Le standard PCI DSS (Payment Card Industry Data Security Standard)

Slides:



Advertisements
Présentations similaires
1 Modernisation des achats : « les voies du succès » La carte dachat public Philippe Vandel Directeur e-services Guilbert Office DEPOT.
Advertisements

LA TECHNOLOGIE WAP WIRLESS APPLICATION PROTOCOL Arnaud MERGEY Davy RIBOUD David ZAMORA DESS RESEAUX 2000/2001.
La politique de Sécurité
CADRE ORGANISATIONNEL ET JURIDIQUE
CREDIT MANAGEMENT DIAGNOSTIC D’UNE ORGANISATION
Marchés de la Biométrie
Le dispositif dévaluation des personnels de direction. Le diagnostic détablissement Groupe Inspection Établissements et Vie Scolaire P.C Janvier 2004.
Windows XP Professionnel
Windows XP Professionnel
Abes agence bibliographique de lenseignement supérieur Données
EQUIPEMENTS SPORTIFS ET SECURITE QUELLE PREVENTION DES RISQUES ? Atelier n°1 Rencontres territoriales Du 24 Mai 2007.
BLOGFOR TIC-PME 2010 – Réunion Région du 8 février 2007 La filière forêt – bois – papier en France Une ressource forestière diffuse 27 % de la surface.
1 La mesure MESURE & QUALITE De la mesure …. La mesure 2 Sommaire 1. Problématique 2. Démarche 3. Zéro défaut 4. Résolution des non-conformités.
Le métier de Credit Manager
RECHERCHE CLINIQUE: Les conventions financières de linvestigateur. AUPARAVANT Un investigateur travaillant à lhôpital pouvait signer: Une convention salarié
Planification, suivi des activités et du budget Application de la méthode du Cadre logique et/ou de gestion axée sur les résultats SYSTÈME INTÉGRÉ DE GESTION.
IAS 38 « Immobilisations incorporelles »
N.T.I.C. Les dangers liés a l’utilisation des Nouvelles Technologies d’Information et de Communication.
Informations Déclaration d’Activité Professionnelle (la D.A.P.)
Les spécialités de Terminale STMG
Intégration sur un aérodrome non contrôlé des avions évoluant en VFR
Abdelkrim Djadi Magistrat Expert international en évaluation LBC/FT
La planification et lorganisation régionale en sécurité civile Jean-Marc Breton et Mathieu Allaire.
1 E-commerce – 7 étapes pour être en conformité avec la réglementation sur la TVA.
Systèmes qualité en stérilisation
Système d’Information de Santé de la région Rhône-Alpes
1 Le déroulement dun projet et sa gestion. 2 Le déroulement dun projet: plan 1.Objectifs dapprentissage 2.Les intervenants principaux 3.Le découpage en.
Présentation de « Ma compta en ligne » Un service.
Henri Willox Lycée Albert Camus Conakry, Guinée
1 20 juin 2013 LAccueil à Géoazur J. Trévisan, S. Bertetic, V. Mercier-Valéro, J. Ambre, L. Orsoni, A. Dano, O. Laurain Géoazur – UMR 7329 – UNS – CNRS.
Synthèse des travaux. Clarifier les concepts et la terminologie Faire du contrôle interne, un enjeu majeur Bien identifier les acteurs Professionnaliser.
Contribution du Mali sur son expérience en matière de Collecte, de Traitement et de Diffusion des Statistiques du Commerce Extérieur.
Kit formation entreprise Salle des marchés publics e-bourgogne (V2.1) 1 ère Partie : Comment sinscrire sur e-bourgogne ? Accéder à la plate-forme e-bourgogne.
Expériences de coopération et pratiques intéressantes sur la femme.
Systèmes de collecte et d'analyse des données de l'accidentologie routière en Afrique de l'Ouest Réunion annuelle Générale du SSATP Lilongwe (Malawi) 19.
F.A.Q. Application Millenium 3 Virtual Display
My VMware Gestion simplifiée des licences produits et du support
LACCESSIBILITÉ EN ONTARIO : Norme pour les services à la clientèle.
Colloque de la Fédération Histoire Québec Centre des congrès et dexpositions de Lévis 5 octobre 2013.
Gestion et Suivi axés sur les résultats
La crise des crédits "subprimes" Michel Lasserre le 25/05/2008 La crise des crédits "subprimes" Que sont les crédits "subprimes ? Pourquoi sont-ils à l'origine.
Contrôle daccès et qualité de service dans les réseaux basés sur ATM Olivier Paul.
1. Démarrage 2. Devises 3. Activités économiques 4. Localisation 5. Périodicités Configuration initiale I Tout ce que vous devez configurer la première.
1 LA PLATE FORME DAPPUI AUX PROFESSIONNELS DE SANTE Une nouvelle approche du site PAPS Michel CHIARA/Elodie AGOPIAN - CCOP - 31/01/2013.
Présentation OTeN – e-Forum Casablanca 14 juin 2007 Un observatoire des initiatives numériques sur le territoire français Emmanuel Vandamme, délégué de.
Baccalauréat professionnel
Geneviève FRANCHET - SPV
Pourquoi et comment développer la relation client ?
DECOUVREZ LA NOUVELLE LIGNE 30 WINDOWS V9
Gestion du cycle de vie des applications Lotus Notes Ady Makombo Directeur Teamstudio France
The EDI Standard for the Belgian Insurance sector R R Featuring Release Featuring Release
Une approche pour un espace de confiance des collectivités locales.
SECURITE DU SYSTEME D’INFORMATION (SSI)
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
Federal Department of the Environment, Transport, Energy and Communications DETEC Federal Office of Transport FOT Conditions générales relatives au transport.
The Leading u-Payment Solutions Architect 2004 m2m group - All rights reserved - Any material copy is allowed if "Source: m2m Group" is mentioned La Biométrie.
L ’approche par processus
Les 10 choses que vous devez savoir sur Windows Authentique Notice légale Les informations de ce document contiennent les explications de Microsoft Corporation.
Séminaire Normes et Standards 10 octobre 2003 L'école du futur dès aujourd'hui.
Bruyère Eglin Jacquey Larrivé Sahut
1. Les structures de documentation pour la division ST. 2. Les types de document dans la division ST. 3. Linterface informatique. Lundi 8 Mai 2000 ST Quality.
Module 3 : Création d'un domaine Windows 2000
Présentation Tufin Security Orchestrator
Cliquez pour modifier le style de titre du masque ManageEngine ADAudit Plus Qu'est-ce qui change ? Qu'est-ce qui va changer ? Fonctions clés d'ADAudit.
DIRECTIVES AUX FINS DU CONTRÔLE A POSTERIORI (CAP) VOLUME 2
Formalisation de la politique qualité
Solution Monétique Transacom Network
Atelier Evaluer et repositionner sa stratégie
Chapitre 9 Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft Module S41.
Transcription de la présentation:

Le standard PCI DSS (Payment Card Industry Data Security Standard)

Sommaire Pourquoi le standard PCI DSS? Les niveaux de conformité et de validation Les données de titulaire de carte Les considérations juridiques Exécution dun audit PCI DSS Réduction des frais grâce à lautomatisation

Quest-ce que cest la standard PCI DSS (Payment Card Industry Data Security Standard)? Le standard PCI DSS de sécurité de données de l'industrie de carte de paiement est un ensemble normes déterminées par les principales institutions financières de cartes de paiement notamment VISA et MasterCard dans le but de protéger les données de cartes de crédit et de débit Jusqu'ici, ces conditions régissent tous les canaux de paiement comprenant les ventes au détail, les ventes par correspondance, les commandes par téléphone et l'e-commerce Au départ c'était une norme séparée de sécurité de l'information, cependant, elle est maintenant devenue un standard global de sécurité

Pourquoi le standard PCI DDS est-il requis? Le vol et la fraude de données de détenteur de carte existent depuis le milieu des années 80 et ceci a incité Visa détablir le premier programme de sécurité La récente infraction de sécurité perpétrée chez TJX au cours de laquelle au moins 45.6 millions de numéros de cartes de crédit et de débit ont été volés par des intrus qui sétaient introduits au sein de son réseau souligne le besoin accru dune plus grande sécurité Selon InformationWeek, les intrus peuvent vendre des données de cartes de crédit volées sur le marché noir à un prix de USD 490$ pour une carte avec un numéro secret didentification personnel ( PIN)

PCI Data Security Standard v1.1 (1/3) Le standard PCI DSS impose 12 conditions de sécurité qui peuvent être groupées dans trois domaines principaux : >Collection et stockage de tous les enregistrements de données de sorte qu'ils soient disponibles pour l'analyse >Compte rendu de toutes les activités afin de pouvoir prouver la conformité sur demande >Surveillance et alertes par lesquelles les administrateurs peuvent constamment surveiller l'accès et l'utilisation des données et sont avertis immédiatement en cas de problèmes

PCI Data Security Standard v1.1 (2/3) Catégories du standard PCI DSS Le cadre du standard PCI DSS consiste également de six catégories suivantes : Construire et maintenir une infrastructure sécurisée Protéger les données de propriétaire de carte de paiement Maintenir un programme de gestion des vulnérabilités Maintenir une politique de sécurité dinformation Surveiller et tester régulièrement les réseaux d'information Implémenter des mesures strictes de contrôles d'accès

PCI Data Security Standard v1.1 (3/3) Conditions du standard PCI DSS Installez et entretenez une configuration de firewall pour protéger les données de détenteurs de cartes Nutilisez pas de mots de passe fournis par des fournisseurs ou tout autre paramètre de sécurité par défaut Protégez les données stockées Cryptez la transmission des données de titulaire de carte et de toute information sensible à travers les réseaux publics Utilisez et mettez à jour régulièrement les logiciels ou programmes antivirus Développez et maintenez la sécurité de vos systèmes et de vos applications Limitez l'accès aux seules données de titulaire de carte dont l'utilisateur a besoin ("business need-to-know'") Assignez un identifiant unique à chaque personne ayant accès à l'ordinateur Limitez l'accès physique aux données de titulaire de la carte de paiement Traquez et surveillez tout accès aux ressources du réseau et aux données de titulaire de carte de paiement Testez régulièrement les systèmes et les processus de sécurité Maintenez une politique axée sur la sécurité de l'information pour vos employés et les entrepreneurs

Toute information d'une carte de crédit/débit utilisée dans une transaction - pcianswers.com Eléments d'information de titulaire de carte >Numéro de compte principal (PAN) >Nom de titulaire de carte >Date déchéance Données Sensibles d'Authentification >Données de la piste magnétiques >Code de validation de carte (CVC) >Numéro d'identification personnelle (PIN) Quest-ce que cest « les données de titulaire de carte »?

Stockage de données de titulaire de carte Le standard PCI DSS protège les données de titulaire de carte ll est autorisé de stocker les détails suivants aussi longtemps qu'ils sont chiffrés, hachés ou tronqués : >Numéro de compte principal (PAN), Nom de titulaire de carte, date déchéance, Code de service

La passerelle de paiement effectue la transaction par l'intermédiaire d'une connexion sécurisée vers la banque garante du négociant La banque garante consulte la centrale déchange de cartes de crédit Credit Card Interchange pour obtenir lautorisation de la transaction Un client emploie une carte de crédit pour payer les marchandises achetées chez un négociant Le négociant soumet la transaction de carte de crédit à la passerelle de paiement Déroulement dune transaction typique

Qui doit se conformer au standard PCI DSS? A partir du 30 septembre 30, 2007 toutes les entreprises manipulant les données de carte de paiement –indépendamment de leur taille– doivent se conformer aux standards stricts de sécurité fixés par les principales institutions financières de carte de paiement Ceci sapplique à toutes les organisations où les données de carte de paiement sont: >Stockées >Transmises >Traitées Toutes les organisations décrites comme négociants ou fournisseurs de services doivent se conformer

Les négociants Les organisations qui acceptent le paiement par carte de crédit Exemples de secteurs affectés >Commerce en ligne (par exemple ebay.com) >Vente au détail (par exemple Wal-Mart) >Enseignement supérieur (par exemple les universités) >Santé (par exemple les hôpitaux) >Voyage et divertissement (par exemple les restaurants) >Energie (par exemple les stations de carburants) >Finance (par exemple les compagnies dassurance)

Niveaux de conformité des négociants NIVEAUX DE NEGOCIANTS Niveau 1 Les négociants dont des données de titulaire de carte ont été compromises Les négociants effectuant plus de six millions de transactions annuelles de carte de paiement Niveau 2 Les négociants effectuant entre 1 et 6 millions de transactions annuelles de cartes de paiement Niveau 3 Les négociants effectuant entre et de transactions annuelles de cartes de paiement Niveau 4 Tous les autres négociants

Les fournisseurs de services Entités qui fournissent des services aux négociants Exemples de services >Passerelles de paiement (par exemple PayPal) >Services de traitement de paiements >Fournisseurs de service de-commerce >Fournisseurs de service de contrôle >Agences de contrôle de solvabilité >Entreprises de gestion denregistrements de secours >Entreprises de destruction de documents

Niveaux de conformité des fournisseurs de services NIVEAUX DE FOURNISSEURS DE SERVICES Niveau 1 Tous les agents de traitement et toutes les passerelles de paiement Niveau 2 Tout fournisseur de services qui nest pas de Niveau 1 avec plus de 1 million de transactions de comptes de cartes de crédit par an Niveau 3 Tout fournisseur de services qui nest pas du Niveau 1 avec moins de 1 million de transactions de comptes de cartes de crédit par an

NégociantAudit de sécurité sur place exigé Questionnaire dautocontrôle exigé Balayage de réseau exigé Niveau 1AnnuellementTrimestriellement Niveau 2AnnuellementTrimestriellement Niveau 3AnnuellementTrimestriellement Niveau 4AnnuellementTrimestriellement Fournisseur de service Niveau 1AnnuellementTrimestriellement Niveau 2AnnuellementTrimestriellement Niveau 3AnnuellementTrimestriellement Par:Assesseur de sécurité agréé InterneVendeur de balayage agréé Document :Rapport de conformitéQuestionnaire dautocontrôle Compte rendu du balayage Procédures de conformité au standard PCI DSS

Données de titulaire de carte compromises « Lintrusion sur un ordinateur où la divulgation non autorisée, la modification ou la destruction de données de titulaire de carte est suspectée » - PCI DSS glossary Plan de réponse à un incident >Condition 12.9 Pourquoi rapporter une compromission de données? >Limiter les dégâts Canaux de rapportage dincidents >Équipe interne de réponse aux incidents >Associations et banques garantes de carte de crédit >Agences locales dapplication de la loi Qui court le risque dune compromission?

Conséquences Financières >Peut mener à des amendes pouvant atteindre $ USD et des coûts élevés des procès Réputation >Un mauvais incident peut avoir un grand impact sur limage de marque dun produit et dune entreprise >Implication dagences dapplication de la loi Opérationnelles >Niveaux 2, 3 ou 4 + compromise = Niveau 1 >Pourrait mener à une perte éventuelle de privilèges de traitement de données de carte

Préparation à la conformité au standard PCI DSS Familiarisez-vous avec les conditions du standard PCI DSS Identifiez toutes les données de titulaire de carte et enlevez les données qui ne sont pas nécessaires Effectuez une analyse de sécurité Créez un plan d'action et au besoin, consultez des experts pour obtenir un conseil

Frais de conformité au standard PCI DSS NégociantAudit de sécurité sur place exigé Questionnaire dautocontrôle exigé Balayage de réseau exigé Niveau 1AnnuellementTrimestriellement Niveau 2AnnuellementTrimestriellement Niveau 3AnnuellementTrimestriellement Niveau 4AnnuellementTrimestriellement Fournisseur de service Niveau 1AnnuellementTrimestriellement Niveau 2AnnuellementTrimestriellement Niveau 3AnnuellementTrimestriellement Par :Assesseur de sécurité agréé InterneVendeur de balayage agréé Document :Rapport de conformitéQuestionnaire dautocontrôle Compte rendu du balayage

Pain points Maintenir la sécurité des systèmes et des applications >Inspecter votre réseau >Balayage de vulnérabilité >Déployer les patches/service packs Surveiller le réseau >Enregistrer lactivité dutilisateur >Enregistrer laccès aux données de titulaire de carte >Alerter à propos dimportants événements Fournir une preuve appuyée par des documents >Maintenir la sécurité des systèmes >Surveiller toutes les activités >Entreprendre une action réparatrice

Automatisation par logiciel Réduisez considérablement les tâches manuelles, répétitives : Inspections de réseau Gestion des vulnérabilités Surveillance des activités Alertes en temps réel Actions correctives Création de rapports

PCI DSS et les produits de sécurité de réseau de GFI Les conditions du standard PCI DSS Cryptez la transmission des données de titulaire de carte et de toute information sensible à travers les réseaux publics 5. Utilisez et mettez à jour régulièrement vos logiciels ou programmes antivirus 6.Développez et maintenez la sécurité de vos systèmes et de vos applications 7. Limitez l'accès aux seules données de titulaire de carte dont l'utilisateur a besoin ("business need-to-know'") Limitez l'accès physique aux données de titulaire de la carte de paiement Testez régulièrement les systèmes et les processus de sécurité 12. Maintenez une politique axée sur la sécurité de l'information pour vos employés et les entrepreneurs Installez et maintenez un firewall pour protéger les données de titulaire de carte Nutilisez pas de mots de passe fournis par des fournisseurs ou tout autre paramètre de sécurité par défaut Protégez les données de titulaire de carte stockées Assignez un identifiant unique à chaque personne ayant accès à l'ordinateur GFI EventsManager Traquez et surveillez tout accès aux ressources du réseau et aux données de titulaire de carte de paiement GFI LANguard N.S.S.

Avantages dinvestissement Automatisation >Réduction des tâches manuelles et répétitives >Réduction du fardeau dadministrateur >Déclenchement de mesures correctives proactives Protection >Complément de votre politique de sécurité >Notification en cas de menaces de sécurité potentielles >Vous rassure sur la sécurité de votre système Economies >Prévention damendes pour non-conformité au standard PCI DSS >Elimination des frais de consultation externe >Continuité daffaires

Conclusion Etant donné que les entreprises courent constamment le risque de perdre les données sensibles de détenteur de carte, qui pourrait avoir comme conséquences des amendes, des poursuites judiciaires et de la mauvaise publicité, la réalisation de la conformité au PCI DSS devrait être la priorité à l'ordre du jour des entreprises qui stockent, transmettent ou traitent des données de carte de paiement La conformité au standard PCI DSS doit être effectuée en septembre 2007 – ceci est la date limite fixée par les institutions financières de cartes de crédit/débit GFI Software offre deux produits de ce genre aux entreprises, GFI EventsManager et GFI LANguard Network Security Scanner (N.S.S.), pour les aider dans leurs efforts de se conformer au standard PCI DSS

GFI en bref La vision Devenir la technologie de choix lorsquil sagit des solutions de sécurité et de la productivité. La mission Fournir aux professionnels de linformatique à travers le monde, des solutions rentables de qualité de sécurité de contenu, de sécurité de réseau et de messagerie. Fondée en 1992 Plus de 200 employés dans le monde entier Bureaux à Malte, Londres, Raleigh, Hong Kong et Adélaïde Produits de GFI installés sur plus de réseaux dentreprises dans le monde entier, des PMEs pour la plupart Entreprise spécialisée avec plus de partenaires à travers le monde

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.