La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

3rd European PCI DSS Roadshow

Publié parAvery Chambon Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "3rd European PCI DSS Roadshow"— Transcription de la présentation:

1 3rd European PCI DSS Roadshow
Paris, Ambassade d’Irlande, 2 juillet 2013 Saturday, 25 March 2017 (c) VigiTrust

2 L’agenda d’aujourd’hui
Début Fin Détails Intervenant(s) 08:30 09:00 Inscription VigiTrust & Partnenaires 9:15 Note de bienvenue Mr L’Ambassadeur d’Irlande en France, Paul Kavanagh 09:35 L’évolution de PCI DSS – Impact en France Mathieu Gorge, CEO, VigiTrust 10:10 Pour une approche cost-effective de PCI Gabriel Leperlier, PCI DSS Verizon 10:30 Présentation des conclusions du rapport Verizon Data Breach Investigation Nicolas Villatte, EMEA Labs Manager, Verizon Risk Team 10:50 Pause Thé-Café-Patisseries 11:15 PCI DSS - Stockage&gestion des données Jean-Marc Rietsch, Président , FedISA 11:50 PCI DSS est-elle une obligation vis à vis de la Loi Informatique et Liberté ? Isabelle Renard, Avocat Associée, Cabinet Racine 12:20 Retour D’expérience : PCI DSS dans le Monde Hôtelier Marie-Christine Vittet, Directrice du Programme PCI-DSS, Groupe ACCOR 12:40 Mise en Place d’une stratégie de mise en conformité PCI DSS – meilleures pratiques Mathieu Gorge, CEO VigiTrust 12.40 12:55 Session Questions-Réponses Tous Intervenants 12.55 13.00 Conclusion (c) VigiTrust

3 Mathieu Gorge CEO & Founder, VigiTrust
European PCI DSS Roadshow (Disclaimer: Outside Reviewer) Saturday, 25 March 2017 (c) VigiTrust

4 1 2 3 About VigiTrust The 5 Pillars of Security Framework™
Compliance as a Service 1 2 3 SECURITY TRAINING & eLEARNING Online training for management and staff COMPLIANCE, READINESS & VALIDATION Comprehensive online programs to achieve and maintain compliance SECURITY & GRC SERVICES Professional services to enable and support your compliance process The 5 Pillars of Security Framework™ Physical Security; People Security; Data Security; IT Security; Crisis Management

5 Existing eLearning Portfolio
US EMEA eSEC Portfolio US – Existing HIPAA NERC-CIP 101 MA 201 Understanding Data Breach Notification Requirements eSEC Portfolio EMEA - Existing Data Protection Fundamentals Credit Card Security Introduction to PCI DSS Banking & Fraud Green IT & Security ISO IT & SDLC Security During M&A Process GEN. TECH. eSEC Portfolio Generic Training - Existing Info Security 101 Mobility & Security Security of Social Networks Cloud Computing & Security 101 Physical Security for Good Logical Security eSEC Portfolio Technical Training - Existing Secure Coding for PCI DSS Introduction to Secure Printing Log Management & Security Wireless Security

6 3rd Edition of the PCI DSS European Roadshow
Saturday, 25 March 2017 (c) VigiTrust

7 l’Atelier PCI DSS – 1 Journée
L’atelier permet aux entreprises de comprendre : Les 4 niveaux pour les commerçants et les prestataires de service et quel est celui qui vous correspond 12 exigences prévues par les normes et comment elles s’appliquent à votre entreprise Les exigences et contrôles liés à la norme PCI DSS (formation, solutions techniques, politiques et procédures) Comment former une équipe de PCI DSS Processus de conformité et de créativité Comment concevoir un plan de mise en conformité. Comment travailler en collaboration avec QSAs Comment mettre en place un programme continu de mise en conformité de la norme PCI DSS Ce qu’il faut faire et ne pas faire pour la mise en conformité de la norme PCI DSS. (c) VigiTrust

8

9

10 PCI DSS Le contexte en France
(c) VigiTrust

11 Le secteur des paiements - Définition
La sécurité des paiements implique la gestion et la sécurisation des données de paiement à tous les niveaux de l’entreprise : de l’acceptation du paiement via la détection de la fraude, la réalisation de l’opération, le service client, le funding ou la réconciliation des paiements et la sauvegarde de la transaction. La présence des données de paiement à toutes ces étapes met l’entreprise en danger, que ces donnees soient sur les systèmes informatiques de l’entreprise, les réseaux ou qu’elles soient visibles par le personnel. La présence des données de paiement… met l’entreprise en danger. Vous devez donc parfaitement maîtriser le fonctionnement de votre organisme et les flux de données de paiement. (c) VigiTrust

12 L’importance de la norme PCI DSS pour votre entreprise.
Mémo – Les menaces encourues par votre entreprise en cas de non conformité à la norme. Augmentation du nombre de fraudes Préjudice subi par votre entreprise Renouvellement des cartes des (le coût en incombe au commerçant) Consommateur: perte de confiance Mauvaise publicité pour votre entreprise : Montrée du doigt Atteinte à votre image de marque et à votre réputation Intérêt législatif – menace d’une intervention et réglementation gouvernementale : Certains états des USA ont déjà introduit la norme PCI DSS dans la loi Cette norme deviendra une loi fédérale américaine dans 5 ans L’Europe suivra - Une nouvelle réglementation européenne est à noter (c) VigiTrust

13 2011-12 – Une période mouvementée pour PCI DSS (1)
Les entreprises U.S. sont toujours les plus conformes à PCI DSS Mais l’Europe avance à grands pas Nomination de Jeremy King comme European Director Une grande différence déjà notée en Europe Focus Spécifique sur des secteurs Verticaux Hôtels Casinos PCI DSS – nouvelle version publiée en octobre 2010 et implementée depuis janvier 2011 PCI DSS Lifecycle Update Changements ou manque de changements en v2.0

14 2011-12 – Une période mouvementée pour PCI DSS (2)
Alignement de PA-DSS – PTS avec PCI DSS Considérations QSA Beaucoup de nouveaux QSAs depuis 2010 Les cas “Heartland” & Global Payments Le QSA avait attesté de ma conformité QA program – est-il efficace? Sensibilisation des utilisateurs Recommandations eLearning & tests QSA se focalisent de plus en plus sur les politiques et procédures en sécurité Adoption des technologies de Tokenization & Virtualization, Point to Point Encryption Cloud & Mobility: New Guidance Documents

15 PCI DSS – 360º France POs - très peu par rapport à la taille du marché
QSAs – 8…pour l’instant PCI DSS chez les professionnels & associations de sécurité Clusif ISACA ISSA Que font les banques? Des programmes en cours de développement Mais attention au programmes de validation pure Il faut éduquer les marchands avant qu’ils ne puissent valider leur conformité Autres considérations sur ce marché CNIL Visa Europe met la pression en France! Franchises

16 PCI DSS Lifecycle (c) VigiTrust

17 Gabriel Leperlier Verizon

18 Nicolas Villatte Verizon Risk Team

19 Jean-Marc Rietsch FedISA

20 Isabelle Renard Cabinet Racine

21 Marie-Christine Vittet
Groupe ACCOR

22 Mise en Place d’une stratégie de mise en conformité PCI DSS Meilleures Pratiques
(c) VigiTrust

23 PCI DSS Structure 1. 2. 3. 4. 5. 6. 12 Requirements of PCI DSS
Install & maintain a firewall configuration to protect data Do NOT use vendor supplied defaults for passwords or other security parameter Build & Maintain a Secure Network 1. Protect Cardholder data Protect stored data Encrypt the transmission of cardholder data 2. Maintain a Vulnerability Management Programme Use & regularly update anti-virus software Develop & maintain secure systems & applications 3. 12 Requirements of PCI DSS Restrict access to data by business need-to-know Assign a unique ID to each person with computer access Restrict physical access to cardholder data Implement strong Access Control Measures 4. Regularly monitor & Test Networks Track & monitor ALL access to network resources & cardholder data Regularly test security systems & processes 5. Maintain an Information Security Policy 6. Maintain a policy that addresses information security

24 Définition du Champ d’Application PCI DSS
Scope your network’s perimeter to determine the ecosystem’s size Traditional Perimeter – either in or out of the firewall Cloud Private / Public / Hybrid Wireless networks – also part of your ecosystem Mobile & I/O devices are also part of your ecosystem Must be referenced in your asset inventory Diagrams are key Must cover your WHOLE ecosystem Must be kept up to date Flow of data between all ecosystem sub-areas must be clear Know where the data comes from, where it might transit through, where it may be stored/copied, where it ends up (c) VigiTrust

25 Comprendre les contrôles de la norme PCI DSS
Sont accessibles via : Risk based approach Prioritized approach Les contrôles de la norme PCI DSS peuvent être répertoriés comme suit : Contrôles techniques Politiques et procédures Mise en garde et formation des usagers Les contrôles peuvent contenir plusieurs points de contrôle Un mélange de contrôle(s) technique(s) et de politique/procédure Certains contrôles nécessitent par définition des tâches répétitives : Scans trimestriels, Analyses de Logs, mise à jour de politiques de sécurité Plans de formation annuels (c) VigiTrust

26 Understanding Your Ecosystem
(c) VigiTrust

27 (c) VigiTrust

28 Exigences PCI DSS en matière Documentation
Diagrams and Data Flows Ecosystem Diagrams Data Flow Diagrams Network Diagrams Asset Inventory Acceptable Usage Policy for staff Access Control Policy Firewall Rules and Business Justification for Rules AV, Anti-Spam and Intrusion Detection-Prevention Policy Incident Response Plan Hardening, Log and Patch Management Policy Back-Up and Media Storage Policy Security Assessment, Application Security & Vulnerability Management Policy Management of Third Parties Policy (c) VigiTrust

29 Solutions Techniques exigées par PCI DSS
Anti-Virus / Anti-Spam Firewalls & VPNs IDS/IPS Web Filtering / Mail Filtering IM monitoring File Integrity SIEM – Central Log solutions Asset Management PSD Mgt/Control Encryption Onsite vs Managed Services Vs Cloud services? (c) VigiTrust

30 Security & GRC Process SOX ISO series EU Data Protection PCI DSS HIPAA Others Regulatory, Legal & Corporate Governance Frameworks Policies & Procedures Network & Hardware Security Self-Governed Pre-Assessment Education, Security & Awareness Remediation Work Official Assessors & Auditors Application Security Specialized Skills Transfer Step 1 Step 2 Step 3 Step 4 Step 5 (c) VigiTrust

31 Chief Security Officer
5 Pillars of Security Framework™ Chief Security Officer Project leader for all Security Related Matters PPL Sec DATA Sec INFRA Sec CRISIS Mgt PHYS. Sec PHYSICAL SECURITY Access to Building Physical Assets IT Hardware Vehicle Fleet PEOPLE SECURITY Permanent & Contract Staff Partners 3rd Party Employees Visitors Special Events Security DATA SECURITY Trade Secrets Employee Data Database Customer Data INFRASTRUCTURE SECURITY Networks Remote Sites Remote Users Application Security Website Intranet CRISIS MANAGEMENT Documentation & Work Procedures Emergency Response Plans Business Continuity Plans Disaster Recovery Plans Operations Manager, Security Staff HR, Security Staff HR, IT Team & Manager IT Team & Manager Operations Manager, IT Team, HR Best Practice Security Framework for Enterprise

32 Les 5 meilleurs conseils pour bien travailler avec les QSAs (1)
Comprendre le processus d’accréditation à la norme avant que l’évaluateur ait à vous l’expliquer. 1. Formation – Assurez-vous que votre équipe de PCI DSS – organes décisionnels, DRH, IT, le personnel spécialisé – maîtrise parfaitement les exigences de la norme et le mécanisme de validation qui correspond à votre entreprise 2. Pre-assessment – Votre entreprise doit effectuer elle-même un audit afin de déterminer son propre niveau de sécurité actuel par rapport aux contrôles demandés par la norme Phase de remédiation – Afin d’être tout à fait prêt pour la validation de la norme, votre entreprise aura besoin de: (a) politiques et procédures (b) solutions techniques (c) session de sensibilisation pour les utilisateurs C’est la phase la plus longue car elle implique de corriger voire de mettre en œuvre des changements dans votre réseau (par exemple segmenter votre réseau afin de réduire le champ du PCI DSS). Ceci nécessite un certain budget, du temps et du temps homme. 4. Le QSA fait le PCI DSS Assessment certifiant 5. Conformité continue – Vous devez mettre en place un process afin de vous assurer que vous êtes toujours en conformité. Ceci implique des audits internes réguliers, une mise à jour des solutions techniques, des scans et des tests d’intrusion, des politiques et procédures actualisées, former les nouvelles recrues et reformer le personnel en place. (c) VigiTrust

33 Les 5 meilleurs conseils pour bien travailler avec les QSAs (2)
Pensez à diviser l’audit en plusieurs phases, chacune menée par un évaluateur différent. Ne perdez pas de vue l’enjeu : protéger les données des détenteurs de cartes de crédit. 1. Suivre une approche structurée pour votre mise en conformité avec PCI DSS. Toute évaluation PCI DSS commence par une analyse de failles entre vos paramètres de sécurité actuels et ceux nécessaires à la norme. Ensuite vient la phase de remédiation au cours de laquelle l’entreprise réduit les écarts et la mise en conformité peut commencer. Comprendre qu’il est certainement bénéfique de confier toutes les étapes de la mise en conformité à une seule entreprise de QSA mais que ce n’est pourtant pas le meilleur moyen de mettre en place la norme PCI DSS. Employer un évaluateur différent pour faire l’analyse de failles, implementer les actions correctrices et faire l’assessment officiel assurera une évaluation plus rigoureuse, plus objective et moins complaisante que si la même personne gère toutes les phases. La mise en conformité de la norme PCI DSS doit être un processus continu. Il ne faut jamais oublier que la finalité de cette évaluation est de sécuriser les données des possesseurs de carte de crédit. (c) VigiTrust

34 La création et le suivi des équipes PCI DSS
Une équipe de PCI DSS efficace est essentielle pour une mise en conformité du PCI réussie en terme de plus grande sensibilisation à la sécurité, de l’application d’une politique de sécurité et de la mise en œuvre de solutions techniques. La première étape de la création d’une équipe de projet est de décider quels membres du personnel en feront partie. Qui doit faire partie de mon équipe PCI DSS ? A priori quiconque entrant dans le scope PCI DSS peut faire partie de cette équipe. Une équipe de projet PCI DSS est généralement composée de : Equipe informatique / directeur informatique Equipe du développement Equipe des ressources humaines Gestion des opérations Équipe de sécurité IT In-scope employees Fraud Operations Development Human Resources PCI Project Manager /Security Officer La création et le suivi des équipes PCI DSS Une équipe de PCI DSS efficace est essentielle pour une mise en conformité du PCI réussie en terme de plus grande sensibilisation à la sécurité, de l’application d’une politique de sécurité et de la mise en œuvre de solutions techniques. La première étape de la création d’une équipe de projet est de décider quels membres du personnel en feront partie. Qui doit faire partie de mon équipe PCI DSS ? A priori quiconque entrant dans le champ du PCI DSS peut faire partie de cette équipe. Une équipe de projet PCI DSS est généralement composée de : Equipe informatique / directeur informatique Equipe du développement Equipe des ressources humaines Gestion des opérations Equipe de sécurité (c) VigiTrust 34

35 Building & Maintaining PCI DSS Teams (3)
(c) VigiTrust

36 PCI DSS & ISO 27001 Scoping Un choix personnel du champ d’application opposé à celui de l’environnement des données de porteurs de cartes qui, lui, est imposé dans le PCI DSS. Travail de documentation Req 12 of PCI DSS should be req 1 Mélange des contrôles techniques, des politiques, procédures et formations Les mécanismes de validation sont manifestement différents, cependant L’utilisation de la norme ISO 27k dans le secteur du paiement permettra une mise en conformité avec la norme PCI DSS Il convient de prouver aux QSAs et aux ? Qu’une évaluation des risques a été faite et qu’un plan de traitement des risques est en place. Saturday, 25 March 2017 36 (c) VigiTrust

37 Critères de comparaison
PCI DSS & ISO (2) Critères de comparaison ISO27k PCI DSS Scope Définie par la norme Données du possesseur de carte Choix des contrôles Large Très dirigiste Flexibilité en terme d’implementation des contrôles Grande Faible Gestion du statut de conformité Très pointue et bien documentée Très rigide et incomplète Critères de comparaison Portée Choix des contrôles Flexibilité de mise en œuvre des contrôles (c) VigiTrust

38 Processus de certification
Le processus d’accréditation peut être pénible Vous pouvez être amené à travailler avec des QSA Vous devez investir temps et argent dans les technologies de sécurité, politiques et procédures et formation des utilisateurs Pour la plupart des entreprises, il s’agira de moderniser une stratégie de sécurité existante pour la faire entrer dans le cadre de la norme PCI DSS Time to Accreditation concept (TTA) Coût et rendement des investissements Processus de certification (c) VigiTrust

39 Les meilleures pratiques – Atteinte et suivi de la conformité avec la norme PCI DSS
Par quoi commencer ? Souvenez-vous des cinq étapes du processus d’accréditation Formation Evaluation préalable (interne) Remédiation Evaluation réelle Conformité continue Mélange des 3 éléments clés Politiques et procédures Solutions techniques Formation & sensibilisation Et ensuite ? Politiques et procédures : établir une liste des P&P en place dans votre entreprise Solutions techniques : mettre à jour votre diagramme de réseau et du pen test Formation à la sensibilisation : identifier les employés concernés et commencer le processus de formation Les meilleures pratiques –Atteinte et suivi de la conformité avec la norme PCI DSS Par quoi commencer ? Souvenez-vous des cinq étapes du processus d’accréditation. Formation Evaluation préalable (interne) Remédiation Evaluation réelle Conformité continue Mélange des 3 éléments clés Politiques et procédures Solutions techniques Formation à la sensibilisation Et ensuite ? Politiques et procédures : établir une liste des P&P en place dans votre entreprise Solutions techniques : mettre à jour votre diagramme de réseau et du pen test Formation à la sensibilisation : identifier les employés concernés et commencer le processus de formation (c) VigiTrust

40 3rd European PCI DSS Roadshow
Paris, Ambassade d’Irlande, 2 juillet 2013 Saturday, 25 March 2017 (c) VigiTrust

41 L’application de la norme dans le secteur Hôtelier: enjeux, défis spécifiques aux hôtels, étude de cas. (c) VigiTrust

42 Les enjeux et défis spécifiques aux hôtels (1)
Le secteur a un besoin essentiel d’accès aux données de cartes de crédit Le monde de l’hôtellerie s’appuie beaucoup sur les paiements par cartes de crédits. En effet cela permet aux clients de faire leur réservation, de régler à l’ avance, ainsi que de payer pour les services supplémentaires proposés par l’hôtel. L’application de la norme dans le secteur Hôtelier est accentuée par les problèmes de fraudes dans le secteur Volume croissant de paiement par cartes Peu ou pas de focus sur la sécurité informatique et réseaux Mélange d’employés en CDI, CDD et de contracteurs Menaces directement liées à l’utilisation du WiFi Nombre et complexité des systèmes typiquement utilisés par les chaines (QG, filliales, franchises) (c) VigiTrust

43 Les enjeux et défis spécifiques aux hôtels (2)
Changements de personel très fréquent Difficile et cher à former Acceptent souvent encore des paiements “papiers” Les employés ecrivent ou photocopient les CB Acceptent souvent que le client envoie ses données de cartes par mail le serveur mail est alors pris en compte dans le champ d’application de PCI DSS Doit vraiment avoir accès aux cartes pour guarantir les paiements et les services supplémentaires bars, spas, car valet service, parking, etc. Échange régulier de données de paiements entre entités La securité physique d’acces aux POS est a equilibrer avec le flux des employés et clients (c) VigiTrust

44 Groupes LinkedIn et autres

45 Zoom sur les groupements & associations de commerçants
Les programmes de mise en conformité de la norme PCI au Europe Développé par une banque acquéreuse, un service de traitement des paiements ou bien un regroupement de commerçants ou une association Communication aux commerçants sur la mise en conformité de la norme PCI DSS Mise en demeure de se conformer à la norme Avec des amendes possibles Ceci mène donc à une aide à la mise en conformité Les dépenses peuvent être à la charge du commerçant ou de l’organisme qui gère le programme. Les banques acquéreuses Les associations commerciales Les fédérations Les franchiseurs Une organisation qui chapeaute les commerçants en vue de les encadrer / conseiller (c) VigiTrust 45

Télécharger ppt "3rd European PCI DSS Roadshow"

Présentations similaires

Vous désirez offrir l accès internet à vos clients? Mais dans toute sécurité, facile et avantageux!

Vous désirez offrir l accès internet à vos clients? Mais dans toute sécurité, facile et avantageux!
Sécurité informatique

Sécurité informatique
BD Conseil & Formation présente.

BD Conseil & Formation présente.
Le Contrôle dans tous ses états. 2 A- Le Crédit Coopératif.

Le Contrôle dans tous ses états. 2 A- Le Crédit Coopératif.
1 Présentation Juillet 2009. Présentation de notre société

1 Présentation Juillet Présentation de notre société
MODIFICATION DES CODES DETERMINES PAR DES TABLE - PROCEDURES 6 septembre 2007 (Joël Martellet, WMO, World Weather Watch, Data Processing and Forecasting.

MODIFICATION DES CODES DETERMINES PAR DES TABLE - PROCEDURES 6 septembre 2007 (Joël Martellet, WMO, World Weather Watch, Data Processing and Forecasting.
Le point de vue de l’auditeur

Le point de vue de l’auditeur
D2 : Sécurité de l'information et des systèmes d'information

D2 : Sécurité de l'information et des systèmes d'information
Thierry Sobanski – HEI Lille

Thierry Sobanski – HEI Lille
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003

Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
La politique de Sécurité

La politique de Sécurité
L’entretien annuel Mai 2012.

L’entretien annuel Mai 2012.
Edwards Lifesciences transfert des dispositifs de classe 3. Ces dispositifs nécessite de nombreux de tests ainsi que de validations. Chaque d'équipement.

Edwards Lifesciences transfert des dispositifs de classe 3. Ces dispositifs nécessite de nombreux de tests ainsi que de validations. Chaque d'équipement.
PARTENAIRE SECURITE - 2 Avenue Aristide Briand 92220 Bagneux Tél : 01 58 07 01 01 Fax : 01 58 07 01 00 Lexternalisation de lopérationnel de votre Sécurité

PARTENAIRE SECURITE - 2 Avenue Aristide Briand Bagneux Tél : Fax : Lexternalisation de lopérationnel de votre Sécurité
> a patent search service supplied by Patents & Technology Surveys Ltd PROFESSIONAL ONLINE PATENT INFORMATION SERVICE.

> a patent search service supplied by Patents & Technology Surveys Ltd PROFESSIONAL ONLINE PATENT INFORMATION SERVICE.
Gestion du cycle de vie des applications Lotus Notes Ady Makombo Directeur Teamstudio France

Gestion du cycle de vie des applications Lotus Notes Ady Makombo Directeur Teamstudio France
Control des objectifs des technologies de l’information COBIT

Control des objectifs des technologies de l’information COBIT
La norme ISO et sa place dans les entreprises

La norme ISO et sa place dans les entreprises
Présentation Spécificités Générales Spécificités Produit Coup dœil dans les organisations Quattend le PDG dun responsable RH Le Rôle du responsable RH.

Présentation Spécificités Générales Spécificités Produit Coup dœil dans les organisations Quattend le PDG dun responsable RH Le Rôle du responsable RH.
Les exigences de la norme ISO 14001

Les exigences de la norme ISO 14001

Présentations similaires

Annonces Google