3rd European PCI DSS Roadshow Paris, Ambassade d’Irlande, 2 juillet 2013 Mathieu.gorge@vigitrust.com www.vigitrust.com Saturday, 25 March 2017 (c) VigiTrust 2003-2013
L’agenda d’aujourd’hui Début Fin Détails Intervenant(s) 08:30 09:00 Inscription VigiTrust & Partnenaires 9:15 Note de bienvenue Mr L’Ambassadeur d’Irlande en France, Paul Kavanagh 09:35 L’évolution de PCI DSS – Impact en France Mathieu Gorge, CEO, VigiTrust 10:10 Pour une approche cost-effective de PCI Gabriel Leperlier, PCI DSS Verizon 10:30 Présentation des conclusions du rapport Verizon Data Breach Investigation Nicolas Villatte, EMEA Labs Manager, Verizon Risk Team 10:50 Pause Thé-Café-Patisseries 11:15 PCI DSS - Stockage&gestion des données Jean-Marc Rietsch, Président , FedISA 11:50 PCI DSS est-elle une obligation vis à vis de la Loi Informatique et Liberté ? Isabelle Renard, Avocat Associée, Cabinet Racine 12:20 Retour D’expérience : PCI DSS dans le Monde Hôtelier Marie-Christine Vittet, Directrice du Programme PCI-DSS, Groupe ACCOR 12:40 Mise en Place d’une stratégie de mise en conformité PCI DSS – meilleures pratiques Mathieu Gorge, CEO VigiTrust 12.40 12:55 Session Questions-Réponses Tous Intervenants 12.55 13.00 Conclusion (c) VigiTrust 2003-2013
Mathieu Gorge CEO & Founder, VigiTrust European PCI DSS Roadshow (Disclaimer: Outside Reviewer) Saturday, 25 March 2017 (c) VigiTrust 2003-2013
1 2 3 About VigiTrust The 5 Pillars of Security Framework™ Compliance as a Service 1 2 3 SECURITY TRAINING & eLEARNING Online training for management and staff COMPLIANCE, READINESS & VALIDATION Comprehensive online programs to achieve and maintain compliance SECURITY & GRC SERVICES Professional services to enable and support your compliance process The 5 Pillars of Security Framework™ Physical Security; People Security; Data Security; IT Security; Crisis Management
Existing eLearning Portfolio US EMEA eSEC Portfolio US – Existing HIPAA NERC-CIP 101 MA 201 Understanding Data Breach Notification Requirements eSEC Portfolio EMEA - Existing Data Protection Fundamentals Credit Card Security Introduction to PCI DSS Banking & Fraud Green IT & Security ISO IT & SDLC Security During M&A Process GEN. TECH. eSEC Portfolio Generic Training - Existing Info Security 101 Mobility & Security Security of Social Networks Cloud Computing & Security 101 Physical Security for Good Logical Security eSEC Portfolio Technical Training - Existing Secure Coding for PCI DSS Introduction to Secure Printing Log Management & Security Wireless Security
3rd Edition of the PCI DSS European Roadshow Saturday, 25 March 2017 (c) VigiTrust 2003-2013
l’Atelier PCI DSS – 1 Journée L’atelier permet aux entreprises de comprendre : Les 4 niveaux pour les commerçants et les prestataires de service et quel est celui qui vous correspond 12 exigences prévues par les normes et comment elles s’appliquent à votre entreprise Les exigences et contrôles liés à la norme PCI DSS (formation, solutions techniques, politiques et procédures) Comment former une équipe de PCI DSS Processus de conformité et de créativité Comment concevoir un plan de mise en conformité. Comment travailler en collaboration avec QSAs Comment mettre en place un programme continu de mise en conformité de la norme PCI DSS Ce qu’il faut faire et ne pas faire pour la mise en conformité de la norme PCI DSS. (c) VigiTrust 2003-2012
PCI DSS Le contexte en France (c) VigiTrust 2003-2013
Le secteur des paiements - Définition La sécurité des paiements implique la gestion et la sécurisation des données de paiement à tous les niveaux de l’entreprise : de l’acceptation du paiement via la détection de la fraude, la réalisation de l’opération, le service client, le funding ou la réconciliation des paiements et la sauvegarde de la transaction. La présence des données de paiement à toutes ces étapes met l’entreprise en danger, que ces donnees soient sur les systèmes informatiques de l’entreprise, les réseaux ou qu’elles soient visibles par le personnel. La présence des données de paiement… met l’entreprise en danger. Vous devez donc parfaitement maîtriser le fonctionnement de votre organisme et les flux de données de paiement. (c) VigiTrust 2003-2013
L’importance de la norme PCI DSS pour votre entreprise. Mémo – Les menaces encourues par votre entreprise en cas de non conformité à la norme. Augmentation du nombre de fraudes Préjudice subi par votre entreprise Renouvellement des cartes des (le coût en incombe au commerçant) Consommateur: perte de confiance Mauvaise publicité pour votre entreprise : Montrée du doigt Atteinte à votre image de marque et à votre réputation Intérêt législatif – menace d’une intervention et réglementation gouvernementale : Certains états des USA ont déjà introduit la norme PCI DSS dans la loi Cette norme deviendra une loi fédérale américaine dans 5 ans L’Europe suivra - Une nouvelle réglementation européenne est à noter (c) VigiTrust 2003-2013
2011-12 – Une période mouvementée pour PCI DSS (1) Les entreprises U.S. sont toujours les plus conformes à PCI DSS Mais l’Europe avance à grands pas Nomination de Jeremy King comme European Director Une grande différence déjà notée en Europe Focus Spécifique sur des secteurs Verticaux Hôtels Casinos PCI DSS – nouvelle version publiée en octobre 2010 et implementée depuis janvier 2011 PCI DSS Lifecycle Update Changements ou manque de changements en v2.0
2011-12 – Une période mouvementée pour PCI DSS (2) Alignement de PA-DSS – PTS avec PCI DSS Considérations QSA Beaucoup de nouveaux QSAs depuis 2010 Les cas “Heartland” & Global Payments Le QSA avait attesté de ma conformité QA program – est-il efficace? Sensibilisation des utilisateurs Recommandations eLearning & tests QSA se focalisent de plus en plus sur les politiques et procédures en sécurité Adoption des technologies de Tokenization & Virtualization, Point to Point Encryption Cloud & Mobility: New Guidance Documents
PCI DSS – 360º France POs - très peu par rapport à la taille du marché QSAs – 8…pour l’instant PCI DSS chez les professionnels & associations de sécurité Clusif ISACA ISSA Que font les banques? Des programmes en cours de développement Mais attention au programmes de validation pure Il faut éduquer les marchands avant qu’ils ne puissent valider leur conformité Autres considérations sur ce marché CNIL Visa Europe met la pression en France! Franchises
PCI DSS Lifecycle (c) VigiTrust 2003-2012
Gabriel Leperlier Verizon
Nicolas Villatte Verizon Risk Team
Jean-Marc Rietsch FedISA
Isabelle Renard Cabinet Racine
Marie-Christine Vittet Groupe ACCOR
Mise en Place d’une stratégie de mise en conformité PCI DSS Meilleures Pratiques (c) VigiTrust 2003-2013
PCI DSS Structure 1. 2. 3. 4. 5. 6. 12 Requirements of PCI DSS Install & maintain a firewall configuration to protect data Do NOT use vendor supplied defaults for passwords or other security parameter Build & Maintain a Secure Network 1. Protect Cardholder data Protect stored data Encrypt the transmission of cardholder data 2. Maintain a Vulnerability Management Programme Use & regularly update anti-virus software Develop & maintain secure systems & applications 3. 12 Requirements of PCI DSS Restrict access to data by business need-to-know Assign a unique ID to each person with computer access Restrict physical access to cardholder data Implement strong Access Control Measures 4. Regularly monitor & Test Networks Track & monitor ALL access to network resources & cardholder data Regularly test security systems & processes 5. Maintain an Information Security Policy 6. Maintain a policy that addresses information security
Définition du Champ d’Application PCI DSS Scope your network’s perimeter to determine the ecosystem’s size Traditional Perimeter – either in or out of the firewall Cloud Private / Public / Hybrid Wireless networks – also part of your ecosystem Mobile & I/O devices are also part of your ecosystem Must be referenced in your asset inventory Diagrams are key Must cover your WHOLE ecosystem Must be kept up to date Flow of data between all ecosystem sub-areas must be clear Know where the data comes from, where it might transit through, where it may be stored/copied, where it ends up (c) VigiTrust 2003-2012
Comprendre les contrôles de la norme PCI DSS Sont accessibles via : Risk based approach Prioritized approach Les contrôles de la norme PCI DSS peuvent être répertoriés comme suit : Contrôles techniques Politiques et procédures Mise en garde et formation des usagers Les contrôles peuvent contenir plusieurs points de contrôle Un mélange de contrôle(s) technique(s) et de politique/procédure Certains contrôles nécessitent par définition des tâches répétitives : Scans trimestriels, Analyses de Logs, mise à jour de politiques de sécurité Plans de formation annuels (c) VigiTrust 2003-2013
Understanding Your Ecosystem (c) VigiTrust 2003-2013
(c) VigiTrust 2003-2013
Exigences PCI DSS en matière Documentation Diagrams and Data Flows Ecosystem Diagrams Data Flow Diagrams Network Diagrams Asset Inventory Acceptable Usage Policy for staff Access Control Policy Firewall Rules and Business Justification for Rules AV, Anti-Spam and Intrusion Detection-Prevention Policy Incident Response Plan Hardening, Log and Patch Management Policy Back-Up and Media Storage Policy Security Assessment, Application Security & Vulnerability Management Policy Management of Third Parties Policy (c) VigiTrust 2003-2013
Solutions Techniques exigées par PCI DSS Anti-Virus / Anti-Spam Firewalls & VPNs IDS/IPS Web Filtering / Mail Filtering IM monitoring File Integrity SIEM – Central Log solutions Asset Management PSD Mgt/Control Encryption Onsite vs Managed Services Vs Cloud services? (c) VigiTrust 2003-2012
Security & GRC Process SOX ISO 27000 series EU Data Protection PCI DSS HIPAA Others Regulatory, Legal & Corporate Governance Frameworks Policies & Procedures Network & Hardware Security Self-Governed Pre-Assessment Education, Security & Awareness Remediation Work Official Assessors & Auditors Application Security Specialized Skills Transfer Step 1 Step 2 Step 3 Step 4 Step 5 (c) VigiTrust 2003-2013
Chief Security Officer 5 Pillars of Security Framework™ Chief Security Officer Project leader for all Security Related Matters PPL Sec DATA Sec INFRA Sec CRISIS Mgt PHYS. Sec PHYSICAL SECURITY Access to Building Physical Assets IT Hardware Vehicle Fleet PEOPLE SECURITY Permanent & Contract Staff Partners 3rd Party Employees Visitors Special Events Security DATA SECURITY Trade Secrets Employee Data Database Customer Data INFRASTRUCTURE SECURITY Networks Remote Sites Remote Users Application Security Website Intranet CRISIS MANAGEMENT Documentation & Work Procedures Emergency Response Plans Business Continuity Plans Disaster Recovery Plans Operations Manager, Security Staff HR, Security Staff HR, IT Team & Manager IT Team & Manager Operations Manager, IT Team, HR Best Practice Security Framework for Enterprise
Les 5 meilleurs conseils pour bien travailler avec les QSAs (1) Comprendre le processus d’accréditation à la norme avant que l’évaluateur ait à vous l’expliquer. 1. Formation – Assurez-vous que votre équipe de PCI DSS – organes décisionnels, DRH, IT, le personnel spécialisé – maîtrise parfaitement les exigences de la norme et le mécanisme de validation qui correspond à votre entreprise 2. Pre-assessment – Votre entreprise doit effectuer elle-même un audit afin de déterminer son propre niveau de sécurité actuel par rapport aux contrôles demandés par la norme Phase de remédiation – Afin d’être tout à fait prêt pour la validation de la norme, votre entreprise aura besoin de: (a) politiques et procédures (b) solutions techniques (c) session de sensibilisation pour les utilisateurs C’est la phase la plus longue car elle implique de corriger voire de mettre en œuvre des changements dans votre réseau (par exemple segmenter votre réseau afin de réduire le champ du PCI DSS). Ceci nécessite un certain budget, du temps et du temps homme. 4. Le QSA fait le PCI DSS Assessment certifiant 5. Conformité continue – Vous devez mettre en place un process afin de vous assurer que vous êtes toujours en conformité. Ceci implique des audits internes réguliers, une mise à jour des solutions techniques, des scans et des tests d’intrusion, des politiques et procédures actualisées, former les nouvelles recrues et reformer le personnel en place. (c) VigiTrust 2003-2012
Les 5 meilleurs conseils pour bien travailler avec les QSAs (2) Pensez à diviser l’audit en plusieurs phases, chacune menée par un évaluateur différent. Ne perdez pas de vue l’enjeu : protéger les données des détenteurs de cartes de crédit. 1. Suivre une approche structurée pour votre mise en conformité avec PCI DSS. Toute évaluation PCI DSS commence par une analyse de failles entre vos paramètres de sécurité actuels et ceux nécessaires à la norme. Ensuite vient la phase de remédiation au cours de laquelle l’entreprise réduit les écarts et la mise en conformité peut commencer. Comprendre qu’il est certainement bénéfique de confier toutes les étapes de la mise en conformité à une seule entreprise de QSA mais que ce n’est pourtant pas le meilleur moyen de mettre en place la norme PCI DSS. Employer un évaluateur différent pour faire l’analyse de failles, implementer les actions correctrices et faire l’assessment officiel assurera une évaluation plus rigoureuse, plus objective et moins complaisante que si la même personne gère toutes les phases. La mise en conformité de la norme PCI DSS doit être un processus continu. Il ne faut jamais oublier que la finalité de cette évaluation est de sécuriser les données des possesseurs de carte de crédit. (c) VigiTrust 2003-2012
La création et le suivi des équipes PCI DSS Une équipe de PCI DSS efficace est essentielle pour une mise en conformité du PCI réussie en terme de plus grande sensibilisation à la sécurité, de l’application d’une politique de sécurité et de la mise en œuvre de solutions techniques. La première étape de la création d’une équipe de projet est de décider quels membres du personnel en feront partie. Qui doit faire partie de mon équipe PCI DSS ? A priori quiconque entrant dans le scope PCI DSS peut faire partie de cette équipe. Une équipe de projet PCI DSS est généralement composée de : Equipe informatique / directeur informatique Equipe du développement Equipe des ressources humaines Gestion des opérations Équipe de sécurité IT In-scope employees Fraud Operations Development Human Resources PCI Project Manager /Security Officer La création et le suivi des équipes PCI DSS Une équipe de PCI DSS efficace est essentielle pour une mise en conformité du PCI réussie en terme de plus grande sensibilisation à la sécurité, de l’application d’une politique de sécurité et de la mise en œuvre de solutions techniques. La première étape de la création d’une équipe de projet est de décider quels membres du personnel en feront partie. Qui doit faire partie de mon équipe PCI DSS ? A priori quiconque entrant dans le champ du PCI DSS peut faire partie de cette équipe. Une équipe de projet PCI DSS est généralement composée de : Equipe informatique / directeur informatique Equipe du développement Equipe des ressources humaines Gestion des opérations Equipe de sécurité (c) VigiTrust 2003-2012 34
Building & Maintaining PCI DSS Teams (3) (c) VigiTrust 2003-2012
PCI DSS & ISO 27001 Scoping Un choix personnel du champ d’application opposé à celui de l’environnement des données de porteurs de cartes qui, lui, est imposé dans le PCI DSS. Travail de documentation Req 12 of PCI DSS should be req 1 Mélange des contrôles techniques, des politiques, procédures et formations Les mécanismes de validation sont manifestement différents, cependant L’utilisation de la norme ISO 27k dans le secteur du paiement permettra une mise en conformité avec la norme PCI DSS Il convient de prouver aux QSAs et aux ? Qu’une évaluation des risques a été faite et qu’un plan de traitement des risques est en place. Saturday, 25 March 2017 36 (c) VigiTrust 2003-2012
Critères de comparaison PCI DSS & ISO 27001 (2) Critères de comparaison ISO27k PCI DSS Scope Définie par la norme Données du possesseur de carte Choix des contrôles Large Très dirigiste Flexibilité en terme d’implementation des contrôles Grande Faible Gestion du statut de conformité Très pointue et bien documentée Très rigide et incomplète Critères de comparaison Portée Choix des contrôles Flexibilité de mise en œuvre des contrôles (c) VigiTrust 2003-2012
Processus de certification Le processus d’accréditation peut être pénible Vous pouvez être amené à travailler avec des QSA Vous devez investir temps et argent dans les technologies de sécurité, politiques et procédures et formation des utilisateurs Pour la plupart des entreprises, il s’agira de moderniser une stratégie de sécurité existante pour la faire entrer dans le cadre de la norme PCI DSS Time to Accreditation concept (TTA) Coût et rendement des investissements Processus de certification (c) VigiTrust 2003-2013
Les meilleures pratiques – Atteinte et suivi de la conformité avec la norme PCI DSS Par quoi commencer ? Souvenez-vous des cinq étapes du processus d’accréditation Formation Evaluation préalable (interne) Remédiation Evaluation réelle Conformité continue Mélange des 3 éléments clés Politiques et procédures Solutions techniques Formation & sensibilisation Et ensuite ? Politiques et procédures : établir une liste des P&P en place dans votre entreprise Solutions techniques : mettre à jour votre diagramme de réseau et du pen test Formation à la sensibilisation : identifier les employés concernés et commencer le processus de formation Les meilleures pratiques –Atteinte et suivi de la conformité avec la norme PCI DSS Par quoi commencer ? Souvenez-vous des cinq étapes du processus d’accréditation. Formation Evaluation préalable (interne) Remédiation Evaluation réelle Conformité continue Mélange des 3 éléments clés Politiques et procédures Solutions techniques Formation à la sensibilisation Et ensuite ? Politiques et procédures : établir une liste des P&P en place dans votre entreprise Solutions techniques : mettre à jour votre diagramme de réseau et du pen test Formation à la sensibilisation : identifier les employés concernés et commencer le processus de formation (c) VigiTrust 2003-2012
3rd European PCI DSS Roadshow Paris, Ambassade d’Irlande, 2 juillet 2013 Mathieu.gorge@vigitrust.com www.vigitrust.com Saturday, 25 March 2017 (c) VigiTrust 2003-2013
L’application de la norme dans le secteur Hôtelier: enjeux, défis spécifiques aux hôtels, étude de cas. (c) VigiTrust 2003-2013
Les enjeux et défis spécifiques aux hôtels (1) Le secteur a un besoin essentiel d’accès aux données de cartes de crédit Le monde de l’hôtellerie s’appuie beaucoup sur les paiements par cartes de crédits. En effet cela permet aux clients de faire leur réservation, de régler à l’ avance, ainsi que de payer pour les services supplémentaires proposés par l’hôtel. L’application de la norme dans le secteur Hôtelier est accentuée par les problèmes de fraudes dans le secteur Volume croissant de paiement par cartes Peu ou pas de focus sur la sécurité informatique et réseaux Mélange d’employés en CDI, CDD et de contracteurs Menaces directement liées à l’utilisation du WiFi Nombre et complexité des systèmes typiquement utilisés par les chaines (QG, filliales, franchises) (c) VigiTrust 2003-2013
Les enjeux et défis spécifiques aux hôtels (2) Changements de personel très fréquent Difficile et cher à former Acceptent souvent encore des paiements “papiers” Les employés ecrivent ou photocopient les CB Acceptent souvent que le client envoie ses données de cartes par mail le serveur mail est alors pris en compte dans le champ d’application de PCI DSS Doit vraiment avoir accès aux cartes pour guarantir les paiements et les services supplémentaires bars, spas, car valet service, parking, etc. Échange régulier de données de paiements entre entités La securité physique d’acces aux POS est a equilibrer avec le flux des employés et clients (c) VigiTrust 2003-2013
Groupes LinkedIn et autres
Zoom sur les groupements & associations de commerçants Les programmes de mise en conformité de la norme PCI au Europe Développé par une banque acquéreuse, un service de traitement des paiements ou bien un regroupement de commerçants ou une association Communication aux commerçants sur la mise en conformité de la norme PCI DSS Mise en demeure de se conformer à la norme Avec des amendes possibles Ceci mène donc à une aide à la mise en conformité Les dépenses peuvent être à la charge du commerçant ou de l’organisme qui gère le programme. Les banques acquéreuses Les associations commerciales Les fédérations Les franchiseurs Une organisation qui chapeaute les commerçants en vue de les encadrer / conseiller (c) VigiTrust 2003-2013 45