données • Selon le type de compromission, la perte d’image peut être estimée entre 17 à 31% de la valeur de l’image de marque • Le délai de restauration de la réputation d’une entreprise en moyenne 11,8 mois • De lourdes conséquences financières • Coût moyen violation de données : 2,9M€ • Coût moyen compromission par enregistrement compromis: 127€ • Coût de procès nonvalorisable • La perte de confiance client peut être très préjudiciableà l’entreprise • Des dommages collatéraux : conséquences commerciales • Dé-crédibilisation de ses partenaires directs : banques, prestataires et de l'ensemble du système carte • Attrition ou désabonnement des clients Dé-crédibilisation de l’image sécuritaire
  • 6.
    CONSÉQUENCES DES PIRATAGESDE DONNÉES PORTEUR • Revente de données cartes en quantité sur des sites de « Carding » • Valeur (ordre de grandeur) sur le marché • Des données compromises • Numéro de compte (PAN) et CVV2 : 1€ • Données pistes carte classique : 8 à 73€ • « White plastic » avec piste magnétique : 100€ • Données pistes et PIN : 1 000€ • Du matériel informatique nécessaire • Logiciel malveillant (malware) : 1 000€ à 2 000€ • Equipement de skimming (clonage) : 1 000€ à 2 000€ • Types de fraude possibles avec des données carte volées • Vol de PAN : achat en VAD mal sécurisée (sans présentation de cryptogramme visuelCxx2) • Vol de PAN + DFV + Cxx2 (CVV2/CVC2/CBN2) : achat en VAD classique • Vol de piste ISO2 complète : contrefaçon utilisable en paiement surun terminal non EMV • Vol de piste ISO2 complète + PIN : contrefaçon utilisable en paiement et en retrait sur un terminal ou GAB
  • 7.
  • 8.
    LE RÉFÉRENTIEL PCI-DSS Acronyme anglais de « Payment Card Industry Data Security Standard », ce qui signifie « Norme de sécurité des données pour l’industrie des cartes de paiement »  Développé par PCI Security Standards Council (PCI SSC), qui a été fondé par American Express, Discover Financial Services, JCB International, MasterCard Worldwide etVisa, Inc. Décembre 2004 V1.0 Octobre 2008 V1.2 Juillet 2009 V1.2.1 Octobre 2010 V2.0 Novembre 2013 V3.0 Avril 2015 V3.1
  • 9.
    APPLICATION DE LANORME PCI-DSS  Norme spécifique au domaine bancaire  Concerne la protection des données sensibles liées aux cartes bancaires (PAN, date de validité, cryptogramme visuel, piste magnétique…)  But : Pallier aux faiblesses sécuritaires du e-commerce en protégeant la  confidentialité de données publiques (car visibles sur le recto ou le verso des cartes bancaires !)  Impose des mécanismes de sécurité  Firewall  Chiffrement des réseaux  Journalisation  Intégrité des serveurs
  • 10.
    FORCES & FAIBLESSES Forces de l’approche  Acceptée dans le domaine bancaire : conformité imposée parVISA et  Mastercard sous la menace de pénalités financières  Couvre l’absence d’exigences normatives  Autorise le non respect (partiel ou total) d’une exigence, si celle-ci est remplacée par des mesures compensatoires  Faiblesses de l’approche  Les mesures compensatoires sont présentées par l’auditeur (QSA) à VISA et Mastercard, qui peuvent les refuser  Les QSA sont responsables financièrement avec l’audité qu’ils ont aidé à certifier PCI-DSS, en cas de fraude sur le périmètre certifié
  • 11.
    CONFORMITÉ À PCI-DSS:QUI EST CONCERNÉ ? Niveau Type d’activité Action requise pour la conformité 1 Tout commerçant traitant plus de 6 millions transactionsVisa ou MasterCard par an Tout commerçant ayant subit une compromission Audit de sécurité sur site Scan de vulnérabilité trimestriel (si commerce en ligne) 2 Tout commerçant traitant de 1 à 6 millions de transactionsVisa ou MasterCard par an Questionnaire d’auto-évaluation annuel Scan de vulnérabilité trimestriel (si commerce en ligne) 3 Tout commerçant traitant de 20,000 à 1 million de transactionsVisa ou MasterCard par an Questionnaire d’auto-évaluation annuel Scan de vulnérabilité trimestriel (si commerce en ligne) 4 Tout commerçant traitant moins de 20,000 transaction de commerce en ligneVisa ou MasterCard par an Tous les autres commerçants traitant jusqu’à 1 million de transactionsVisa ou MasterCard par an Questionnaire d’auto-évaluation annuel Scan de vulnérabilité trimestriel recommandé (si commerce en ligne) (cela dépend si les données sont capturées, stockées ou transmises par l’infrastructure du commerçant ou par un fournisseur de services)
  • 12.
    QU’EST-CE QU’UNE «DONNÉES DE COMPTE » ? • Les données du titulaire et les données d’identification sensibles sont définies commesuit Nom du titulaire de la carte Date d’expiration Bande magnétique (données piste 1 et 2 parmi lesquelles le bloc PIN - Personal Identification Number – Version chiffrée du code PIN et le code service) 123 Numéro de compte primaire (PAN) L’équivalent des données bande magnétique sont également contenues dans la puce Données du titulaire de cartes: Données d'authentification sensibles:  Le numéro de compte primaire(PAN)  Le nom du titulairede la carte  La dated’expiration  Le code service  Les données de bande magnétiquecomplète ou leur équivalentsur unepuce  Le CAV2/CVC2/CVV2/CID (achat enVAD)  Les Codes/blocs PIN Cryptogramme visuel (CAV2/CVC2/CVV2/CID) Logo Banque
  • 13.
    CONTEXTE: CONFORMITÉ ÀPCI-DSS Le numéro de compte primaire est le facteur déterminant de l'applicabilité des conditions PCI-DSS  Les conditions PCI-DSS sont applicables si un PAN est stocké, traité ou transmis  Si le PAN n'est pas stocké, traité ou transmis, les conditions PCI-DSS ne s'appliquent pas
  • 14.
    SYNTHÈSE DES EXIGENCESEN MATIÈRE DE STOCKAGE DE DONNÉES Élément de données Stockage autorisé Rendre illisibles les données de compte stockées selon la condition 3.4 Donnéesdecompte Données du titulaire de la carte Numéro de compte primaire (PAN) Oui Oui Nom du titulaire de la carte Oui Non Code service Oui Non Date d’expiration Oui Non Données d’authentification sensibles Données complètes de la piste magnétique Non Stockage interdit selon condition 3.2 CAV2/CVC2/CVV2/CID Non Stockage interdit selon condition 3.2 Code/bloc PIN Non Stockage interdit selon condition 3.2
  • 15.
  • 16.
    THÈMES DES CONDITIONSDE SÉCURITÉ 6 thèmes (+ 1 spécifique)  Création et gestion d’un réseau sécurisé  Protection des données des titulaires de cartes  Gestion d’un programme de gestion des vulnérabilités  Mise en œuvre de mesures de contrôle d’accès strictes  Surveillance et test réguliers des réseaux  Gestion d’une politique de sécurité des informations  Autres conditions s’appliquant aux fournisseurs d’hébergement partagé 12 conditions de sécurité (+ 1 spécifique) 204 exigences élémentaires
  • 17.
    CONDITIONS DE SÉCURITÉ Création et gestion d’un réseau sécurisé  Condition 1 : Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes  Condition 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur  Protection des données des titulaires de cartes  Condition 3 : Protéger les données de titulaires de cartes stockées  Condition 4 : Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts
  • 18.
    CONDITIONS DE SÉCURITÉ Gestion d’un programme de gestion des vulnérabilités  Condition 5 : Utiliser des logiciels antivirus et les mettre à jour régulièrement  Condition 6 : Développer et gérer des systèmes et des applications sécurisés  Mise en œuvre de mesures de contrôle d’accès strictes  Condition 7 : Restreindre l'accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître  Condition 8 :Affecter un ID unique à chaque utilisateur d’ordinateur  Condition 9 : Restreindre l’accès physique aux données des titulaires de cartes
  • 19.
    CONDITIONS DE SÉCURITÉ Surveillance et test réguliers des réseaux  Condition 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes  Condition 11 :Tester régulièrement les processus et les systèmes de sécurité  Gestion d’une politique de sécurité des informations  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel
  • 20.
    CONDITIONS DE SÉCURITÉ Autres conditions s’appliquant aux fournisseurs d’hébergement partagé  Condition A.1 : Les prestataires de services d’hébergement partagé doivent protéger l’environnement des données de titulaires de cartes
  • 21.
    LIEN AVEC LESNORMES ISO 270XX
  • 22.
  • 23.
    POLITIQUE DE SÉCURITÉ Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  Processus annuel qui identifie les menaces et les vulnérabilités, et débouche sur une évaluation formelle des risques  Examen annuel de la Politique de sécurité des informations, avec une mise à jour chaque fois que l’environnement change
  • 24.
    ORGANISATION DE LASÉCURITÉ DE L’INFORMATION  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  S’assurer que la politique et les procédures de sécurité définissent clairement les responsabilités de tout le personnel en la matière
  • 25.
    SÉCURITÉ LIÉE AUXRESSOURCES HUMAINES  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  Effectuer une sélection préalable à l'embauche du personnel pour minimiser les risques d'attaques par des sources internes  Mettre en œuvre un programme annuel de sensibilisation à la sécurité pour sensibiliser les employés à l'importance de la sécurité des données de titulaires de cartes
  • 26.
    SÉCURITÉ PHYSIQUE ETENVIRONNEMENTALE  Condition 9 : Restreindre l’accès physique aux données des titulaires de cartes  Installer des caméras vidéo et/ou d’autres mécanismes de contrôle d’accès pour surveiller l’accès physique des individus aux zones sensibles  Examiner les données enregistrées et les mettre en corrélation avec d'autres informations. Les conserver pendant trois mois au minimum, sauf stipulation contraire de la loi  Restreindre l’accès physique aux prises réseau accessibles au public  Restreindre l'accès physique aux points d'accès, passerelles, dispositifs portables, matériel réseau/communications et lignes de télécommunication sans fil
  • 27.
    SÉCURITÉ PHYSIQUE ETENVIRONNEMENTALE  Utiliser un registre des visites pour tenir un contrôle physique de la circulation des visiteurs, conserver ce registre pendant trois mois au minimum, sauf stipulation contraire de la loi  Ranger les sauvegardes sur support en lieu sûr, de préférence hors de l’installation, par exemple sur un autre site ou un site de secours, ou encore un site de stockage commercial, inspecter la sécurité du site au moins une fois par an  Assurer un contrôle strict de la distribution interne ou externe de tout type de support  S’assurer que les responsables approuvent tous les supports déplacés d’une zone sécurisée (en particulier s’ils sont distribués à des individus)
  • 28.
    GESTION DE L’EXPLOITATIONET DES TÉLÉCOMMUNICATIONS  Condition 1 : Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes  Placer les composants du système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone de réseau interne, isolée de la DMZ et des autres réseaux non approuvés  Sécuriser et synchroniser les fichiers de configuration des routeurs  Installer un logiciel pare-feu personnel (non modifiable par les utilisateurs) sur tout ordinateur portable et/ou ordinateur appartenant à un employé équipé d’une connexion directe à Internet, qui est utilisé pour accéder au réseau de l’entreprise  Processus formel d'approbation et de test de toutes les connexions réseau et des modifications apportées aux configurations des pare-feu et des routeurs  Nécessité d’examiner les règles des pare-feu et des routeurs au moins tous les six mois
  • 29.
    GESTION DE L’EXPLOITATIONET DES TÉLÉCOMMUNICATIONS  Condition 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur  N'appliquer qu'une fonction principale par serveur (physique ou virtuel) afin d'éviter la coexistence, sur le même serveur, de fonctions exigeant des niveaux de sécurité différents  N'activer que les services, protocoles, démons, etc., nécessaires et sécurisés pour le fonctionnement du système  Changer systématiquement les paramètres par défaut définis par le fournisseur avant d’installer un système sur le réseau  Modifier les clés de chiffrement par défaut des équipements réseau sans fil à l'installation et à chaque fois qu'un employé qui les connaît quitte l'entreprise ou change de poste  Condition 4 : Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts  Utiliser des protocoles de sécurité et de cryptographie robustes (par exemple, SSL/TLS, IPSEC, SSH, etc.) afin de protéger les données sensibles des titulaires de cartes durant la transmission sur des réseaux publics ouverts
  • 30.
    GESTION DE L’EXPLOITATIONET DES TÉLÉCOMMUNICATIONS  Condition 5 : Utiliser des logiciels antivirus et les mettre à jour régulièrement  Déployer des logiciels antivirus sur tous les systèmes régulièrement affectés par des logiciels malveillants (en particulier PC et serveurs)  S’assurer que tous les mécanismes antivirus sont à jour, en cours d'exécution et génèrent des journaux d’audit  Condition 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes  Passer en revue les journaux d’audit relatifs à tous les composants du système au moins une fois par jour, notamment les serveurs exécutant des fonctions des sécurité (IDS, RADIUS…)  Conserver l’historique des journaux d’audit pendant une année au moins, en gardant immédiatement à disposition les journaux des trois derniers mois au moins, pour analyse (par exemple, disponibles en ligne, dans des archives ou restaurables à partir d’une sauvegarde)
  • 31.
    CONTRÔLE D’ACCÈS  Condition3 : Protéger les données de titulaires de cartes stockées  Ne stocker aucune donnée d’authentification sensible après autorisation (même chiffrée), ni la totalité du contenu d’une quelconque piste (sur la bande magnétique au verso d'une carte, sur une puce ou ailleurs)  Ne pas stocker le CVx2, le code PIN, ni le PIN-bloc chiffré  Masquer le PAN lorsqu'il s'affiche (les six premiers chiffres et les quatre derniers sont le maximum de chiffres affichés)  Rendre le PAN illisible où qu'il soit stocké, en utilisant l'une des approches suivantes : hachage unilatéral, troncature, tokens et pads d'index, cryptographie robuste  Protéger les clés utilisées pour protéger les données de titulaires de cartes de la divulgation et de l'utilisation illicites
  • 32.
    CONTRÔLE D’ACCÈS  Condition7 : Restreindre l'accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître  Restreindre l'accès aux composants du système et aux données des titulaires de cartes aux seuls individus qui doivent y accéder pour mener à bien leur travail  Condition 8 :Affecter un ID unique à chaque utilisateur d’ordinateur  S’assurer qu’une gestion appropriée des mots de passe et de l’authentification des utilisateurs est mise en oeuvre  Intégrer l’authentification à deux facteurs pour l’accès à distance (accès au niveau du réseau depuis l'extérieur du réseau) des employés, des administrateurs et de tiers au réseau
  • 33.
    ACQUISITION, DÉVELOPPEMENT ETMAINTENANCE DES SYSTÈMES D’INFORMATION  Condition 6 : Développer et gérer des systèmes et des applications sécurisés  S’assurer que tous les logiciels et les composants du système sont dotés des derniers correctifs de sécurité développés par le fournisseur, afin de les protéger des vulnérabilités connues  Développer des applications logicielles (internes et externes, y compris l'accès administratif aux applications par le Web) conformément à la norme PCI DSS, basées sur les meilleures pratiques du secteur  Pour les applications Web orientées public, traiter les nouvelles menaces et vulnérabilités de manière régulière et veiller à ce que ces applications soient protégées contre les attaques connues
  • 34.
    GESTION DES INCIDENTSLIÉS À LA SÉCURITÉ DE L’INFORMATION  Condition 11 :Tester régulièrement les processus et les systèmes de sécurité  Utiliser des systèmes de détection d’intrusions (IDS) et/ou des systèmes de prévention d’intrusions (IPS)  Déployer des logiciels de contrôle de l’intégrité des fichiers pour alerter le personnel de toute modification non autorisée des fichiers de configuration, des fichiers de contenu ou des fichiers système stratégiques  Tester la présence de points d'accès sans fil et détecter les points d'accès sans fil non autorisés tous les trimestres  Analyser les vulnérabilités potentielles des réseaux internes et externes au moins une fois par trimestre et après tout changement significatif des réseaux  Effectuer des tests de pénétration externe et interne au moins une fois par an et après tout changement ou mise à niveau significatif de l’infrastructure ou des applications  Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel  Mettre en œuvre un plan de réponse aux incidents, Être prêt à réagir immédiatement à toute intrusion dans le système
  • 35.
    CONCLUSION  Très prochedu référentiel ISO 27002  Impacte profondément les applications bancaires, surtout pour le back-office (plus de manipulation de PAN en clair, par défaut)  Nécessite de créer un sous-ensemble informatique conforme, pour pouvoir migrer progressivement les applications bancaires
  • 36.