Le standard PCI DSS (Payment Card

Industry Data Security Standard)

Sommaire
 Pourquoi le standard PCI DSS?

 Les niveaux de conformité et de validation

 Les données de titulaire de carte

 Les considérations juridiques

 Exécution d’un audit PCI DSS

 Réduction des frais grâce à l’automatisation

Qu’est-ce que c’est la standard PCI DSS (Payment
Card Industry Data Security Standard)?
 Le standard PCI DSS de sécurité de données de l'industrie de carte
de paiement est un ensemble normes déterminées par les principales
institutions financières de cartes de paiement notamment VISA et
MasterCard dans le but de protéger les données de cartes de crédit
et de débit

 Jusqu'ici, ces conditions régissent tous les canaux de paiement

comprenant les ventes au détail, les ventes par correspondance, les
commandes par téléphone et l'e-commerce

 Au départ c'était une norme séparée de sécurité de l'information,

cependant, elle est maintenant devenue un standard global de
sécurité
Pourquoi le standard PCI DDS est-il requis?
 Le vol et la fraude de données de détenteur de carte existent depuis
le milieu des années 80 et ceci a incité Visa d’établir le premier
programme de sécurité

 La récente infraction de sécurité perpétrée chez TJX au cours de

laquelle au moins 45.6 millions de numéros de cartes de crédit et de
débit ont été volés par des intrus qui s’étaient introduits au sein de
son réseau souligne le besoin accru d’une plus grande sécurité

 Selon InformationWeek, les intrus peuvent vendre des données de

cartes de crédit volées sur le marché noir à un prix de USD 490$ pour
une carte avec un numéro secret d’identification personnel ( PIN)
PCI Data Security Standard v1.1 (1/3)
 Le standard PCI DSS impose 12 conditions de sécurité qui peuvent
être groupées dans trois domaines principaux :
> Collection et stockage de tous les enregistrements de données de sorte
qu'ils soient disponibles pour l'analyse
> Compte rendu de toutes les activités afin de pouvoir prouver la
conformité sur demande
> Surveillance et alertes par lesquelles les administrateurs peuvent
constamment surveiller l'accès et l'utilisation des données et sont avertis
immédiatement en cas de problèmes
PCI Data Security Standard v1.1 (2/3)
 Le cadre du standard PCI DSS consiste également de six catégories
suivantes :

Catégories du standard PCI DSS

Construire et maintenir une infrastructure sécurisée

Protéger les données de propriétaire de carte de paiement
Maintenir un programme de gestion des vulnérabilités
Implémenter des mesures strictes de contrôles d'accès
Surveiller et tester régulièrement les réseaux d'information
Maintenir une politique de sécurité d’information
 PCI Data Security Standard v1.1 (3/3)
Conditions du standard PCI DSS
1. Installez et entretenez une configuration de firewall pour protéger les données de détenteurs de cartes

2. N’utilisez pas de mots de passe fournis par des fournisseurs ou tout autre paramètre de sécurité par défaut

3. Protégez les données stockées

4. Cryptez la transmission des données de titulaire de carte et de toute information sensible à travers les réseaux publics

5. Utilisez et mettez à jour régulièrement les logiciels ou programmes antivirus

6. Développez et maintenez la sécurité de vos systèmes et de vos applications

7. Limitez l'accès aux seules données de titulaire de carte dont l'utilisateur a besoin ("business need-to-know'")

8. Assignez un identifiant unique à chaque personne ayant accès à l'ordinateur

9. Limitez l'accès physique aux données de titulaire de la carte de paiement

10. Traquez et surveillez tout accès aux ressources du réseau et aux données de titulaire de carte de paiement

11. Testez régulièrement les systèmes et les processus de sécurité

12. Maintenez une politique axée sur la sécurité de l'information pour vos employés et les entrepreneurs
Qu’est-ce que c’est « les données de titulaire de
carte »?
Toute information d'une carte de crédit/débit utilisée dans une transaction
- [Link]

 Eléments d'information de titulaire de carte

> Numéro de compte principal (PAN)
> Nom de titulaire de carte
1234
> Date d’échéance

 Données Sensibles d'Authentification

> Données de la piste magnétiques
> Code de validation de carte (CVC) 123

> Numéro d'identification personnelle (PIN)

Stockage de données de titulaire de carte
 Le standard PCI DSS protège les données de titulaire de carte

 ll est autorisé de stocker les détails suivants aussi longtemps qu'ils

sont chiffrés, hachés ou tronqués :
> Numéro de compte principal (PAN), Nom de titulaire de carte, date
d’échéance, Code de service
Déroulement d’une transaction typique

Internet
Payment Gateway
Ž

$ 0.00

Merchant Merchant’s Bank


Œ
Credit Card
1234 5678 9012 3456
DATE: 01/01 Credit
Card
John Doe

Customer
purchase

ŽLaLeUnpasserelle
Œ
 banque garante
négociant de paiement
client emploie consulte
soumet
une effectue
lacarte la
decentrale
transaction ladetransaction
crédit d’échange
pour
carte
payer
de
depar
cartes
l'intermédiaire
les decrédit
crédità ‘Credit
marchandises lad'une Card
connexion
passerelle
achetées Interchange’
de
chezsécurisée
paiementpour
vers
obtenir
un négociant la
Credit Card Interchange
l’autorisation
banque garante de la
dutransaction
négociant
Qui doit se conformer au standard PCI DSS?
 A partir du 30 septembre 30, 2007 toutes les entreprises manipulant
les données de carte de paiement –indépendamment de leur taille–
doivent se conformer aux standards stricts de sécurité fixés par les
principales institutions financières de carte de paiement

 Ceci s’applique à toutes les organisations où les données de carte de

paiement sont:
> Stockées
> Transmises
> Traitées

 Toutes les organisations décrites comme négociants ou fournisseurs

de services doivent se conformer
Les négociants
 Les organisations qui acceptent le paiement par carte de crédit

 Exemples de secteurs affectés

> Commerce en ligne (par exemple [Link])
> Vente au détail (par exemple Wal-Mart)
> Enseignement supérieur (par exemple les universités)
> Santé (par exemple les hôpitaux)
> Voyage et divertissement (par exemple les restaurants)
> Energie (par exemple les stations de carburants)
> Finance (par exemple les compagnies d’assurance)
Niveaux de conformité des négociants
NIVEAUX DE NEGOCIANTS

Niveau 1

 Les négociants dont des données de titulaire de carte ont été compromises

 Les négociants effectuant plus de six millions de transactions annuelles de

carte de paiement
Niveau 2

 Les négociants effectuant entre 1 et 6 millions de transactions annuelles de

cartes de paiement
Niveau 3

 Les négociants effectuant entre 20.000 et 1.000.000 de transactions

annuelles de cartes de paiement
Niveau 4

 Tous les autres négociants

Les fournisseurs de services
 Entités qui fournissent des services aux négociants

 Exemples de services
> Passerelles de paiement (par exemple PayPal)
> Services de traitement de paiements
> Fournisseurs de service d’e-commerce
> Fournisseurs de service de contrôle
> Agences de contrôle de solvabilité
> Entreprises de gestion d’enregistrements de secours
> Entreprises de destruction de documents
Niveaux de conformité des fournisseurs de
services
NIVEAUX DE FOURNISSEURS DE SERVICES

Niveau 1

 Tous les agents de traitement et toutes les passerelles de paiement

Niveau 2

 Tout fournisseur de services qui n’est pas de Niveau 1 avec plus de 1 million
de transactions de comptes de cartes de crédit par an
Niveau 3

 Tout fournisseur de services qui n’est pas du Niveau 1 avec moins de 1

million de transactions de comptes de cartes de crédit par an
 Procédures de conformité au standard PCI DSS
Négociant Audit de sécurité sur Questionnaire Balayage de réseau
place exigé d’autocontrôle exigé exigé
Niveau 1 Annuellement Trimestriellement

Niveau 2 Annuellement Trimestriellement

Niveau 3 Annuellement Trimestriellement

Niveau 4 Annuellement Trimestriellement

Fournisseur de service

Niveau 1 Annuellement Trimestriellement

Niveau 2 Annuellement Trimestriellement

Niveau 3 Annuellement Trimestriellement

Par: Assesseur de sécurité Interne Vendeur de balayage

agréé agréé
Document : Rapport de conformité Questionnaire Compte rendu du
d’autocontrôle balayage
Données de titulaire de carte compromises
« L’intrusion sur un ordinateur où la divulgation non autorisée, la
modification ou la destruction de données de titulaire de carte est
suspectée »

- PCI DSS glossary

 Plan de réponse à un incident
> Condition 12.9

 Pourquoi rapporter une compromission de données?

> Limiter les dégâts

 Canaux de rapportage d’incidents

> Équipe interne de réponse aux incidents
> Associations et banques garantes de carte de crédit
> Agences locales d’application de la loi

 Qui court le risque d’une compromission?

Conséquences
 Financières
> Peut mener à des amendes pouvant atteindre $500.000 USD et des
coûts élevés des procès

 Réputation
> Un mauvais incident peut avoir un grand impact sur l’image de marque
d’un produit et d’une entreprise
> Implication d’agences d’application de la loi

 Opérationnelles
> Niveaux 2, 3 ou 4 + compromise = Niveau 1
> Pourrait mener à une perte éventuelle de privilèges de traitement de
données de carte
Préparation à la conformité au standard PCI DSS
 Familiarisez-vous avec les conditions du standard PCI DSS

 Identifiez toutes les données de titulaire de carte et enlevez les

données qui ne sont pas nécessaires

 Effectuez une analyse de sécurité

 Créez un plan d'action et au besoin, consultez des experts pour

obtenir un conseil
 Frais de conformité au standard PCI DSS
Négociant Audit de sécurité sur Questionnaire Balayage de réseau
place exigé d’autocontrôle exigé exigé
Niveau 1 Annuellement Trimestriellement

Niveau 2 Annuellement Trimestriellement

Niveau 3 Annuellement Trimestriellement

Niveau 4 Annuellement Trimestriellement

Fournisseur de
service
Niveau 1 Annuellement Trimestriellement

Niveau 2 Annuellement Trimestriellement

Niveau 3 Annuellement Trimestriellement

Par : Assesseur de sécurité Interne Vendeur de balayage

agréé agréé
Document : Rapport de conformité Questionnaire Compte rendu du
d’autocontrôle balayage
Pain points
 Maintenir la sécurité des systèmes et des applications
> Inspecter votre réseau
> Balayage de vulnérabilité
> Déployer les patches/service packs

 Surveiller le réseau
> Enregistrer l’activité d’utilisateur
> Enregistrer l’accès aux données de
titulaire de carte
> Alerter à propos d’importants événements

 Fournir une preuve appuyée par des documents

> Maintenir la sécurité des systèmes
> Surveiller toutes les activités
> Entreprendre une action réparatrice
Automatisation par logiciel
Réduisez considérablement les tâches manuelles, répétitives :

 Inspections de réseau

 Gestion des vulnérabilités

 Surveillance des activités

 Alertes en temps réel

 Actions correctives

 Création de rapports
 PCI DSS et les produits de sécurité de réseau de GFI
Les conditions du standard PCI DSS GFI GFI
EventsManager LANguard N.S.S.

1. Installez et maintenez un firewall pour protéger les données de titulaire de carte  

N’utilisez pas de mots de passe fournis par des fournisseurs ou tout autre
2.  
paramètre de sécurité par défaut
3. Protégez les données de titulaire de carte stockées 

Cryptez la transmission des données de titulaire de carte et de toute information

4.
sensible à travers les réseaux publics

5. Utilisez et mettez à jour régulièrement vos logiciels ou programmes antivirus 

6. Développez et maintenez la sécurité de vos systèmes et de vos applications 

Limitez l'accès aux seules données de titulaire de carte dont l'utilisateur a besoin
7. 
("business need-to-know'").

8. Assignez un identifiant unique à chaque personne ayant accès à l'ordinateur  

9. Limitez l'accès physique aux données de titulaire de la carte de paiement

Traquez et surveillez tout accès aux ressources du réseau et aux données de
10. titulaire de carte de paiement
 

11. Testez régulièrement les systèmes et les processus de sécurité  

Maintenez une politique axée sur la sécurité de l'information pour vos employés et
12.
les entrepreneurs
Avantages d’investissement
 Automatisation
> Réduction des tâches manuelles et répétitives
> Réduction du fardeau d’administrateur
> Déclenchement de mesures correctives proactives

 Protection
> Complément de votre politique de sécurité
> Notification en cas de menaces de sécurité potentielles
> Vous rassure sur la sécurité de votre système

 Economies
> Prévention d’amendes pour non-conformité au standard PCI DSS
> Elimination des frais de consultation externe
> Continuité d’affaires
Conclusion
 Etant donné que les entreprises courent constamment le risque de
perdre les données sensibles de détenteur de carte, qui pourrait avoir
comme conséquences des amendes, des poursuites judiciaires et de
la mauvaise publicité, la réalisation de la conformité au PCI DSS
devrait être la priorité à l'ordre du jour des entreprises qui stockent,
transmettent ou traitent des données de carte de paiement

 La conformité au standard PCI DSS doit être effectuée en septembre

2007 – ceci est la date limite fixée par les institutions financières de
cartes de crédit/débit

 GFI Software offre deux produits de ce genre aux entreprises, GFI

EventsManager et GFI LANguard Network Security Scanner (N.S.S.),
pour les aider dans leurs efforts de se conformer au standard PCI
DSS
GFI en bref
 Fondée en 1992
 La vision
Devenir la technologie de
 Plus de 200 employés dans le monde entier choix lorsqu’il s’agit des
solutions de sécurité et de
 Bureaux à Malte, Londres, Raleigh, Hong la productivité.
Kong et Adélaïde  La mission
Fournir aux professionnels
 Produits de GFI installés sur plus de de l’informatique à travers
le monde, des solutions
200.000 réseaux d’entreprises dans le rentables de qualité de
monde entier, des PMEs pour la plupart sécurité de contenu, de
sécurité de réseau et de
 Entreprise spécialisée avec plus de 10.000 messagerie.
partenaires à travers le monde