Entreprises du Voyage face à PCI DSS - Comment répondre à la demande de l'IATA 15/02/2018 - APST

 
Entreprises du Voyage face à PCI DSS - Comment répondre à la demande de l'IATA 15/02/2018 - APST
Entreprises du Voyage face à PCI DSS
Comment répondre à la demande de l’IATA
15/02/2018

                                          | www.galitt.com
Entreprises du Voyage face à PCI DSS - Comment répondre à la demande de l'IATA 15/02/2018 - APST
CONTACTS

                                            b.ko v acs@galitt.com
           Bruno KOVACS
           P ractice M anager
           Galitt P ay m ent Security       +3 3 1 7 7 7 0 2 8 1 2
                                            +3 3 6 5 9 5 6 0 6 5 8

                                            s.ghidhao ui@galitt.co m
            Safa GHID HAOUI
            P CI Co m m unity M anager
            Galitt P ay m ent Co nsulting   +3 3 1 7 7 7 0 2 8 7 6
                                            +3 3 6 1 3 9 5 5 6 0 2

                                            1 7 ro ute de la Reine
                                            9 2 1 0 0 Bo ulo gne -Billanco urt

                                                                           © Copyright Galitt   2
Entreprises du Voyage face à PCI DSS - Comment répondre à la demande de l'IATA 15/02/2018 - APST
SOMMAIRE

           1.   Contexte

           2.   Introduction à PCI DSS

           3.   Démarche de certification & qualification des commerçants

           4.   Exemples et cas pratiques

           5.   Vulgarisation de PCI DSS

           6.   Questions & Réponses

           7.   A propos de Galitt

                                                              © Copyright Galitt   3
Entreprises du Voyage face à PCI DSS - Comment répondre à la demande de l'IATA 15/02/2018 - APST
1

CONTEXTE
Entreprises du Voyage face à PCI DSS - Comment répondre à la demande de l'IATA 15/02/2018 - APST
CONTEXTE
Des échéances concrètes

                ASSOCIATION INTERNATIONALE DU                                  RÉSEAUX CARTES INTERNATIONAUX
                      TRANSPORT AÉRIEN

 l’IATA impose la certification PCI DSS à tous ses membres :      Les réseaux de cartes bancaires internationaux exigent
 • Compagnies aériennes,                                          l’application de la norme PCI DSS à tous les acteurs du
                                                                  paiement par carte afin de:
 • Entreprises sous-traitantes et partenaires, agences de
   voyages                                                        •   limiter la fraude via la compromission massive de
 • Les agences de voyages accréditées dont la certification est       données,
   exigée pour la certification de la compagnie aérienne elle-    •   définir une approche commune dans l’application des
   même.                                                              règles de sécurité.

 L’échéance est fixée au 1er mars 2018 (déjà repoussée depuis     La mise en œuvre de PCI DSS auprès des commerçants est
 juin 2017).                                                      assurée par les banques membres de ces réseaux.

                                                                                                       © Copyright Galitt   5
Entreprises du Voyage face à PCI DSS - Comment répondre à la demande de l'IATA 15/02/2018 - APST
CONTEXTE
Des échéances concrètes

                                       LE RÈGLEMENT EUROPÉEN 2016/679
                                 SUR LA PROTECTION DES DONNÉES PERSONNELLES

 Le règlement européen 2016/679 sur la protection des données personnelles, General Data Protection Regulation (GDPR),
 entre en vigueur le 25 mai 2018 :
  Les données personnelles sensibles couvertes par le standard PCI DSS font partie du périmètre de la GDPR
  Le non-respect du règlement européen expose à des pénalités pouvant aller jusqu’à 4% du chiffre d’affaires mondial
   plafonné à 20M€, en cas de compromission
  Arrêt des systèmes d’information jusqu’à la mise en conformité
  La mise en conformité à PCI DSS permet de contribuer fortement au respect de ce nouveau règlement en capitalisant sur
   les investissements consentis

                                                                                                         © Copyright Galitt   6
Entreprises du Voyage face à PCI DSS - Comment répondre à la demande de l'IATA 15/02/2018 - APST
CONTEXTE
Les risques encourus

Le non-respect de l’exigence de certification PCI DSS imposée par l’IATA a les conséquences suivantes:

              1.   Le retrait, à partir du 1er mars 2018, de l’accréditation IATA des agences de voyages non certifiées PCI DSS
                   leur interdisant ainsi l’utilisation du code commerçant de la compagnie aérienne ce qui entraîne:
                    •    Une augmentation du tarif des transactions carte (prise en charge des commissions)
                    •    Une dépréciation d’image auprès des compagnies aériennes et auprès des clients professionnels et
                         grand public

              2.   Un risque juridique pour la non-protection des données personnelles
                    •    Un risque financier en cas d’infraction à la nouvelle réglementation européenne sur la protection des
                         données personnelles (GDPR) applicable à partir du 25 Mai 2018
                           Pénalités de 4% du chiffre d’affaires du commerçant appliqué en cas d’une infraction avérée.

              3.   Ceci s’ajoutant aux inconvénients bancaires de l’absence de conformité à PCI DSS :
                    •    Des pénalités réclamées par la banque, aggravées en cas de compromission

                                                                                                           © Copyright Galitt   7
Entreprises du Voyage face à PCI DSS - Comment répondre à la demande de l'IATA 15/02/2018 - APST
2

INTRODUCTION À
PCI DSS
Entreprises du Voyage face à PCI DSS - Comment répondre à la demande de l'IATA 15/02/2018 - APST
PCI DSS
Origine de la norme

                                Présentation                              L’organisation a élaboré un ensemble de
          PCI SSC               Le PCI SSC est un organisme créé en       standards à destination des acteurs de l’industrie
    (Payment Card Industry                                                du paiement par carte dans le but de :
  Security Standards Council)
                                2006 à l’initiative de 5 réseaux cartes
                                internationaux.
                                                                             Limiter la fraude par compromission
                                                                              massive de données du titulaire et/ou des
                                                                              données d’authentification; et
                                                                             Définir une approche commune et un
                                                                              ensemble de règles adopté par les principaux
                                                                              réseaux et basé sur les programmes de
                                                                              protection existants.

                                                                                                      © Copyright Galitt   9
Entreprises du Voyage face à PCI DSS - Comment répondre à la demande de l'IATA 15/02/2018 - APST
LA NORME PCI DSS
Données concernées
• Les données du porteur et les données d’authentification sensibles sont définies comme suit :

        L’équivalent des données piste magnétique est également stocké                                   Piste magnétique (piste 1 et 2)
        dans la puce

                                                                                        123
                 PAN

                                                                                                              Cryptogramme visuel
                                                                                                             (CAV2/CVC2/CVV2/CID)
              Nom du porteur de la carte        Date d’expiration

        Données d’identification du porteur :                       Données d'authentification sensibles :

             Le PAN                                                      Les données de piste magnétique complète ou leur équivalent
             Le nom du porteur de la carte                                sur une puce
             La date d’expiration                                        Le CAV2/CVC2/CVV2/CID (achat en VAD)
             Le code service                                             PIN Block et PIN

                                                                                                                             © Copyright Galitt   10
EXIGENCES DE LA NORME PCI DSS
La norme PCI DSS contient plus de 400 points de contrôle et est articulée autour de 6 thèmes principaux :

   1. Création et gestion d’un réseau et d’un système sécurisés

   2. Protection des données carte stockées

   3. Gestion d’un programme de gestion des vulnérabilités

   4. Mise en œuvre de mesures de contrôle d’accès (physique et logique) strictes

   5. Surveillance et tests réguliers de sécurité de l’environnement

   6. Gouvernance, gestion d’une politique de sécurité et gestion des risques cyber

                                                                                                            © Copyright Galitt   11
3

DÉMARCHE DE MISE EN
CONFORMITÉ
DÉMARCHE DE MISE EN CONFORMITÉ
      Évaluation initiale et renouvellement
                                                                                                             IV. Renouvellement
                                             II. Réalisation de l’auto-évaluation                            •  La certification PCI DSS doit être renouvelée
                                                •   Cadrage du périmètre                                       tous les ans.
                                                •   Analyse des écarts                                       • Le processus de renouvellement est plus
                                                •   Collecte de preuves                                        léger que la démarche initiale d’évaluation
                                                •   Plan d’actions                                             s’il n’y a pas de changements majeurs dans
                                                                                                               l’infrastructure du commerçant.

                                                                                                                       1 an

I. Qualification de la typologie du
commerçant                                                                         III. Certification
1. Déterminer le profil commerçant selon
                                                                           • Remplissage du questionnaire
   la volumétrie annuelle des transactions
                                                                             d’auto-évaluation adapté
   et les canaux d’acceptation
                                                                           • Rédaction de l’attestation de
2. Choix du questionnaire d’évaluation                                       conformité PCI DSS (AOC) : document
   PCI DSS adapté au profil commerçant et                                    à communiquer aux différents
   à son infrastructure technique                                            partenaires (ex: IATA) et à la
                                                                             banque acquéreur

                                                                                                                                © Copyright Galitt   13
MODÈLE DE QUESTIONNAIRE D’AUTO-ÉVALUATION PCI DSS (SAQ)
Exemple : SAQ

                                                      © Copyright Galitt   14
MODÈLE D’ATTESTATION DE CONFORMITÉ PCI DSS (AOC)
Exemple: AOC

                                                   © Copyright Galitt   15
CLASSIFICATION DES COMMERÇANTS EN FONCTION DU NOMBRE DE TRANSACTIONS

     NIVEAU 1                  NIVEAU 2                        NIVEAU 3                      NIVEAU 4
Acceptation de plus de     Acceptation de 1 à 6          Acceptation de 20.000           Tous les autres
6 millions de              millions de transactions      à 1 million de                  commerçants dont
transactions annuelles     annuelles                     transactions annuelles          e-commerce
                                                         par e-commerce

Audit annuel par un       Questionnaire annuel             Questionnaire annuel          Questionnaire annuel
QSA ou auditeur interne   d’auto-évaluation                d'auto-évaluation             d'auto-évaluation
agréé par le PCI-SSC

                                      Le niveau commerçant est déterminé en fonction du volume de transactions
                                      par schème (ex: 7 millions Visa = N1, 4 millions MasterCard = N2).

                                                                                           © Copyright Galitt   16
LISTE DES QUESTIONNAIRES D’AUTO-ÉVALUATION PCI DSS (SAQ)

              SAQ A     Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ )                22

E-commerce
             SAQ A-EP   Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’                      191

              SAQ B     TPE autonome connecté à une ligne téléphonique                                                          41

Proximité
ou VAD sur   SAQ B-IP   TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..)                                            80
TPE
              SAQ C     TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet              160

             SAQ C-VT   Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI          79

Autres
                        Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous
              SAQ D                                                                                                             329
                        format électronique
                                                                                                      © Copyright Galitt   17
4

EXEMPLES ET
CAS PRATIQUES
CAS 1
Agent de voyage avec TPE raccordé au
réseau téléphonique commuté (RTC)
PREMIER CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ AU RÉSEAU TÉLÉPHONIQUE
COMMUTÉ (RTC)

      1      Niveau commerçant

          Commerçant       réalisant 12000
          transactions VISA ou MASTERCARD
          par an

                                                           © Copyright Galitt   20
COMMERÇANT RÉALISANT 12000 TRANSACTIONS VISA OU MASTERCARD
                         PAR AN

     NIVEAU 1                  NIVEAU 2                    NIVEAU 3                NIVEAU 4
Acceptation de plus de     Acceptation de 1 à 6       Acceptation de 20.000    Tous les autres
6 millions de              millions de transactions   à 1 million de           commerçants dont
transactions annuelles     annuelles                  transactions annuelles   e-commerce
                                                      par e-commerce

Audit annuel par un       Questionnaire annuel         Questionnaire annuel    Questionnaire annuel
QSA ou auditeur interne   d’auto-évaluation            d'auto-évaluation       d'auto-évaluation
agréé par le PCI-SSC

                                                                                 © Copyright Galitt   21
PREMIER CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ AU RÉSEAU TÉLÉPHONIQUE
COMMUTÉ (RTC)

                                                2   Type de questionnaire

      1      Niveau commerçant

          Commerçant        réalisant   12000
          transactions VISA ou MASTERCARD par
          an

                  •   Questionnaire d'auto-
      Niveau          évaluation annuel
         4

                                                                            © Copyright Galitt   22
LISTE DES QUESTIONNAIRES PCI DSS (SAQ)

              SAQ A     Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ )                22

E-commerce
             SAQ A-EP   Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’                      191

              SAQ B     TPE autonome connecté à une ligne téléphonique                                                          41

Proximité
ou VAD sur   SAQ B-IP   TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..)                                            80
TPE
              SAQ C     TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet              160

             SAQ C-VT   Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI          79

Autres
                        Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous
              SAQ D                                                                                                             329
                        format électronique
                                                                                                      © Copyright Galitt   23
SAQ B – CRITÈRES D’ÉLIGIBILITÉ      Télécharger le SAQ B ici :
                                 https://fr.pcisecuritystandards.
                                 org/documents/PCI-DSS-v3_2-
                                       SAQ-B-rev1_1.docx

                                      © Copyright Galitt   24
PREMIER CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ AU RÉSEAU TÉLÉPHONIQUE
COMMUTÉ (RTC)

                                                2   Type de questionnaire

      1      Niveau commerçant

          Commerçant        réalisant   12000
          transactions VISA ou MASTERCARD par
          an

                  •   Questionnaire d'auto-
      Niveau          évaluation annuel
         4

                                                      SAQ
                                                                 41 exigences
                                                       B

                                                                                © Copyright Galitt   25
CAS 2
 Agent de voyage avec TPE raccordé à
un réseau IP en agence (client présent
  lors du paiement ou saisie des CHD
sur clavier par l’opérateur de l’agence)
DEUXIÈME CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ À UN RÉSEAU IP EN
AGENCE (CLIENT PRÉSENT LORS DU PAIEMENT OU SAISIE DES CHD SUR CLAVIER PAR
L’OPÉRATEUR DE L’AGENCE)

      1      Niveau commerçant

          Commerçant réalisant 50 000
          transactions VISA ou MASTERCARD par
          an

                                                              © Copyright Galitt   27
PROFIL : COMMERÇANT RÉALISANT 50 000 TRANSACTIONS VISA OU
                  MASTERCARD PAR AN

     NIVEAU 1                  NIVEAU 2                    NIVEAU 3                NIVEAU 4
Acceptation de plus de     Acceptation de 1 à 6       Acceptation de 20.000    Tous   les   autres
6 millions de                                         à 1 million de           commerçants dont e-
                           millions de transactions                            commerce
transactions annuelles     annuelles                  transactions annuelles
                                                      par e-commerce

Audit annuel par un       Questionnaire annuel         Questionnaire annuel    Questionnaire annuel
QSA ou auditeur interne   d’auto-évaluation            d'auto-évaluation       d'auto-évaluation
agréé par le PCI-SSC

                                                                                 © Copyright Galitt   28
DEUXIÈME CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ À UN RÉSEAU IP EN
AGENCE (CLIENT PRÉSENT LORS DU PAIEMENT OU SAISIE DES CHD SUR CLAVIER PAR
L’OPÉRATEUR DE L’AGENCE)

                                                2   Type de questionnaire

      1      Niveau commerçant

          Commerçant        réalisant   50000
          transactions VISA ou MASTERCARD par
          an

                  •   Questionnaire d'auto-
      Niveau          évaluation annuel
         4        •   Scan réseau trimestriel
                      par un ASV

                                                                            © Copyright Galitt   29
LISTE DES QUESTIONNAIRES PCI DSS (SAQ)

              SAQ A     Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ )                22

E-commerce
             SAQ A-EP   Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’                      191

              SAQ B     TPE autonome connecté à une ligne téléphonique                                                          41

Proximité
ou VAD       SAQ B-IP   TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..)                                            80
sur TPE
              SAQ C     TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet              160

             SAQ C-VT   Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI          79

Autres
                        Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous
              SAQ D                                                                                                             329
                        format électronique
                                                                                                      © Copyright Galitt   30
Télécharger le SAQ B-IP ici :
                                    https://fr.pcisecuritystandards.org/doc
SAQ B-IP – CRITÈRES D’ÉLIGIBILITÉ      uments/PCI-DSS-v3_2-SAQ-B_IP-
                                                   rev1_1.docx

                                                     Lien pour vérifier le matériel utilisé :
                                                    https://www.pcisecuritystandards.org
                                                    /assessors_and_solutions/pin_transac
                                                                 tion_devices

                                                    © Copyright Galitt        31
DEUXIÈME CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ À UN RÉSEAU IP EN
AGENCE (CLIENT PRÉSENT LORS DU PAIEMENT OU SAISIE DES CHD SUR CLAVIER PAR
L’OPÉRATEUR DE L’AGENCE)

                                                2   Type de questionnaire

      1      Niveau commerçant

          Commerçant        réalisant   50000
          transactions VISA ou MASTERCARD par
          an

                  •   Questionnaire d'auto-
      Niveau          évaluation annuel
         4        •   Scan réseau trimestriel
                      par un ASV

                                                      SAQ
                                                                 80 exigences
                                                      B-IP

                                                                                © Copyright Galitt   32
CAS 3
Agent de voyage avec site E-commerce
CAS N°3 : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT

     1      Niveau commerçant

         Commerçant       réalisant      25000
         transactions E-commerce      VISA ou
         MASTERCARD par an

                                                            © Copyright Galitt   34
PROFIL : COMMERÇANT RÉALISANT 25000 TRANSACTIONS VISA OU
                  MASTERCARD PAR AN

     NIVEAU 1                  NIVEAU 2                    NIVEAU 3                NIVEAU 4
Acceptation de plus de     Acceptation de 1 à 6       Acceptation de 20.000    Tous   les   autres
6 millions de                                         à 1 million de           commerçants dont e-
                           millions de transactions                            commerce
transactions annuelles     annuelles                  transactions annuelles
                                                      par e-commerce

Audit annuel par un       Questionnaire annuel         Questionnaire annuel    Questionnaire annuel
QSA ou auditeur interne   d’auto-évaluation            d'auto-évaluation       d'auto-évaluation
agréé par le PCI-SSC

                                                                                 © Copyright Galitt   35
TROISIÈME CAS : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT
HYPOTHÈSE 1 : page de paiement externalisée auprès d’un PSP certifié PCI DSS (redirection IFRAME)

                                                                 2   Type de questionnaire : hypothèse 1

          1      Niveau commerçant

              Commerçant        réalisant   25000
              transactions VISA ou MASTERCARD par
              an

                  •   Questionnaire d'auto-évaluation
        Niveau        annuel
           3      •   Scan de vulnérabilité réseau trimestriel
                      par un ASV, et après toute modification
                      significative des réseaux

                                                                                                       © Copyright Galitt   36
LISTE DES QUESTIONNAIRES PCI DSS (SAQ)

              SAQ A     Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ )                22

E-commerce
             SAQ A-EP   Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’                      191

              SAQ B     TPE autonome connecté à une ligne téléphonique                                                          41

Proximité
ou VAD sur   SAQ B-IP   TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..)                                            80
TPE
              SAQ C     TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet              160

             SAQ C-VT   Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI          79

Autres
                        Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous
              SAQ D                                                                                                             329
                        format électronique
                                                                                                      © Copyright Galitt   37
Télécharger le SAQ A ici :
                                https://fr.pcisecuritystandards.org/docu
SAQ A– CRITÈRES D’ÉLIGIBILITÉ         ments/PCI-DSS-v3_2-SAQ-A-
                                               rev1_1.docx

                                                © Copyright Galitt    38
TROISIÈME CAS : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT
HYPOTHÈSE 1 : page de paiement externalisée auprès d’un PSP certifié PCI DSS (redirection IFRAME)

                                                                2    Type de questionnaire : hypothèse 1

          1      Niveau commerçant

              Commerçant        réalisant   25000
              transactions VISA ou MASTERCARD par
              an

                 •   Questionnaire d'auto-évaluation
        Niveau       annuel
           3     •   Scan de vulnérabilité réseau trimestriel
                     par un ASV, et après toute modification
                     significative des réseaux

                                                                    SAQ
                                                                     A      22 exigences
                                                                                                       © Copyright Galitt   39
TROISIÈME CAS : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT
   HYPOTHÈSE 2 : site Web du marchant véhicule les données carte vers le PSP

                                                             2   Type de questionnaire : hypothèse 2

      1      Niveau commerçant

          Commerçant        réalisant   25000
          transactions VISA ou MASTERCARD par
          an

              •   Questionnaire d'auto-évaluation
    Niveau        annuel
       3      •   Scan de vulnérabilité réseau trimestriel
                  par un ASV, et après toute modification
                  significative des réseaux

                                                                                                   © Copyright Galitt   40
LISTE DES QUESTIONNAIRES PCI DSS (SAQ)

              SAQ A     Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ )                22

E-commerce
             SAQ A-EP   Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’                      191

              SAQ B     TPE autonome connecté à une ligne téléphonique                                                          41

Proximité
ou VAD sur   SAQ B-IP   TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..)                                            80
TPE
              SAQ C     TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet              160

             SAQ C-VT   Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI          79

Autres
                        Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous
              SAQ D                                                                                                             329
                        format électronique
                                                                                                      © Copyright Galitt   41
TROISIÈME CAS : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT
HYPOTHÈSE 2 : le site Web du marchant véhicule les données carte vers le PSP

                                                              2    Type de questionnaire : hypothèse 2

       1      Niveau commerçant

           Commerçant        réalisant   25000
           transactions VISA ou MASTERCARD par
           an

               •   Questionnaire d'auto-évaluation
     Niveau        annuel
        3      •   Scan de vulnérabilité réseau trimestriel
                   par un ASV, et après toute modification
                   significative des réseaux

                                                                  SAQ
                                                                   D      329 exigences
                                                                                                     © Copyright Galitt   42
CAS 4
Call center
QUATRIÈME CAS : AGENT DE VOYAGE AVEC UN CALL CENTER TRAITANT LES
TRANSACTIONS DE PAIEMENT VIA UN FORMULAIRE EN LIGNE

      1      Niveau commerçant

          Commerçant        réalisant   12000
          transactions VISA ou MASTERCARD par
          an

                                                             © Copyright Galitt   44
PROFIL : COMMERÇANT RÉALISANT 12000 TRANSACTIONS VISA OU
                  MASTERCARD PAR AN

     NIVEAU 1                  NIVEAU 2                    NIVEAU 3                NIVEAU 4
Acceptation de plus de     Acceptation de 1 à 6       Acceptation de 20.000    Tous   les   autres
6 millions de                                         à 1 million de           commerçants dont e-
                           millions de transactions                            commerce
transactions annuelles     annuelles                  transactions annuelles
                                                      par e-commerce

Audit annuel par un       Questionnaire annuel         Questionnaire annuel    Questionnaire annuel
QSA ou auditeur interne   d’auto-évaluation            d'auto-évaluation       d'auto-évaluation
agréé par le PCI-SSC

                                                                                 © Copyright Galitt   45
QUATRIÈME CAS : AGENT DE VOYAGE AVEC UN CALL CENTER TRAITANT LES
TRANSACTIONS DE PAIEMENT VIA UN FORMULAIRE EN LIGNE

                                                2   Type de questionnaire

      1      Niveau commerçant

          Commerçant        réalisant   12000
          transactions VISA ou MASTERCARD par
          an

      Niveau      •   Questionnaire d'auto-
         4            évaluation annuel

                                                                            © Copyright Galitt   46
LISTE DES QUESTIONNAIRES PCI DSS (SAQ)

              SAQ A     Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ )                22

E-commerce
             SAQ A-EP   Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’                      191

              SAQ B     TPE autonome connecté à une ligne téléphonique                                                          41

TPE          SAQ B-IP   TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..)                                            80

              SAQ C     TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet              160

             SAQ C-VT   Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI          79

Autres
                        Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous
              SAQ D                                                                                                             329
                        format électronique
                                                                                                      © Copyright Galitt   47
Télécharger le SAQ C-VT ici :

SAQ C-VT – CRITÈRES D’ÉLIGIBILITÉ   https://fr.pcisecuritystandards.org/docume
                                     nts/PCI-DSS-v3_2-SAQ-C_VT-rev1_1.docx

                                                   © Copyright Galitt   48
QUATRIÈME CAS : AGENT DE VOYAGE AVEC UN CALL CENTER TRAITANT LES
TRANSACTIONS DE PAIEMENT VIA UN FORMULAIRE EN LIGNE

                                                2   Type de questionnaire

      1      Niveau commerçant

          Commerçant        réalisant   12000
          transactions VISA ou MASTERCARD par
          an

                  •   Questionnaire d'auto-
      Niveau          évaluation annuel
         4        •   Scan réseau trimestriel
                      par un ASV

                                                      SAQ
                                                                 79 exigences
                                                      C-VT

                                                                                © Copyright Galitt   49
DÉTERMINEZ LE « SAQ » ADAPTÉ À VOTRE ENVIRONNEMENT
Afin de déterminer le SAQ le plus adapté à votre environnement,
vous pouvez utiliser le questionnaire en ligne développé par Galitt,
accessible sur le lien ci-dessous :

https://acces.galitt.com/survey/index.php/714366?lang=fr

                                                                       50
5

VULGARISATION
DE PCI DSS
CHAPITRE 1 PCI DSS

1. MAÎTRISER LES FLUX RÉSEAUX                INTERLOCUTEURS TYPES :
   ENTRANTS ET SORTANTS DE
   L’ENVIRONNEMENT                     • Administrateur réseaux
                                         (firewalls/router…)
2. BLOQUER LES FLUX NON LÉGITIMES ET
   NON NÉCESSAIRES AU MÉTIER           • Administrateur Postes de Travail

3. METTRE EN PLACE UN SYSTÈME DE
   DEMANDE, TEST ET VALIDATION POUR
   TOUT CHANGEMENT DE
   CONFIGURATION DU RÉSEAU

                                                                        52
CHAPITRE 2 PCI DSS

1. METTRE EN PLACE UN PROCESSUS DE            INTERLOCUTEURS TYPES :
   DURCISSEMENT (RENDRE ROBUSTE,
   RÉSISTANT) DE LA CONFIGURATION DES
   SYSTÈMES D’INFORMATION ET
   APPLICATIFS                          • Responsables systèmes
                                          d’information
2. DÉFINIR DES STANDARDS DE             • Administrateurs d’applications et
   CONFIGURATION ET LES APPLIQUER         systèmes monétiques

3. RÉDUIRE L’EXPOSITION DES SYSTÈMES
   AUX ATTAQUES CYBER

                                                                         53
CHAPITRE 3 PCI DSS
1.   PROTÉGER LES DONNÉES CARTE BANCAIRE
     STOCKÉES DE VOS CLIENTS CONTRE TOUTE ACTION
                                                               INTERLOCUTEURS TYPES :
     MALVEILLANTE.

2.   LES SUPPRIMER SI POSSIBLE

3.   NE JAMAIS LES STOCKER EN CLAIR                      • Responsable Monétique

4.   LES DÉSENSIBILISER SI POSSIBLE –                    • Administrateurs Base de données
     CONSERVER UNIQUEMENT LES 6 PREMIERS ET 4
                                                         • Administrateurs d’applications et
     DERNIERS CHIFFRES DU PAN, EX: 4974 82XX XXXX 1234
                                                           systèmes monétiques
5.   TOUJOURS LES MASQUER LORSQU’ELLES SONT
     AFFICHÉES SUR UN ÉCRAN (CF. RÈGLE CI-DESSUS)

6.   SINON, UTILISER DES TECHNIQUES DE CHIFFREMENT
     OU HACHAGE FORMALISÉS                                                                54
CHAPITRE 4 PCI DSS

1. SÉCURISER LES COMMUNICATIONS DE
                                               INTERLOCUTEURS TYPES :
  DONNÉES CARTE SUR INTERNET ET
  AU TRAVERS DE RÉSEAUX SANS FILS :
                                          • Administrateur réseau
  WI-FI, GSM (3G, 4G, GPRS), BLUETOOTH,     (firewalls/router/wifi..)

  …                                       • Administrateurs d’applications et
                                            systèmes monétiques
2. EVITER DE TRANSMETTRE DES DONNÉES      • Responsable point de vente
  CARTE BANCAIRE VIA E-MAIL OU
  MESSAGERIE INSTANTANÉE
                                                                          55
CHAPITRE 5 PCI DSS

1. DÉPLOYER DES LOGICIELS ANTIVIRUS SUR
                                               INTERLOCUTEURS TYPES :
   TOUS VOS SYSTÈMES WINDOWS

2. ASSUREZ-VOUS QU’ILS SOIENT À JOUR ET   • Responsable Postes de Travail et
                                            solution anti-malware/anti-virus
   TOUJOURS ACTIFS
                                          • Administrateurs d’applications et
                                            systèmes monétiques

                                                                          56
CHAPITRE 6 PCI DSS
1. EFFECTUER LA VEILLE DES VULNÉRABILITÉS
   IMPACTANT VOTRE ENVIRONNEMENT                 INTERLOCUTEURS TYPES :

2. APPLIQUER LES CORRECTIFS LOGICIELS
   DE SÉCURITÉ PERTINENTS RAPIDEMENT        • Responsable Patch Management

3. MAÎTRISER LES CHANGEMENTS AU SEIN DE     • Responsable Gestion du
   VOTRE ENVIRONNEMENT ET LEUR IMPACT         Changement
   SUR LA SÉCURITÉ
                                            • Responsable Développement
                                              Logiciel et Sécurité Applicative
4. DÉVELOPPEMENT LOGICIEL : ADOPTER DES
   BONNES PRATIQUES DE CODAGE SÉCURISÉ
   AFIN DE RÉDUIRE LES VULNÉRABILITÉS
   APPLICATIVES
                                                                           57
CHAPITRE 7 PCI DSS
1. DÉFINIR CLAIREMENT LES RÔLES ET
   RESPONSABILITÉS AU SEIN DE VOTRE               INTERLOCUTEURS TYPES :
   ENTREPRISE

2. DÉFINIR LES HABILITATIONS ASSOCIÉES AUX   • Responsable Contrôle d’Accès,
   DIFFÉRENTS RÔLES MÉTIER ET APPLICATIFS      Authentification, Gestion des
                                               annuaires (ex: Active Directory),…
3. METTRE EN PLACE UN PROCESSUS FORMEL
   DE DEMANDE, VALIDATION ET AFFECTATION     • Responsable point de vente
   DES RÔLES AUX COLLABORATEURS ET
   PRESTATAIRES

                                                                            58
CHAPITRE 8 PCI DSS
1. METTRE EN PLACE DES MÉCANISMES DE
   CONTRÔLE D’ACCÈS LOGIQUE ROBUSTES :             INTERLOCUTEURS TYPES :

   a) IDENTIFICATION
                                              • Administrateurs d’applications et
   b) AUTHENTIFICATION SIMPLE                   systèmes monétiques
                                              • Responsable Sécurité des Systèmes
   c) AUTHENTIFICATION FORTE POUR L’ACCÈS À
                                                d’Information "RSSI"
      DISTANCE (ADMINISTRATEURS)

   d) RÉVOQUER L’ACCÈS AU DÉPART DES
      COLLABORATEURS

   e) ADOPTER UNE POLITIQUE DE MOT DE
      PASSE ROBUSTE
                                                                            59
CHAPITRE 9 PCI DSS
1. METTRE EN PLACE DES MÉCANISMES DE
   CONTRÔLE D’ACCÈS PHYSIQUE ROBUSTES :            INTERLOCUTEURS TYPES :
   a) IDENTIFICATION ET AUTHENTIFICATION
      (EX: PAR BADGE)                         • Responsables Sécurité physique
                                                (Datacenter, salles techniques,
   b) CONTRÔLE DES VISITEURS                    agences)

   c) IDENTIFIER ET SÉCURISER LES SUPPORTS-   • Responsable point de vente
      PAPIER ET ÉLECTRONIQUES CONTENANT       • Responsable Sécurité des Systèmes
      DES DONNÉES CARTE BANCAIRE                d’Information "RSSI"

   d) VEILLEZ À LA SÉCURITÉ PHYSIQUE DES
      TERMINAUX DE PAIEMENT ÉLECTRONIQUE
      (ÉVITER LES TENTATIVES DE VOL ET
                                                                             60
      SUBSTITUTION)
CHAPITRE 10 PCI DSS
1. TRACER TOUS LES ACCÈS À
   L’ENVIRONNEMENT CARTE BANCAIRE             INTERLOCUTEURS TYPES :

2. PERMETTRE UN INVESTIGATEUR DE
   REMONTER À LA CAUSE RACINE EN CAS     • Administrateur réseau
                                           (firewalls/router…)
   D’INCIDENT DE SÉCURITÉ (INTRUSION,
   EXFILTRATION DE DONNÉES …)            • Administrateurs d’applications et
                                           systèmes monétiques
3. SURVEILLER LES ACCÈS ET
   COMPORTEMENTS SUSPECTS

4. ALERTER LES ÉQUIPES SÉCURITÉ EN CAS
   DE DÉTECTION D’UNE ATTAQUE

                                                                       61
CHAPITRE 11 PCI DSS
1. EFFECTUER DES TESTS DE SÉCURITÉ
   PÉRIODIQUEMENT:                              INTERLOCUTEURS TYPES :

   a) SCANS DE VULNÉRABILITÉ INTERNES ET
                                           • Administrateur réseau
      EXTERNES
                                           • Administrateurs d’applications et
   b) TESTS D’INTRUSION INTERNES ET          systèmes monétiques
      EXTERNES
                                           • Responsable Sécurité des Systèmes
   c) TESTS DU CLOISONNEMENT DU RÉSEAU       d’Information "RSSI"

2. METTRE EN PLACE DES SYSTÈMES DE
   DÉTECTION/PRÉVENTION D’INTRUSION

                                                                         62
CHAPITRE 12 PCI DSS
1. METTE EN PLACE UN CADRE DE
   GOUVERNANCE DE LA SÉCURITÉ                     INTERLOCUTEURS TYPES :
2. PILOTER LES RISQUES ET LA CONFORMITÉ
   (PCI DSS, RÉGLEMENTATIONS …)              • Responsable Sécurité des Systèmes
                                               d’Information "RSSI"
3. METTRE EN PLACE UNE POLITIQUE DE
   SÉCURITÉ, LA DIFFUSER ET ANIMER DES
   CAMPAGNES DE SENSIBILISATION À LA
   SÉCURITÉ

4. METTRE EN PLACE UN PROCESSUS DE GESTION
   ET DE RÉPONSE AUX INCIDENTS DE TYPE
   INTRUSION / COMPROMISSION DE DONNÉES
   CARTE
                                                                         63
ÉTAPES À SUIVRE EN CAS DE COMPROMISSION
 Les entités qui sont sujettes à une compromission soupçonnée ou confirmée doivent réagir très rapidement pour
 contenir l'exposition de données de titulaire de carte et assurer la conformité selon la norme PCI DSS

                                                                                                                            4
                                                                                                                            Le PFI conduira une enquête minutieuse
                                                                                  3
                                                                                                                            concernant l'infraction de sécurité
                                                                                  Engagez immédiatement un                  soupçonnée ou confirmée. Cependant, il
                                           2                                                                                est extrêmement important que
                                                                                  professionnel d'investigation (PFI)
                                                                                  accrédité par le PCI SSC.                 l'environnement compromis ne soit pas
                                           Rapportez immédiatement l'incident à
  1                                                                                                                         touché pour préserver les preuves et
                                           votre banque acquéreur qui se charge   Une liste peut être trouvée sur le site
                                                                                                                            faciliter l'enquête.
                                           de relayer directement l’information   Web du PCI SSC :
Empêchez la perte de données
                                           aux réseaux (Visa et MasterCard)       www.pcisecuritystandards.org
supplémentaires en arrêtant le flux des
transactions via le canal impacté et les
faire passer par un autre canal sécurisé

                                                                                                                                                      64
EXIGENCES DE LA NORME PCI DSS
La norme PCI DSS sert de référence aux conditions techniques et opérationnelles conçues pour protéger les données des titulaires de carte.
Elle est articulée autour de 6 thèmes et 12 conditions :

                                                                                                                     © Copyright Galitt   65
Questions ?
6

ANNEXES
EXIGENCES DE LA NORME PCI DSS
La norme PCI DSS sert de référence aux conditions techniques et opérationnelles conçues pour protéger les données des titulaires de carte.
Elle est articulée autour de 6 thèmes et 12 conditions :

                                                                                                                     © Copyright Galitt   68
ANNEXE : LES MÉTHODES ‘REDIRECT’ ET ‘IFRAME’ (SAQ A)

                                                       © Copyright Galitt   69
ANNEXE : LES MÉTHODES ‘DIRECT POST’ ET ‘JAVASCRIPT’ (SAQ A-EP)

                                                          © Copyright Galitt   70
ANNEXE : LA MÉTHODE ‘API’ (XML, JSON, ETC) (SAQ D)

                                                     © Copyright Galitt   71
ANNEXE : TYPOLOGIE E-COMMERCE ET SAQ PCI DSS ASSOCIÉ

                                                       © Copyright Galitt   72
A PROPOS DE
GALITT
Janvier 2018

               | www.galitt.fr
CHIFFRES CLÉS
  EXPERTISE ET INDÉPENDANCE                                  5 BUSINESS UNITS                         CA PAR BUSINESS UNITS
             31,1 M€ de CA en 2017
             Dont 10% à l’international                                                                   Payment
                                                                                                                           Payment
                                                                                                                           Consulting
                                                                                                          Education
             Plus de 200 clients actifs
                                                                                                  Payment
                                                                                                  Solutions
             260 experts des moyens
             de paiement                                                                              Testing                          Payment
             Dont 180 consultants                                                                     Solutions                        Services

  Société
 du groupe

  RÉSEAU            11 revendeurs à valeur ajoutée                    MARCHÉS

• Europe : 1 + Galitt           • Asie Pacifique : 4                 • Banques & PSPs            • Industriels cartes et terminaux
• Amérique du Nord : 2          • Afrique & Moyen-Orient : Galitt    • Systèmes de paiement      • Commerce & Pétroliers
• Amérique Latine : 4                                                • Organisations interbancaires

                                                                                                                  © Copyright Galitt      74
5 BUSINESS UNITS SPÉCIALISÉES DANS LES SYSTÈMES DE PAIEMENT

                                                                                             Avec nos services et nos outils de test et de
     Avec notre expertise, innovez et
                                                                                             certification, validez la qualité et la conformité
     créez les paiements du futur
                                                                                             de vos systèmes de paiement

Avec notre savoir-faire, concevez des                                                                Avec nos formateurs, enrichissez vos
systèmes de paiement performants                                                                     connaissances de l’évolution des systèmes
et innovants                            Avec nos solutions, opérez vos cartes (privatives,           de paiement et des nouvelles technologies
                                        pétrole…) et vos transactions électroniques de
                                        manière efficace et sécurisée

                                                                                                                       © Copyright Galitt   75
5 BUSINESS UNITS SPÉCIALISÉES DANS LES SYSTÈMES DE PAIEMENT
                                                            •   Stratégie                                          • Expertise paiement
         Les experts de Payment Consulting et leurs         •   Marketing                                          • Audits
         approches innovantes éclairent les choix           •   Veille                                             • Sécurité
         stratégiques des décideurs                         •   Études opérationnelles

                                                            •   Marketing opérationnel                             •   Conduite du changement
         Les consultants de Payment Services
                                                            •   Pré-étude et cadrage du besoin client              •   Déploiement
         assistent les clients dans la mise en œuvre
                                                            •   Rédaction du cahier des charges                    •   Organisation et processus
         de leurs projets de paiement
                                                            •   Coordination, gestion de projet et PMO             •   Support applicatif

                                                            • Simulateurs : test des cartes, des applications      • Prestations : définition des stratégies de test,
         Les équipes de Testing Solutions
                                                              mobiles, des terminaux, des serveurs acquéreur         automatisation et industrialisation des tests,
         développent des logiciels de test et
                                                              et d’autorisation, des réseaux et des passerelles,     conception des plans de test et exécution des
         participent aux phases d’industrialisation
                                                              des fichiers                                           campagnes, pré-certification et certification des
         des tests ou de certification des solutions
                                                                                                                     systèmes de paiement

                                                            • Cartes Privatives : gestion de cartes flotte et      • Projets : architecture, spécifications fonctionnelles
         Les solutions de Payment Solutions vous              cartes carburant, gestion de la relation client        et techniques, développements embarqués,
         permettent d’opérer vos cartes (privatives,                                                                 serveur et passerelles, TMA
                                                            • Sécurité : réhabilitation des cartes physiques
         pétrole…) et vos transactions électroniques
                                                              ou dématérialisées en agence, tokenisation,
         de manière efficace et sécurisée
                                                              cryptographie

         Les formateurs de Payment Education                • Monétique, marketing des paiements,                  • Innovations, Blockchain, sans contact, NFC,
         relayent l’expertise et le métier de Galitt lors     marché des cartes et flux en Europe,                   mobile, HCE, TSP
         de séminaires                                        Instant Payment, DSP2                                • Fraude, PCI, cryptographie
                                                            • EMV, nexo, paiement

                                                                                                                                             © Copyright Galitt        76
PARTENARIATS ET DISTRIBUTEURS
                                      PARTENARIATS & PARTICIPATIONS

                                             DISTRIBUTEURS

    Espagne & Portugal       Brésil           Etats-Unis           Chine      Colombie & Pérou & Panama

        Corée            Canada                 Chine             Venezuela   Mexique           Japon

                                                                                        © Copyright Galitt   77
RÉFÉRENCES CLIENTS

                     © Copyright Galitt   78
Vous pouvez aussi lire
DIAPOSITIVES SUIVANTES ... Annuler