Entreprises du Voyage face à PCI DSS - Comment répondre à la demande de l'IATA 15/02/2018 - APST
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Entreprises du Voyage face à PCI DSS
Comment répondre à la demande de l’IATA
15/02/2018
| www.galitt.com
CONTACTS
b.ko v acs@galitt.com
Bruno KOVACS
P ractice M anager
Galitt P ay m ent Security +3 3 1 7 7 7 0 2 8 1 2
+3 3 6 5 9 5 6 0 6 5 8
s.ghidhao ui@galitt.co m
Safa GHID HAOUI
P CI Co m m unity M anager
Galitt P ay m ent Co nsulting +3 3 1 7 7 7 0 2 8 7 6
+3 3 6 1 3 9 5 5 6 0 2
1 7 ro ute de la Reine
9 2 1 0 0 Bo ulo gne -Billanco urt
© Copyright Galitt 2
SOMMAIRE
1. Contexte
2. Introduction à PCI DSS
3. Démarche de certification & qualification des commerçants
4. Exemples et cas pratiques
5. Vulgarisation de PCI DSS
6. Questions & Réponses
7. A propos de Galitt
© Copyright Galitt 3
1 CONTEXTE
CONTEXTE
Des échéances concrètes
ASSOCIATION INTERNATIONALE DU RÉSEAUX CARTES INTERNATIONAUX
TRANSPORT AÉRIEN
l’IATA impose la certification PCI DSS à tous ses membres : Les réseaux de cartes bancaires internationaux exigent
• Compagnies aériennes, l’application de la norme PCI DSS à tous les acteurs du
paiement par carte afin de:
• Entreprises sous-traitantes et partenaires, agences de
voyages • limiter la fraude via la compromission massive de
• Les agences de voyages accréditées dont la certification est données,
exigée pour la certification de la compagnie aérienne elle- • définir une approche commune dans l’application des
même. règles de sécurité.
L’échéance est fixée au 1er mars 2018 (déjà repoussée depuis La mise en œuvre de PCI DSS auprès des commerçants est
juin 2017). assurée par les banques membres de ces réseaux.
© Copyright Galitt 5
CONTEXTE
Des échéances concrètes
LE RÈGLEMENT EUROPÉEN 2016/679
SUR LA PROTECTION DES DONNÉES PERSONNELLES
Le règlement européen 2016/679 sur la protection des données personnelles, General Data Protection Regulation (GDPR),
entre en vigueur le 25 mai 2018 :
Les données personnelles sensibles couvertes par le standard PCI DSS font partie du périmètre de la GDPR
Le non-respect du règlement européen expose à des pénalités pouvant aller jusqu’à 4% du chiffre d’affaires mondial
plafonné à 20M€, en cas de compromission
Arrêt des systèmes d’information jusqu’à la mise en conformité
La mise en conformité à PCI DSS permet de contribuer fortement au respect de ce nouveau règlement en capitalisant sur
les investissements consentis
© Copyright Galitt 6
CONTEXTE
Les risques encourus
Le non-respect de l’exigence de certification PCI DSS imposée par l’IATA a les conséquences suivantes:
1. Le retrait, à partir du 1er mars 2018, de l’accréditation IATA des agences de voyages non certifiées PCI DSS
leur interdisant ainsi l’utilisation du code commerçant de la compagnie aérienne ce qui entraîne:
• Une augmentation du tarif des transactions carte (prise en charge des commissions)
• Une dépréciation d’image auprès des compagnies aériennes et auprès des clients professionnels et
grand public
2. Un risque juridique pour la non-protection des données personnelles
• Un risque financier en cas d’infraction à la nouvelle réglementation européenne sur la protection des
données personnelles (GDPR) applicable à partir du 25 Mai 2018
Pénalités de 4% du chiffre d’affaires du commerçant appliqué en cas d’une infraction avérée.
3. Ceci s’ajoutant aux inconvénients bancaires de l’absence de conformité à PCI DSS :
• Des pénalités réclamées par la banque, aggravées en cas de compromission
© Copyright Galitt 7
2 INTRODUCTION À PCI DSS
PCI DSS
Origine de la norme
Présentation L’organisation a élaboré un ensemble de
PCI SSC Le PCI SSC est un organisme créé en standards à destination des acteurs de l’industrie
(Payment Card Industry du paiement par carte dans le but de :
Security Standards Council)
2006 à l’initiative de 5 réseaux cartes
internationaux.
Limiter la fraude par compromission
massive de données du titulaire et/ou des
données d’authentification; et
Définir une approche commune et un
ensemble de règles adopté par les principaux
réseaux et basé sur les programmes de
protection existants.
© Copyright Galitt 9
LA NORME PCI DSS
Données concernées
• Les données du porteur et les données d’authentification sensibles sont définies comme suit :
L’équivalent des données piste magnétique est également stocké Piste magnétique (piste 1 et 2)
dans la puce
123
PAN
Cryptogramme visuel
(CAV2/CVC2/CVV2/CID)
Nom du porteur de la carte Date d’expiration
Données d’identification du porteur : Données d'authentification sensibles :
Le PAN Les données de piste magnétique complète ou leur équivalent
Le nom du porteur de la carte sur une puce
La date d’expiration Le CAV2/CVC2/CVV2/CID (achat en VAD)
Le code service PIN Block et PIN
© Copyright Galitt 10EXIGENCES DE LA NORME PCI DSS
La norme PCI DSS contient plus de 400 points de contrôle et est articulée autour de 6 thèmes principaux :
1. Création et gestion d’un réseau et d’un système sécurisés
2. Protection des données carte stockées
3. Gestion d’un programme de gestion des vulnérabilités
4. Mise en œuvre de mesures de contrôle d’accès (physique et logique) strictes
5. Surveillance et tests réguliers de sécurité de l’environnement
6. Gouvernance, gestion d’une politique de sécurité et gestion des risques cyber
© Copyright Galitt 113 DÉMARCHE DE MISE EN CONFORMITÉ
DÉMARCHE DE MISE EN CONFORMITÉ
Évaluation initiale et renouvellement
IV. Renouvellement
II. Réalisation de l’auto-évaluation • La certification PCI DSS doit être renouvelée
• Cadrage du périmètre tous les ans.
• Analyse des écarts • Le processus de renouvellement est plus
• Collecte de preuves léger que la démarche initiale d’évaluation
• Plan d’actions s’il n’y a pas de changements majeurs dans
l’infrastructure du commerçant.
1 an
I. Qualification de la typologie du
commerçant III. Certification
1. Déterminer le profil commerçant selon
• Remplissage du questionnaire
la volumétrie annuelle des transactions
d’auto-évaluation adapté
et les canaux d’acceptation
• Rédaction de l’attestation de
2. Choix du questionnaire d’évaluation conformité PCI DSS (AOC) : document
PCI DSS adapté au profil commerçant et à communiquer aux différents
à son infrastructure technique partenaires (ex: IATA) et à la
banque acquéreur
© Copyright Galitt 13MODÈLE DE QUESTIONNAIRE D’AUTO-ÉVALUATION PCI DSS (SAQ)
Exemple : SAQ
© Copyright Galitt 14MODÈLE D’ATTESTATION DE CONFORMITÉ PCI DSS (AOC)
Exemple: AOC
© Copyright Galitt 15CLASSIFICATION DES COMMERÇANTS EN FONCTION DU NOMBRE DE TRANSACTIONS
NIVEAU 1 NIVEAU 2 NIVEAU 3 NIVEAU 4
Acceptation de plus de Acceptation de 1 à 6 Acceptation de 20.000 Tous les autres
6 millions de millions de transactions à 1 million de commerçants dont
transactions annuelles annuelles transactions annuelles e-commerce
par e-commerce
Audit annuel par un Questionnaire annuel Questionnaire annuel Questionnaire annuel
QSA ou auditeur interne d’auto-évaluation d'auto-évaluation d'auto-évaluation
agréé par le PCI-SSC
Le niveau commerçant est déterminé en fonction du volume de transactions
par schème (ex: 7 millions Visa = N1, 4 millions MasterCard = N2).
© Copyright Galitt 16LISTE DES QUESTIONNAIRES D’AUTO-ÉVALUATION PCI DSS (SAQ)
SAQ A Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ ) 22
E-commerce
SAQ A-EP Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’ 191
SAQ B TPE autonome connecté à une ligne téléphonique 41
Proximité
ou VAD sur SAQ B-IP TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..) 80
TPE
SAQ C TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet 160
SAQ C-VT Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI 79
Autres
Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous
SAQ D 329
format électronique
© Copyright Galitt 174 EXEMPLES ET CAS PRATIQUES
CAS 1 Agent de voyage avec TPE raccordé au réseau téléphonique commuté (RTC)
PREMIER CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ AU RÉSEAU TÉLÉPHONIQUE
COMMUTÉ (RTC)
1 Niveau commerçant
Commerçant réalisant 12000
transactions VISA ou MASTERCARD
par an
© Copyright Galitt 20COMMERÇANT RÉALISANT 12000 TRANSACTIONS VISA OU MASTERCARD
PAR AN
NIVEAU 1 NIVEAU 2 NIVEAU 3 NIVEAU 4
Acceptation de plus de Acceptation de 1 à 6 Acceptation de 20.000 Tous les autres
6 millions de millions de transactions à 1 million de commerçants dont
transactions annuelles annuelles transactions annuelles e-commerce
par e-commerce
Audit annuel par un Questionnaire annuel Questionnaire annuel Questionnaire annuel
QSA ou auditeur interne d’auto-évaluation d'auto-évaluation d'auto-évaluation
agréé par le PCI-SSC
© Copyright Galitt 21PREMIER CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ AU RÉSEAU TÉLÉPHONIQUE
COMMUTÉ (RTC)
2 Type de questionnaire
1 Niveau commerçant
Commerçant réalisant 12000
transactions VISA ou MASTERCARD par
an
• Questionnaire d'auto-
Niveau évaluation annuel
4
© Copyright Galitt 22LISTE DES QUESTIONNAIRES PCI DSS (SAQ)
SAQ A Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ ) 22
E-commerce
SAQ A-EP Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’ 191
SAQ B TPE autonome connecté à une ligne téléphonique 41
Proximité
ou VAD sur SAQ B-IP TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..) 80
TPE
SAQ C TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet 160
SAQ C-VT Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI 79
Autres
Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous
SAQ D 329
format électronique
© Copyright Galitt 23SAQ B – CRITÈRES D’ÉLIGIBILITÉ Télécharger le SAQ B ici :
https://fr.pcisecuritystandards.
org/documents/PCI-DSS-v3_2-
SAQ-B-rev1_1.docx
© Copyright Galitt 24PREMIER CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ AU RÉSEAU TÉLÉPHONIQUE
COMMUTÉ (RTC)
2 Type de questionnaire
1 Niveau commerçant
Commerçant réalisant 12000
transactions VISA ou MASTERCARD par
an
• Questionnaire d'auto-
Niveau évaluation annuel
4
SAQ
41 exigences
B
© Copyright Galitt 25CAS 2 Agent de voyage avec TPE raccordé à un réseau IP en agence (client présent lors du paiement ou saisie des CHD sur clavier par l’opérateur de l’agence)
DEUXIÈME CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ À UN RÉSEAU IP EN
AGENCE (CLIENT PRÉSENT LORS DU PAIEMENT OU SAISIE DES CHD SUR CLAVIER PAR
L’OPÉRATEUR DE L’AGENCE)
1 Niveau commerçant
Commerçant réalisant 50 000
transactions VISA ou MASTERCARD par
an
© Copyright Galitt 27PROFIL : COMMERÇANT RÉALISANT 50 000 TRANSACTIONS VISA OU
MASTERCARD PAR AN
NIVEAU 1 NIVEAU 2 NIVEAU 3 NIVEAU 4
Acceptation de plus de Acceptation de 1 à 6 Acceptation de 20.000 Tous les autres
6 millions de à 1 million de commerçants dont e-
millions de transactions commerce
transactions annuelles annuelles transactions annuelles
par e-commerce
Audit annuel par un Questionnaire annuel Questionnaire annuel Questionnaire annuel
QSA ou auditeur interne d’auto-évaluation d'auto-évaluation d'auto-évaluation
agréé par le PCI-SSC
© Copyright Galitt 28DEUXIÈME CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ À UN RÉSEAU IP EN
AGENCE (CLIENT PRÉSENT LORS DU PAIEMENT OU SAISIE DES CHD SUR CLAVIER PAR
L’OPÉRATEUR DE L’AGENCE)
2 Type de questionnaire
1 Niveau commerçant
Commerçant réalisant 50000
transactions VISA ou MASTERCARD par
an
• Questionnaire d'auto-
Niveau évaluation annuel
4 • Scan réseau trimestriel
par un ASV
© Copyright Galitt 29LISTE DES QUESTIONNAIRES PCI DSS (SAQ)
SAQ A Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ ) 22
E-commerce
SAQ A-EP Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’ 191
SAQ B TPE autonome connecté à une ligne téléphonique 41
Proximité
ou VAD SAQ B-IP TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..) 80
sur TPE
SAQ C TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet 160
SAQ C-VT Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI 79
Autres
Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous
SAQ D 329
format électronique
© Copyright Galitt 30Télécharger le SAQ B-IP ici :
https://fr.pcisecuritystandards.org/doc
SAQ B-IP – CRITÈRES D’ÉLIGIBILITÉ uments/PCI-DSS-v3_2-SAQ-B_IP-
rev1_1.docx
Lien pour vérifier le matériel utilisé :
https://www.pcisecuritystandards.org
/assessors_and_solutions/pin_transac
tion_devices
© Copyright Galitt 31DEUXIÈME CAS : AGENT DE VOYAGE AVEC TPE RACCORDÉ À UN RÉSEAU IP EN
AGENCE (CLIENT PRÉSENT LORS DU PAIEMENT OU SAISIE DES CHD SUR CLAVIER PAR
L’OPÉRATEUR DE L’AGENCE)
2 Type de questionnaire
1 Niveau commerçant
Commerçant réalisant 50000
transactions VISA ou MASTERCARD par
an
• Questionnaire d'auto-
Niveau évaluation annuel
4 • Scan réseau trimestriel
par un ASV
SAQ
80 exigences
B-IP
© Copyright Galitt 32CAS 3 Agent de voyage avec site E-commerce
CAS N°3 : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT
1 Niveau commerçant
Commerçant réalisant 25000
transactions E-commerce VISA ou
MASTERCARD par an
© Copyright Galitt 34PROFIL : COMMERÇANT RÉALISANT 25000 TRANSACTIONS VISA OU
MASTERCARD PAR AN
NIVEAU 1 NIVEAU 2 NIVEAU 3 NIVEAU 4
Acceptation de plus de Acceptation de 1 à 6 Acceptation de 20.000 Tous les autres
6 millions de à 1 million de commerçants dont e-
millions de transactions commerce
transactions annuelles annuelles transactions annuelles
par e-commerce
Audit annuel par un Questionnaire annuel Questionnaire annuel Questionnaire annuel
QSA ou auditeur interne d’auto-évaluation d'auto-évaluation d'auto-évaluation
agréé par le PCI-SSC
© Copyright Galitt 35TROISIÈME CAS : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT
HYPOTHÈSE 1 : page de paiement externalisée auprès d’un PSP certifié PCI DSS (redirection IFRAME)
2 Type de questionnaire : hypothèse 1
1 Niveau commerçant
Commerçant réalisant 25000
transactions VISA ou MASTERCARD par
an
• Questionnaire d'auto-évaluation
Niveau annuel
3 • Scan de vulnérabilité réseau trimestriel
par un ASV, et après toute modification
significative des réseaux
© Copyright Galitt 36LISTE DES QUESTIONNAIRES PCI DSS (SAQ)
SAQ A Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ ) 22
E-commerce
SAQ A-EP Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’ 191
SAQ B TPE autonome connecté à une ligne téléphonique 41
Proximité
ou VAD sur SAQ B-IP TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..) 80
TPE
SAQ C TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet 160
SAQ C-VT Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI 79
Autres
Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous
SAQ D 329
format électronique
© Copyright Galitt 37Télécharger le SAQ A ici :
https://fr.pcisecuritystandards.org/docu
SAQ A– CRITÈRES D’ÉLIGIBILITÉ ments/PCI-DSS-v3_2-SAQ-A-
rev1_1.docx
© Copyright Galitt 38TROISIÈME CAS : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT
HYPOTHÈSE 1 : page de paiement externalisée auprès d’un PSP certifié PCI DSS (redirection IFRAME)
2 Type de questionnaire : hypothèse 1
1 Niveau commerçant
Commerçant réalisant 25000
transactions VISA ou MASTERCARD par
an
• Questionnaire d'auto-évaluation
Niveau annuel
3 • Scan de vulnérabilité réseau trimestriel
par un ASV, et après toute modification
significative des réseaux
SAQ
A 22 exigences
© Copyright Galitt 39TROISIÈME CAS : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT
HYPOTHÈSE 2 : site Web du marchant véhicule les données carte vers le PSP
2 Type de questionnaire : hypothèse 2
1 Niveau commerçant
Commerçant réalisant 25000
transactions VISA ou MASTERCARD par
an
• Questionnaire d'auto-évaluation
Niveau annuel
3 • Scan de vulnérabilité réseau trimestriel
par un ASV, et après toute modification
significative des réseaux
© Copyright Galitt 40LISTE DES QUESTIONNAIRES PCI DSS (SAQ)
SAQ A Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ ) 22
E-commerce
SAQ A-EP Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’ 191
SAQ B TPE autonome connecté à une ligne téléphonique 41
Proximité
ou VAD sur SAQ B-IP TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..) 80
TPE
SAQ C TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet 160
SAQ C-VT Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI 79
Autres
Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous
SAQ D 329
format électronique
© Copyright Galitt 41TROISIÈME CAS : AGENT DE VOYAGE AVEC SITE E-COMMERCE UNIQUEMENT
HYPOTHÈSE 2 : le site Web du marchant véhicule les données carte vers le PSP
2 Type de questionnaire : hypothèse 2
1 Niveau commerçant
Commerçant réalisant 25000
transactions VISA ou MASTERCARD par
an
• Questionnaire d'auto-évaluation
Niveau annuel
3 • Scan de vulnérabilité réseau trimestriel
par un ASV, et après toute modification
significative des réseaux
SAQ
D 329 exigences
© Copyright Galitt 42CAS 4 Call center
QUATRIÈME CAS : AGENT DE VOYAGE AVEC UN CALL CENTER TRAITANT LES
TRANSACTIONS DE PAIEMENT VIA UN FORMULAIRE EN LIGNE
1 Niveau commerçant
Commerçant réalisant 12000
transactions VISA ou MASTERCARD par
an
© Copyright Galitt 44PROFIL : COMMERÇANT RÉALISANT 12000 TRANSACTIONS VISA OU
MASTERCARD PAR AN
NIVEAU 1 NIVEAU 2 NIVEAU 3 NIVEAU 4
Acceptation de plus de Acceptation de 1 à 6 Acceptation de 20.000 Tous les autres
6 millions de à 1 million de commerçants dont e-
millions de transactions commerce
transactions annuelles annuelles transactions annuelles
par e-commerce
Audit annuel par un Questionnaire annuel Questionnaire annuel Questionnaire annuel
QSA ou auditeur interne d’auto-évaluation d'auto-évaluation d'auto-évaluation
agréé par le PCI-SSC
© Copyright Galitt 45QUATRIÈME CAS : AGENT DE VOYAGE AVEC UN CALL CENTER TRAITANT LES
TRANSACTIONS DE PAIEMENT VIA UN FORMULAIRE EN LIGNE
2 Type de questionnaire
1 Niveau commerçant
Commerçant réalisant 12000
transactions VISA ou MASTERCARD par
an
Niveau • Questionnaire d'auto-
4 évaluation annuel
© Copyright Galitt 46LISTE DES QUESTIONNAIRES PCI DSS (SAQ)
SAQ A Page de paiement complètement externalisée auprès d’un PSP PCI (‘Redirect’ ou ‘iframe’ ) 22
E-commerce
SAQ A-EP Page de paiement sur le site du marchand (direct post) OU chargée via ‘JavaScript’ 191
SAQ B TPE autonome connecté à une ligne téléphonique 41
TPE SAQ B-IP TPE autonome connecté en IP (Wifi, GPRS, 3G, câble réseau..) 80
SAQ C TPE intégré (relié à un système d’encaissement local) avec une sortie directe sur Internet 160
SAQ C-VT Saisie de données carte sur un « terminal virtuel », outil Web proposé par un PSP certifié PCI 79
Autres
Commerçants combinant plusieurs canaux d’acceptation ou stockant des données carte sous
SAQ D 329
format électronique
© Copyright Galitt 47Télécharger le SAQ C-VT ici :
SAQ C-VT – CRITÈRES D’ÉLIGIBILITÉ https://fr.pcisecuritystandards.org/docume
nts/PCI-DSS-v3_2-SAQ-C_VT-rev1_1.docx
© Copyright Galitt 48QUATRIÈME CAS : AGENT DE VOYAGE AVEC UN CALL CENTER TRAITANT LES
TRANSACTIONS DE PAIEMENT VIA UN FORMULAIRE EN LIGNE
2 Type de questionnaire
1 Niveau commerçant
Commerçant réalisant 12000
transactions VISA ou MASTERCARD par
an
• Questionnaire d'auto-
Niveau évaluation annuel
4 • Scan réseau trimestriel
par un ASV
SAQ
79 exigences
C-VT
© Copyright Galitt 49DÉTERMINEZ LE « SAQ » ADAPTÉ À VOTRE ENVIRONNEMENT
Afin de déterminer le SAQ le plus adapté à votre environnement,
vous pouvez utiliser le questionnaire en ligne développé par Galitt,
accessible sur le lien ci-dessous :
https://acces.galitt.com/survey/index.php/714366?lang=fr
505 VULGARISATION DE PCI DSS
CHAPITRE 1 PCI DSS
1. MAÎTRISER LES FLUX RÉSEAUX INTERLOCUTEURS TYPES :
ENTRANTS ET SORTANTS DE
L’ENVIRONNEMENT • Administrateur réseaux
(firewalls/router…)
2. BLOQUER LES FLUX NON LÉGITIMES ET
NON NÉCESSAIRES AU MÉTIER • Administrateur Postes de Travail
3. METTRE EN PLACE UN SYSTÈME DE
DEMANDE, TEST ET VALIDATION POUR
TOUT CHANGEMENT DE
CONFIGURATION DU RÉSEAU
52CHAPITRE 2 PCI DSS
1. METTRE EN PLACE UN PROCESSUS DE INTERLOCUTEURS TYPES :
DURCISSEMENT (RENDRE ROBUSTE,
RÉSISTANT) DE LA CONFIGURATION DES
SYSTÈMES D’INFORMATION ET
APPLICATIFS • Responsables systèmes
d’information
2. DÉFINIR DES STANDARDS DE • Administrateurs d’applications et
CONFIGURATION ET LES APPLIQUER systèmes monétiques
3. RÉDUIRE L’EXPOSITION DES SYSTÈMES
AUX ATTAQUES CYBER
53CHAPITRE 3 PCI DSS
1. PROTÉGER LES DONNÉES CARTE BANCAIRE
STOCKÉES DE VOS CLIENTS CONTRE TOUTE ACTION
INTERLOCUTEURS TYPES :
MALVEILLANTE.
2. LES SUPPRIMER SI POSSIBLE
3. NE JAMAIS LES STOCKER EN CLAIR • Responsable Monétique
4. LES DÉSENSIBILISER SI POSSIBLE – • Administrateurs Base de données
CONSERVER UNIQUEMENT LES 6 PREMIERS ET 4
• Administrateurs d’applications et
DERNIERS CHIFFRES DU PAN, EX: 4974 82XX XXXX 1234
systèmes monétiques
5. TOUJOURS LES MASQUER LORSQU’ELLES SONT
AFFICHÉES SUR UN ÉCRAN (CF. RÈGLE CI-DESSUS)
6. SINON, UTILISER DES TECHNIQUES DE CHIFFREMENT
OU HACHAGE FORMALISÉS 54CHAPITRE 4 PCI DSS
1. SÉCURISER LES COMMUNICATIONS DE
INTERLOCUTEURS TYPES :
DONNÉES CARTE SUR INTERNET ET
AU TRAVERS DE RÉSEAUX SANS FILS :
• Administrateur réseau
WI-FI, GSM (3G, 4G, GPRS), BLUETOOTH, (firewalls/router/wifi..)
… • Administrateurs d’applications et
systèmes monétiques
2. EVITER DE TRANSMETTRE DES DONNÉES • Responsable point de vente
CARTE BANCAIRE VIA E-MAIL OU
MESSAGERIE INSTANTANÉE
55CHAPITRE 5 PCI DSS
1. DÉPLOYER DES LOGICIELS ANTIVIRUS SUR
INTERLOCUTEURS TYPES :
TOUS VOS SYSTÈMES WINDOWS
2. ASSUREZ-VOUS QU’ILS SOIENT À JOUR ET • Responsable Postes de Travail et
solution anti-malware/anti-virus
TOUJOURS ACTIFS
• Administrateurs d’applications et
systèmes monétiques
56CHAPITRE 6 PCI DSS
1. EFFECTUER LA VEILLE DES VULNÉRABILITÉS
IMPACTANT VOTRE ENVIRONNEMENT INTERLOCUTEURS TYPES :
2. APPLIQUER LES CORRECTIFS LOGICIELS
DE SÉCURITÉ PERTINENTS RAPIDEMENT • Responsable Patch Management
3. MAÎTRISER LES CHANGEMENTS AU SEIN DE • Responsable Gestion du
VOTRE ENVIRONNEMENT ET LEUR IMPACT Changement
SUR LA SÉCURITÉ
• Responsable Développement
Logiciel et Sécurité Applicative
4. DÉVELOPPEMENT LOGICIEL : ADOPTER DES
BONNES PRATIQUES DE CODAGE SÉCURISÉ
AFIN DE RÉDUIRE LES VULNÉRABILITÉS
APPLICATIVES
57CHAPITRE 7 PCI DSS
1. DÉFINIR CLAIREMENT LES RÔLES ET
RESPONSABILITÉS AU SEIN DE VOTRE INTERLOCUTEURS TYPES :
ENTREPRISE
2. DÉFINIR LES HABILITATIONS ASSOCIÉES AUX • Responsable Contrôle d’Accès,
DIFFÉRENTS RÔLES MÉTIER ET APPLICATIFS Authentification, Gestion des
annuaires (ex: Active Directory),…
3. METTRE EN PLACE UN PROCESSUS FORMEL
DE DEMANDE, VALIDATION ET AFFECTATION • Responsable point de vente
DES RÔLES AUX COLLABORATEURS ET
PRESTATAIRES
58CHAPITRE 8 PCI DSS
1. METTRE EN PLACE DES MÉCANISMES DE
CONTRÔLE D’ACCÈS LOGIQUE ROBUSTES : INTERLOCUTEURS TYPES :
a) IDENTIFICATION
• Administrateurs d’applications et
b) AUTHENTIFICATION SIMPLE systèmes monétiques
• Responsable Sécurité des Systèmes
c) AUTHENTIFICATION FORTE POUR L’ACCÈS À
d’Information "RSSI"
DISTANCE (ADMINISTRATEURS)
d) RÉVOQUER L’ACCÈS AU DÉPART DES
COLLABORATEURS
e) ADOPTER UNE POLITIQUE DE MOT DE
PASSE ROBUSTE
59CHAPITRE 9 PCI DSS
1. METTRE EN PLACE DES MÉCANISMES DE
CONTRÔLE D’ACCÈS PHYSIQUE ROBUSTES : INTERLOCUTEURS TYPES :
a) IDENTIFICATION ET AUTHENTIFICATION
(EX: PAR BADGE) • Responsables Sécurité physique
(Datacenter, salles techniques,
b) CONTRÔLE DES VISITEURS agences)
c) IDENTIFIER ET SÉCURISER LES SUPPORTS- • Responsable point de vente
PAPIER ET ÉLECTRONIQUES CONTENANT • Responsable Sécurité des Systèmes
DES DONNÉES CARTE BANCAIRE d’Information "RSSI"
d) VEILLEZ À LA SÉCURITÉ PHYSIQUE DES
TERMINAUX DE PAIEMENT ÉLECTRONIQUE
(ÉVITER LES TENTATIVES DE VOL ET
60
SUBSTITUTION)CHAPITRE 10 PCI DSS
1. TRACER TOUS LES ACCÈS À
L’ENVIRONNEMENT CARTE BANCAIRE INTERLOCUTEURS TYPES :
2. PERMETTRE UN INVESTIGATEUR DE
REMONTER À LA CAUSE RACINE EN CAS • Administrateur réseau
(firewalls/router…)
D’INCIDENT DE SÉCURITÉ (INTRUSION,
EXFILTRATION DE DONNÉES …) • Administrateurs d’applications et
systèmes monétiques
3. SURVEILLER LES ACCÈS ET
COMPORTEMENTS SUSPECTS
4. ALERTER LES ÉQUIPES SÉCURITÉ EN CAS
DE DÉTECTION D’UNE ATTAQUE
61CHAPITRE 11 PCI DSS
1. EFFECTUER DES TESTS DE SÉCURITÉ
PÉRIODIQUEMENT: INTERLOCUTEURS TYPES :
a) SCANS DE VULNÉRABILITÉ INTERNES ET
• Administrateur réseau
EXTERNES
• Administrateurs d’applications et
b) TESTS D’INTRUSION INTERNES ET systèmes monétiques
EXTERNES
• Responsable Sécurité des Systèmes
c) TESTS DU CLOISONNEMENT DU RÉSEAU d’Information "RSSI"
2. METTRE EN PLACE DES SYSTÈMES DE
DÉTECTION/PRÉVENTION D’INTRUSION
62CHAPITRE 12 PCI DSS
1. METTE EN PLACE UN CADRE DE
GOUVERNANCE DE LA SÉCURITÉ INTERLOCUTEURS TYPES :
2. PILOTER LES RISQUES ET LA CONFORMITÉ
(PCI DSS, RÉGLEMENTATIONS …) • Responsable Sécurité des Systèmes
d’Information "RSSI"
3. METTRE EN PLACE UNE POLITIQUE DE
SÉCURITÉ, LA DIFFUSER ET ANIMER DES
CAMPAGNES DE SENSIBILISATION À LA
SÉCURITÉ
4. METTRE EN PLACE UN PROCESSUS DE GESTION
ET DE RÉPONSE AUX INCIDENTS DE TYPE
INTRUSION / COMPROMISSION DE DONNÉES
CARTE
63ÉTAPES À SUIVRE EN CAS DE COMPROMISSION
Les entités qui sont sujettes à une compromission soupçonnée ou confirmée doivent réagir très rapidement pour
contenir l'exposition de données de titulaire de carte et assurer la conformité selon la norme PCI DSS
4
Le PFI conduira une enquête minutieuse
3
concernant l'infraction de sécurité
Engagez immédiatement un soupçonnée ou confirmée. Cependant, il
2 est extrêmement important que
professionnel d'investigation (PFI)
accrédité par le PCI SSC. l'environnement compromis ne soit pas
Rapportez immédiatement l'incident à
1 touché pour préserver les preuves et
votre banque acquéreur qui se charge Une liste peut être trouvée sur le site
faciliter l'enquête.
de relayer directement l’information Web du PCI SSC :
Empêchez la perte de données
aux réseaux (Visa et MasterCard) www.pcisecuritystandards.org
supplémentaires en arrêtant le flux des
transactions via le canal impacté et les
faire passer par un autre canal sécurisé
64EXIGENCES DE LA NORME PCI DSS
La norme PCI DSS sert de référence aux conditions techniques et opérationnelles conçues pour protéger les données des titulaires de carte.
Elle est articulée autour de 6 thèmes et 12 conditions :
© Copyright Galitt 65Questions ?
6 ANNEXES
EXIGENCES DE LA NORME PCI DSS
La norme PCI DSS sert de référence aux conditions techniques et opérationnelles conçues pour protéger les données des titulaires de carte.
Elle est articulée autour de 6 thèmes et 12 conditions :
© Copyright Galitt 68ANNEXE : LES MÉTHODES ‘REDIRECT’ ET ‘IFRAME’ (SAQ A)
© Copyright Galitt 69ANNEXE : LES MÉTHODES ‘DIRECT POST’ ET ‘JAVASCRIPT’ (SAQ A-EP)
© Copyright Galitt 70ANNEXE : LA MÉTHODE ‘API’ (XML, JSON, ETC) (SAQ D)
© Copyright Galitt 71ANNEXE : TYPOLOGIE E-COMMERCE ET SAQ PCI DSS ASSOCIÉ
© Copyright Galitt 72A PROPOS DE
GALITT
Janvier 2018
| www.galitt.frCHIFFRES CLÉS
EXPERTISE ET INDÉPENDANCE 5 BUSINESS UNITS CA PAR BUSINESS UNITS
31,1 M€ de CA en 2017
Dont 10% à l’international Payment
Payment
Consulting
Education
Plus de 200 clients actifs
Payment
Solutions
260 experts des moyens
de paiement Testing Payment
Dont 180 consultants Solutions Services
Société
du groupe
RÉSEAU 11 revendeurs à valeur ajoutée MARCHÉS
• Europe : 1 + Galitt • Asie Pacifique : 4 • Banques & PSPs • Industriels cartes et terminaux
• Amérique du Nord : 2 • Afrique & Moyen-Orient : Galitt • Systèmes de paiement • Commerce & Pétroliers
• Amérique Latine : 4 • Organisations interbancaires
© Copyright Galitt 745 BUSINESS UNITS SPÉCIALISÉES DANS LES SYSTÈMES DE PAIEMENT
Avec nos services et nos outils de test et de
Avec notre expertise, innovez et
certification, validez la qualité et la conformité
créez les paiements du futur
de vos systèmes de paiement
Avec notre savoir-faire, concevez des Avec nos formateurs, enrichissez vos
systèmes de paiement performants connaissances de l’évolution des systèmes
et innovants Avec nos solutions, opérez vos cartes (privatives, de paiement et des nouvelles technologies
pétrole…) et vos transactions électroniques de
manière efficace et sécurisée
© Copyright Galitt 755 BUSINESS UNITS SPÉCIALISÉES DANS LES SYSTÈMES DE PAIEMENT
• Stratégie • Expertise paiement
Les experts de Payment Consulting et leurs • Marketing • Audits
approches innovantes éclairent les choix • Veille • Sécurité
stratégiques des décideurs • Études opérationnelles
• Marketing opérationnel • Conduite du changement
Les consultants de Payment Services
• Pré-étude et cadrage du besoin client • Déploiement
assistent les clients dans la mise en œuvre
• Rédaction du cahier des charges • Organisation et processus
de leurs projets de paiement
• Coordination, gestion de projet et PMO • Support applicatif
• Simulateurs : test des cartes, des applications • Prestations : définition des stratégies de test,
Les équipes de Testing Solutions
mobiles, des terminaux, des serveurs acquéreur automatisation et industrialisation des tests,
développent des logiciels de test et
et d’autorisation, des réseaux et des passerelles, conception des plans de test et exécution des
participent aux phases d’industrialisation
des fichiers campagnes, pré-certification et certification des
des tests ou de certification des solutions
systèmes de paiement
• Cartes Privatives : gestion de cartes flotte et • Projets : architecture, spécifications fonctionnelles
Les solutions de Payment Solutions vous cartes carburant, gestion de la relation client et techniques, développements embarqués,
permettent d’opérer vos cartes (privatives, serveur et passerelles, TMA
• Sécurité : réhabilitation des cartes physiques
pétrole…) et vos transactions électroniques
ou dématérialisées en agence, tokenisation,
de manière efficace et sécurisée
cryptographie
Les formateurs de Payment Education • Monétique, marketing des paiements, • Innovations, Blockchain, sans contact, NFC,
relayent l’expertise et le métier de Galitt lors marché des cartes et flux en Europe, mobile, HCE, TSP
de séminaires Instant Payment, DSP2 • Fraude, PCI, cryptographie
• EMV, nexo, paiement
© Copyright Galitt 76PARTENARIATS ET DISTRIBUTEURS
PARTENARIATS & PARTICIPATIONS
DISTRIBUTEURS
Espagne & Portugal Brésil Etats-Unis Chine Colombie & Pérou & Panama
Corée Canada Chine Venezuela Mexique Japon
© Copyright Galitt 77RÉFÉRENCES CLIENTS
© Copyright Galitt 78Vous pouvez aussi lire
