La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Thursday, 07 November 2013 (c) VigiTrust 2003-2013 1 3 rd European PCI DSS Roadshow Paris, Ambassade dIrlande,

Présentations similaires


Présentation au sujet: "Thursday, 07 November 2013 (c) VigiTrust 2003-2013 1 3 rd European PCI DSS Roadshow Paris, Ambassade dIrlande,"— Transcription de la présentation:

1 Thursday, 07 November 2013 (c) VigiTrust rd European PCI DSS Roadshow Paris, Ambassade dIrlande, 2 juillet 2013

2 Lagenda daujourdhui (c) VigiTrust DébutFinDétailsIntervenant(s) 08:3009:00 InscriptionVigiTrust & Partnenaires 09:009:15 Note de bienvenue Mr LAmbassadeur dIrlande en France, Paul Kavanagh 9:1509:35 Lévolution de PCI DSS – Impact en FranceMathieu Gorge, CEO, VigiTrust 09:3510:10 Pour une approche cost-effective de PCI Gabriel Leperlier, PCI DSS Verizon 10:1010:30 Présentation des conclusions du rapport Verizon Data Breach Investigation Nicolas Villatte, EMEA Labs Manager, Verizon Risk Team 10:3010:50 PauseThé-Café-Patisseries 10:5011:15 PCI DSS - Stockage&gestion des donnéesJean-Marc Rietsch, Président, FedISA 11:15 11:50 PCI DSS est-elle une obligation vis à vis de la Loi Informatique et Liberté ? Isabelle Renard, Avocat Associée, Cabinet Racine 11:5012:20 Retour Dexpérience : PCI DSS dans le Monde Hôtelier Marie-Christine Vittet, Directrice du Programme PCI-DSS, Groupe ACCOR 12:20 12:40 Mise en Place dune stratégie de mise en conformité PCI DSS – meilleures pratiques Mathieu Gorge, CEO VigiTrust :55 Session Questions-RéponsesTous Intervenants ConclusionVigiTrust

3 Mathieu Gorge CEO & Founder, VigiTrust Thursday, 07 November 2013 (c) VigiTrust European PCI DSS Roadshow (Disclaimer: Outside Reviewer)

4 About VigiTrust Compliance as a Service 31 2 SECURITY TRAINING & eLEARNING Online training for management and staff COMPLIANCE, READINESS & VALIDATION Comprehensive online programs to achieve and maintain compliance SECURITY & GRC SERVICES Professional services to enable and support your compliance process The 5 Pillars of Security Framework Physical Security; People Security; Data Security; IT Security; Crisis Management

5 eSEC Portfolio US – Existing HIPAA NERC-CIP 101 MA 201 Understanding Data Breach Notification Requirements US Existing eLearning Portfolio eSEC Portfolio EMEA - Existing Data Protection Fundamentals Credit Card Security Introduction to PCI DSS Banking & Fraud Green IT & Security ISO IT & SDLC Security During M&A Process EMEA eSEC Portfolio Generic Training - Existing Info Security 101 Mobility & Security Security of Social Networks Cloud Computing & Security 101 Physical Security for Good Logical Security GEN. eSEC Portfolio Technical Training - Existing Secure Coding for PCI DSS Introduction to Secure Printing Log Management & Security Wireless Security TECH.

6 Thursday, 07 November 2013 (c) VigiTrust rd Edition of the PCI DSS European Roadshow

7 lAtelier PCI DSS – 1 Journée Latelier permet aux entreprises de comprendre : Les 4 niveaux pour les commerçants et les prestataires de service et quel est celui qui vous correspond 12 exigences prévues par les normes et comment elles sappliquent à votre entreprise Les exigences et contrôles liés à la norme PCI DSS (formation, solutions techniques, politiques et procédures) Comment former une équipe de PCI DSS Processus de conformité et de créativité Comment concevoir un plan de mise en conformité. Comment travailler en collaboration avec QSAs Comment mettre en place un programme continu de mise en conformité de la norme PCI DSS Ce quil faut faire et ne pas faire pour la mise en conformité de la norme PCI DSS. (c) VigiTrust

8

9

10 PCI DSS Le contexte en France (c) VigiTrust

11 Le secteur des paiements - Définition La sécurité des paiements implique la gestion et la sécurisation des données de paiement à tous les niveaux de lentreprise : de lacceptation du paiement via la détection de la fraude, la réalisation de lopération, le service client, le funding ou la réconciliation des paiements et la sauvegarde de la transaction. La présence des données de paiement à toutes ces étapes met lentreprise en danger, que ces donnees soient sur les systèmes informatiques de lentreprise, les réseaux ou quelles soient visibles par le personnel. La présence des données de paiement… met lentreprise en danger. Vous devez donc parfaitement maîtriser le fonctionnement de votre organisme et les flux de données de paiement. (c) VigiTrust

12 Limportance de la norme PCI DSS pour votre entreprise. Mémo – Les menaces encourues par votre entreprise en cas de non conformité à la norme. – Augmentation du nombre de fraudes – Préjudice subi par votre entreprise – Renouvellement des cartes des (le coût en incombe au commerçant) – Consommateur: perte de confiance – Mauvaise publicité pour votre entreprise : Montrée du doigt Atteinte à votre image de marque et à votre réputation – Intérêt législatif – menace dune intervention et réglementation gouvernementale : Certains états des USA ont déjà introduit la norme PCI DSS dans la loi Cette norme deviendra une loi fédérale américaine dans 5 ans LEurope suivra - Une nouvelle réglementation européenne est à noter (c) VigiTrust

13 – Une période mouvementée pour PCI DSS (1) Les entreprises U.S. sont toujours les plus conformes à PCI DSS Mais lEurope avance à grands pas – Nomination de Jeremy King comme European Director – Une grande différence déjà notée en Europe Focus Spécifique sur des secteurs Verticaux – Hôtels – Casinos PCI DSS – nouvelle version publiée en octobre 2010 et implementée depuis janvier 2011 – PCI DSS Lifecycle Update – Changements ou manque de changements en v2.0

14 – Une période mouvementée pour PCI DSS (2) Alignement de PA-DSS – PTS avec PCI DSS Considérations QSA – Beaucoup de nouveaux QSAs depuis 2010 – Les cas Heartland & Global Payments Le QSA avait attesté de ma conformité – QA program – est-il efficace? – Sensibilisation des utilisateurs Recommandations eLearning & tests – QSA se focalisent de plus en plus sur les politiques et procédures en sécurité Adoption des technologies de Tokenization & Virtualization, Point to Point Encryption Cloud & Mobility: New Guidance Documents

15 PCI DSS – 360º France POs - très peu par rapport à la taille du marché QSAs – 8…pour linstant PCI DSS chez les professionnels & associations de sécurité – Clusif – ISACA – ISSA Que font les banques? – Des programmes en cours de développement – Mais attention au programmes de validation pure – Il faut éduquer les marchands avant quils ne puissent valider leur conformité Autres considérations sur ce marché – CNIL Visa Europe met la pression en France! Franchises

16 PCI DSS Lifecycle (c) VigiTrust

17 Gabriel Leperlier Verizon

18 Nicolas Villatte Verizon Risk Team

19 Jean-Marc Rietsch FedISA

20 Isabelle Renard Cabinet Racine

21 Marie-Christine Vittet Groupe ACCOR

22 Mise en Place dune stratégie de mise en conformité PCI DSS Meilleures Pratiques (c) VigiTrust

23 PCI DSS Structure Install & maintain a firewall configuration to protect data Do NOT use vendor supplied defaults for passwords or other security parameter Requirements of PCI DSS Protect stored data Encrypt the transmission of cardholder data Use & regularly update anti-virus software Develop & maintain secure systems & applications Restrict access to data by business need-to-know Assign a unique ID to each person with computer access Restrict physical access to cardholder data Track & monitor ALL access to network resources & cardholder data Regularly test security systems & processes Maintain a policy that addresses information security Build & Maintain a Secure Network Protect Cardholder data Maintain a Vulnerability Management Programme Implement strong Access Control Measures Regularly monitor & Test Networks Maintain an Information Security Policy

24 Définition du Champ dApplication PCI DSS Scope your networks perimeter to determine the ecosystems size – Traditional Perimeter – either in or out of the firewall – Cloud Private / Public / Hybrid – Wireless networks – also part of your ecosystem – Mobile & I/O devices are also part of your ecosystem Must be referenced in your asset inventory Diagrams are key – Must cover your WHOLE ecosystem – Must be kept up to date Flow of data between all ecosystem sub-areas must be clear – Know where the data comes from, where it might transit through, where it may be stored/copied, where it ends up (c) VigiTrust

25 Comprendre les contrôles de la norme PCI DSS Sont accessibles via : – Risk based approach – Prioritized approach Les contrôles de la norme PCI DSS peuvent être répertoriés comme suit : – Contrôles techniques – Politiques et procédures – Mise en garde et formation des usagers Les contrôles peuvent contenir plusieurs points de contrôle – Un mélange de contrôle(s) technique(s) et de politique/procédure Certains contrôles nécessitent par définition des tâches répétitives : – Scans trimestriels, Analyses de Logs, mise à jour de politiques de sécurité – Plans de formation annuels (c) VigiTrust

26 Understanding Your Ecosystem (c) VigiTrust

27

28 Exigences PCI DSS en matière Documentation Diagrams and Data Flows – Ecosystem Diagrams – Data Flow Diagrams – Network Diagrams Asset Inventory Acceptable Usage Policy for staff Access Control Policy Firewall Rules and Business Justification for Rules AV, Anti-Spam and Intrusion Detection-Prevention Policy Incident Response Plan Hardening, Log and Patch Management Policy Back-Up and Media Storage Policy Security Assessment, Application Security & Vulnerability Management Policy Management of Third Parties Policy (c) VigiTrust

29 Solutions Techniques exigées par PCI DSS Anti-Virus / Anti-Spam Firewalls & VPNs IDS/IPS Web Filtering / Mail Filtering IM monitoring File Integrity SIEM – Central Log solutions Asset Management PSD Mgt/Control Encryption Onsite vs Managed Services Vs Cloud services? (c) VigiTrust

30 Security & GRC Process (c) VigiTrust SOXISO series EU Data Protection PCI DSS HIPAAOthers Regulatory, Legal & Corporate Governance Frameworks Education, Security & Awareness Self- Governed Pre- Assessment Remediation Work Policies & Procedures Network & Hardware Security Application Security Specialized Skills Transfer Official Assessors & Auditors Step 1Step 2Step 3Step 5 Step 4

31 Chief Security Officer Project leader for all Security Related Matters DATASec PPLSec PHYSICAL SECURITY Access to Building Physical Assets IT Hardware Vehicle Fleet PEOPLE SECURITY Permanent & Contract Staff Partners 3 rd Party Employees Visitors Special Events Security DATA SECURITY Trade Secrets Employee Data Database Customer Data 5 Pillars of Security Framework PHYS. Sec INFRA Sec INFRASTRUCTURESECURITY Networks Remote Sites Remote Users Application Security Website Intranet CRISIS Mgt CRISISMANAGEMENT Documentation & Work Procedures Emergency Response Plans Business Continuity Plans Disaster Recovery Plans Operations Manager, Security Staff HR, Security Staff HR, IT Team & Manager IT Team & Manager Operations Manager, IT Team, HR Best Practice Security Framework for Enterprise

32 Les 5 meilleurs conseils pour bien travailler avec les QSAs (1) Comprendre le processus daccréditation à la norme avant que lévaluateur ait à vous lexpliquer. 1.Formation – Assurez-vous que votre équipe de PCI DSS – organes décisionnels, DRH, IT, le personnel spécialisé – maîtrise parfaitement les exigences de la norme et le mécanisme de validation qui correspond à votre entreprise 2.Pre-assessment – Votre entreprise doit effectuer elle-même un audit afin de déterminer son propre niveau de sécurité actuel par rapport aux contrôles demandés par la norme 3.Phase de remédiation – Afin dêtre tout à fait prêt pour la validation de la norme, votre entreprise aura besoin de: (a) politiques et procédures (b) solutions techniques (c) session de sensibilisation pour les utilisateurs Cest la phase la plus longue car elle implique de corriger voire de mettre en œuvre des changements dans votre réseau (par exemple segmenter votre réseau afin de réduire le champ du PCI DSS). Ceci nécessite un certain budget, du temps et du temps homme. 4.Le QSA fait le PCI DSS Assessment certifiant 5.Conformité continue – Vous devez mettre en place un process afin de vous assurer que vous êtes toujours en conformité. Ceci implique des audits internes réguliers, une mise à jour des solutions techniques, des scans et des tests dintrusion, des politiques et procédures actualisées, former les nouvelles recrues et reformer le personnel en place. (c) VigiTrust

33 Les 5 meilleurs conseils pour bien travailler avec les QSAs (2) Pensez à diviser laudit en plusieurs phases, chacune menée par un évaluateur différent. Ne perdez pas de vue lenjeu : protéger les données des détenteurs de cartes de crédit. 1.Suivre une approche structurée pour votre mise en conformité avec PCI DSS. Toute évaluation PCI DSS commence par une analyse de failles entre vos paramètres de sécurité actuels et ceux nécessaires à la norme. Ensuite vient la phase de remédiation au cours de laquelle lentreprise réduit les écarts et la mise en conformité peut commencer. 2. Comprendre quil est certainement bénéfique de confier toutes les étapes de la mise en conformité à une seule entreprise de QSA mais que ce nest pourtant pas le meilleur moyen de mettre en place la norme PCI DSS. Employer un évaluateur différent pour faire lanalyse de failles, implementer les actions correctrices et faire lassessment officiel assurera une évaluation plus rigoureuse, plus objective et moins complaisante que si la même personne gère toutes les phases. La mise en conformité de la norme PCI DSS doit être un processus continu. Il ne faut jamais oublier que la finalité de cette évaluation est de sécuriser les données des possesseurs de carte de crédit. (c) VigiTrust

34 La création et le suivi des équipes PCI DSS Une équipe de PCI DSS efficace est essentielle pour une mise en conformité du PCI réussie en terme de plus grande sensibilisation à la sécurité, de lapplication dune politique de sécurité et de la mise en œuvre de solutions techniques. La première étape de la création dune équipe de projet est de décider quels membres du personnel en feront partie. Qui doit faire partie de mon équipe PCI DSS ? A priori quiconque entrant dans le scope PCI DSS peut faire partie de cette équipe. Une équipe de projet PCI DSS est généralement composée de : Equipe informatique / directeur informatique Equipe du développement Equipe des ressources humaines Gestion des opérations Équipe de sécurité IT In-scope employees FraudOperationsDevelopment Human Resources PCI Project Manager /Security Officer (c) VigiTrust

35 Building & Maintaining PCI DSS Teams (3) (c) VigiTrust

36 PCI DSS & ISO Scoping – Un choix personnel du champ dapplication opposé à celui de lenvironnement des données de porteurs de cartes qui, lui, est imposé dans le PCI DSS. Travail de documentation – Req 12 of PCI DSS should be req 1 Mélange des contrôles techniques, des politiques, procédures et formations Les mécanismes de validation sont manifestement différents, cependant – Lutilisation de la norme ISO 27k dans le secteur du paiement permettra une mise en conformité avec la norme PCI DSS – Il convient de prouver aux QSAs et aux ? Quune évaluation des risques a été faite et quun plan de traitement des risques est en place. Thursday, 07 November 2013 (c) VigiTrust

37 PCI DSS & ISO (2) Critères de comparaisonISO27kPCI DSS ScopeDéfinie par la normeDonnées du possesseur de carte Choix des contrôlesLargeTrès dirigiste Flexibilité en terme dimplementation des contrôles GrandeFaible Gestion du statut de conformitéTrès pointue et bien documentéeTrès rigide et incomplète (c) VigiTrust

38 Processus de certification Le processus daccréditation peut être pénible Vous pouvez être amené à travailler avec des QSA Vous devez investir temps et argent dans les technologies de sécurité, politiques et procédures et formation des utilisateurs Pour la plupart des entreprises, il sagira de moderniser une stratégie de sécurité existante pour la faire entrer dans le cadre de la norme PCI DSS Time to Accreditation concept (TTA) Coût et rendement des investissements (c) VigiTrust

39 Les meilleures pratiques – Atteinte et suivi de la conformité avec la norme PCI DSS Par quoi commencer ? – Souvenez-vous des cinq étapes du processus daccréditation Formation Evaluation préalable (interne) Remédiation Evaluation réelle Conformité continue – Mélange des 3 éléments clés Politiques et procédures Solutions techniques Formation & sensibilisation – Et ensuite ? Politiques et procédures : établir une liste des P&P en place dans votre entreprise Solutions techniques : mettre à jour votre diagramme de réseau et du pen test Formation à la sensibilisation : identifier les employés concernés et commencer le processus de formation (c) VigiTrust

40 Thursday, 07 November 2013 (c) VigiTrust rd European PCI DSS Roadshow Paris, Ambassade dIrlande, 2 juillet 2013

41 Lapplication de la norme dans le secteur Hôtelier: enjeux, défis spécifiques aux hôtels, étude de cas. (c) VigiTrust

42 Les enjeux et défis spécifiques aux hôtels (1) Le secteur a un besoin essentiel daccès aux données de cartes de crédit – Le monde de lhôtellerie sappuie beaucoup sur les paiements par cartes de crédits. En effet cela permet aux clients de faire leur réservation, de régler à l avance, ainsi que de payer pour les services supplémentaires proposés par lhôtel. Lapplication de la norme dans le secteur Hôtelier est accentuée par les problèmes de fraudes dans le secteur – Volume croissant de paiement par cartes – Peu ou pas de focus sur la sécurité informatique et réseaux – Mélange demployés en CDI, CDD et de contracteurs – Menaces directement liées à lutilisation du WiFi – Nombre et complexité des systèmes typiquement utilisés par les chaines (QG, filliales, franchises) (c) VigiTrust

43 Les enjeux et défis spécifiques aux hôtels (2) Changements de personel très fréquent – Difficile et cher à former Acceptent souvent encore des paiements papiers – Les employés ecrivent ou photocopient les CB Acceptent souvent que le client envoie ses données de cartes par mail – le serveur mail est alors pris en compte dans le champ dapplication de PCI DSS Doit vraiment avoir accès aux cartes pour guarantir les paiements et les services supplémentaires – bars, spas, car valet service, parking, etc. Échange régulier de données de paiements entre entités La securité physique dacces aux POS est a equilibrer avec le flux des employés et clients (c) VigiTrust

44 Groupes LinkedIn et autres

45 Zoom sur les groupements & associations de commerçants Les banques acquéreuses Les associations commerciales Les fédérations Les franchiseurs Une organisation qui chapeaute les commerçants en vue de les encadrer / conseiller Les programmes de mise en conformité de la norme PCI au Europe – Développé par une banque acquéreuse, un service de traitement des paiements ou bien un regroupement de commerçants ou une association – Communication aux commerçants sur la mise en conformité de la norme PCI DSS Mise en demeure de se conformer à la norme Avec des amendes possibles Ceci mène donc à une aide à la mise en conformité Les dépenses peuvent être à la charge du commerçant ou de lorganisme qui gère le programme. (c) VigiTrust


Télécharger ppt "Thursday, 07 November 2013 (c) VigiTrust 2003-2013 1 3 rd European PCI DSS Roadshow Paris, Ambassade dIrlande,"

Présentations similaires


Annonces Google