Solutions Techniques exigées par PCI DSS
Download
Report
Transcript Solutions Techniques exigées par PCI DSS
3rd European PCI DSS Roadshow
Paris, Ambassade d’Irlande, 2 juillet 2013
[email protected]
www.vigitrust.com
Monday, 13 April 2015
(c) VigiTrust 2003-2013
1
L’agenda d’aujourd’hui
Début
Fin
08:30
09:00
09:00
9:15
9:15
09:35
09:35
10:10
Détails
Intervenant(s)
Inscription
VigiTrust & Partnenaires
Note de bienvenue
Mr L’Ambassadeur d’Irlande en France,
Paul Kavanagh
L’évolution de PCI DSS – Impact en France
Mathieu Gorge, CEO, VigiTrust
Pour une approche
10:10
10:30
10:30
10:50
10:50
11:15
11:15
11:50
12:20
11:50
12:20
12:40
12.40
12:55
12.55
13.00
cost-effective de PCI
Gabriel Leperlier, PCI DSS
Verizon
Présentation des conclusions du rapport Verizon
Data Breach Investigation
Nicolas Villatte, EMEA Labs Manager,
Verizon Risk Team
Pause
Thé-Café-Patisseries
PCI DSS - Stockage&gestion des données
Jean-Marc Rietsch, Président , FedISA
PCI DSS est-elle une obligation vis à vis de la Loi
Informatique et Liberté ?
Isabelle Renard, Avocat Associée, Cabinet
Racine
Retour D’expérience : PCI DSS dans le Monde
Hôtelier
Marie-Christine Vittet, Directrice du
Programme PCI-DSS, Groupe ACCOR
Mise en Place d’une stratégie de mise en
conformité PCI DSS – meilleures pratiques
Mathieu Gorge, CEO
VigiTrust
Session Questions-Réponses
Tous Intervenants
Conclusion
VigiTrust
(c) VigiTrust 2003-2013
Mathieu Gorge
CEO & Founder, VigiTrust
European PCI DSS Roadshow
(Disclaimer: Outside Reviewer)
Monday, 13 April 2015
(c) VigiTrust 2003-2013
About VigiTrust
Compliance as a Service
1
2
3
SECURITY
TRAINING &
eLEARNING
COMPLIANCE,
READINESS &
VALIDATION
SECURITY &
GRC
SERVICES
Online training
for management
and staff
Comprehensive
online programs
to achieve and
maintain
compliance
Professional
services to enable
and support your
compliance
process
The 5 Pillars of Security Framework™
Physical Security; People Security; Data Security; IT Security; Crisis
Management
Existing eLearning Portfolio
eSEC Portfolio US –
Existing
US
•
•
•
•
•
•
•
•
•
•
•
HIPAA
NERC-CIP 101
MA 201
Understanding Data Breach
Notification Requirements
eSEC Portfolio Generic
Training - Existing
GEN.
•
•
•
•
•
Info Security 101
Mobility & Security
Security of Social Networks
Cloud Computing & Security 101
Physical Security for Good
Logical Security
eSEC Portfolio EMEA Existing
EMEA
Data Protection Fundamentals
Credit Card Security
Introduction to PCI DSS
Banking & Fraud
Green IT & Security
ISO IT & SDLC
Security During M&A Process
eSEC Portfolio Technical
Training - Existing
TECH.
•
•
•
•
Secure Coding for PCI DSS
Introduction to Secure Printing
Log Management & Security
Wireless Security
3rd Edition of the PCI DSS European Roadshow
Monday, 13 April 2015
(c) VigiTrust 2003-2013
6
l’Atelier PCI DSS – 1 Journée
L’atelier permet aux entreprises de comprendre :
• Les 4 niveaux pour les commerçants et les prestataires de service et quel
est celui qui vous correspond
• 12 exigences prévues par les normes et comment elles s’appliquent à votre
entreprise
• Les exigences et contrôles liés à la norme PCI DSS (formation, solutions
techniques, politiques et procédures)
• Comment former une équipe de PCI DSS
• Processus de conformité et de créativité
• Comment concevoir un plan de mise en conformité.
• Comment travailler en collaboration avec QSAs
• Comment mettre en place un programme continu de mise en conformité
de la norme PCI DSS
• Ce qu’il faut faire et ne pas faire pour la mise en conformité de la norme
PCI DSS.
(c) VigiTrust 2003-2012
PCI DSS
Le contexte en
France
(c) VigiTrust 2003-2013
Le secteur des paiements - Définition
La sécurité des paiements implique la gestion et la sécurisation des
données de paiement à tous les niveaux de l’entreprise : de
l’acceptation du paiement via la détection de la fraude, la réalisation
de l’opération, le service client, le funding ou la réconciliation des
paiements et la sauvegarde de la transaction.
La présence des données de paiement à toutes ces étapes met
l’entreprise en danger, que ces donnees soient sur les systèmes
informatiques de l’entreprise, les réseaux ou qu’elles soient visibles par
le personnel.
La présence des données de paiement… met l’entreprise
en danger.
Vous
devez
donc
parfaitement
maîtriser
le
fonctionnement de votre organisme et les flux de
données de paiement.
(c) VigiTrust 2003-2013
L’importance de la norme PCI DSS pour votre
entreprise.
• Mémo – Les menaces encourues par votre entreprise en
cas de non conformité à la norme.
–
–
–
–
–
Augmentation du nombre de fraudes
Préjudice subi par votre entreprise
Renouvellement des cartes des (le coût en incombe au commerçant)
Consommateur: perte de confiance
Mauvaise publicité pour votre entreprise :
• Montrée du doigt
• Atteinte à votre image de marque et à votre réputation
– Intérêt législatif – menace d’une intervention et réglementation
gouvernementale :
• Certains états des USA ont déjà introduit la norme PCI DSS dans la loi
• Cette norme deviendra une loi fédérale américaine dans 5 ans
• L’Europe suivra - Une nouvelle réglementation européenne est à noter
(c) VigiTrust 2003-2013
2011-12 – Une période mouvementée pour PCI DSS (1)
• Les entreprises U.S. sont toujours les plus conformes à PCI DSS
• Mais l’Europe avance à grands pas
– Nomination de Jeremy King comme European Director
– Une grande différence déjà notée en Europe
• Focus Spécifique sur des secteurs Verticaux
– Hôtels
– Casinos
• PCI DSS – nouvelle version publiée en octobre 2010 et
implementée depuis janvier 2011
– PCI DSS Lifecycle Update
– Changements ou manque de changements en v2.0
2011-12 – Une période mouvementée pour PCI DSS (2)
• Alignement de PA-DSS – PTS avec PCI DSS
• Considérations QSA
– Beaucoup de nouveaux QSAs depuis 2010
– Les cas “Heartland” & Global Payments
• Le QSA avait attesté de ma conformité
– QA program – est-il efficace?
– Sensibilisation des utilisateurs
• Recommandations eLearning & tests
– QSA se focalisent de plus en plus sur les politiques et procédures
en sécurité
• Adoption des technologies de Tokenization & Virtualization, Point to
Point Encryption
• Cloud & Mobility: New Guidance Documents
PCI DSS – 360º France
•
•
•
POs - très peu par rapport à la taille du marché
QSAs – 8…pour l’instant
PCI DSS chez les professionnels & associations de sécurité
–
–
–
•
Que font les banques?
–
–
–
•
•
•
Clusif
ISACA
ISSA
Des programmes en cours de développement
Mais attention au programmes de validation pure
Il faut éduquer les marchands avant qu’ils ne puissent valider leur conformité
Autres considérations sur ce marché
– CNIL
Visa Europe met la pression en France!
Franchises
PCI DSS Lifecycle
(c) VigiTrust 2003-2012
Gabriel Leperlier
Verizon
Nicolas Villatte
Verizon Risk Team
Jean-Marc Rietsch
FedISA
Isabelle Renard
Cabinet Racine
Marie-Christine Vittet
Groupe ACCOR
Mise en Place d’une
stratégie de mise en
conformité PCI DSS
Meilleures Pratiques
(c) VigiTrust 2003-2013
PCI DSS Structure
12 Requirements of PCI DSS
1.
2.
3.
4.
5.
6.
•
Install & maintain a firewall configuration to protect data
•
Do NOT use vendor supplied defaults for passwords or
other security parameter
•
Protect stored data
•
Encrypt the transmission of cardholder data
•
Use & regularly update anti-virus software
•
Develop & maintain secure systems & applications
•
Restrict access to data by business need-to-know
•
Assign a unique ID to each person with computer access
•
Restrict physical access to cardholder data
•
Track & monitor ALL access to network resources &
cardholder data
•
Regularly test security systems & processes
•
Maintain a policy that addresses information security
Build & Maintain
a Secure
Network
Protect
Cardholder data
Maintain a
Vulnerability
Management
Programme
Implement strong
Access Control
Measures
Regularly
monitor & Test
Networks
Maintain an
Information
Security Policy
Définition du Champ d’Application PCI DSS
• Scope your network’s perimeter to determine the ecosystem’s size
– Traditional Perimeter – either in or out of the firewall
– Cloud
•
Private / Public / Hybrid
– Wireless networks – also part of your ecosystem
– Mobile & I/O devices are also part of your ecosystem
•
Must be referenced in your asset inventory
• Diagrams are key
– Must cover your WHOLE ecosystem
– Must be kept up to date
• Flow of data between all ecosystem sub-areas must be clear
– Know where the data comes from, where it might transit through,
where it may be stored/copied, where it ends up
(c) VigiTrust 2003-2012
Comprendre les contrôles de la norme PCI DSS
• Sont accessibles via :
– Risk based approach
– Prioritized approach
• Les contrôles de la norme PCI DSS peuvent être répertoriés
comme suit :
– Contrôles techniques
– Politiques et procédures
– Mise en garde et formation des usagers
• Les contrôles peuvent contenir plusieurs points de contrôle
– Un mélange de contrôle(s) technique(s) et de politique/procédure
• Certains contrôles nécessitent par définition des tâches
répétitives :
– Scans trimestriels, Analyses de Logs, mise à jour de politiques de sécurité
– Plans de formation annuels
(c) VigiTrust 2003-2013
Understanding Your Ecosystem
(c) VigiTrust 2003-2013
(c) VigiTrust 2003-2013
Exigences PCI DSS en matière
Documentation
•
•
•
•
•
•
•
•
•
•
•
Diagrams and Data Flows
– Ecosystem Diagrams
– Data Flow Diagrams
– Network Diagrams
Asset Inventory
Acceptable Usage Policy for staff
Access Control Policy
Firewall Rules and Business Justification for Rules
AV, Anti-Spam and Intrusion Detection-Prevention Policy
Incident Response Plan
Hardening, Log and Patch Management Policy
Back-Up and Media Storage Policy
Security Assessment, Application Security & Vulnerability Management Policy
Management of Third Parties Policy
(c) VigiTrust 2003-2013
Solutions Techniques exigées par PCI DSS
•
•
•
•
•
•
•
•
•
•
Anti-Virus / Anti-Spam
Firewalls & VPNs
IDS/IPS
Web Filtering / Mail Filtering
IM monitoring
File Integrity
SIEM – Central Log solutions
Asset Management
PSD Mgt/Control
Encryption
• Onsite vs Managed Services Vs Cloud services?
(c) VigiTrust 2003-2012
Security & GRC Process
SOX
ISO 27000 series
EU Data
Protection
PCI DSS
HIPAA
Others
Regulatory, Legal & Corporate Governance Frameworks
Policies &
Procedures
Education,
Security &
Awareness
SelfGoverned
PreAssessment
Remediation
Work
Network &
Hardware Security
Application
Security
Official
Assessors &
Auditors
Specialized Skills
Transfer
Step 1
Step 2
Step 3
(c) VigiTrust 2003-2013
Step 4
Step 5
5 Pillars of Security Framework™
Chief Security Officer
Project leader for all Security Related Matters
PHYS.
PPL
DATA
Sec
Sec
Sec
PHYSICAL
SECURITY
PEOPLE
SECURITY
DATA
SECURITY
•
Access to
Building
•
•
Trade Secrets
•
Physical
Assets
•
Partners
Employee
Data
•
3rd Party
Employees
•
•
•
IT Hardware
Vehicle Fleet
Operations Manager,
Security Staff
Permanent &
Contract Staff
•
Visitors
•
Special Events
Security
HR, Security Staff
INFRA
Sec
CRISIS
Mgt
INFRASTRUCTURE
SECURITY
CRISIS
MANAGEMENT
•
Networks
•
Remote Sites
•
Remote Users
•
Database
•
•
Customer
Data
Application
Security
•
Website
•
Intranet
HR, IT Team &
Manager
IT Team & Manager
Best Practice Security Framework for Enterprise
•
Documentation
& Work
Procedures
•
Emergency
Response Plans
•
Business
Continuity Plans
•
Disaster
Recovery Plans
Operations Manager,
IT Team, HR
Les 5 meilleurs conseils pour bien travailler avec
les QSAs (1)
Comprendre le processus d’accréditation à la norme avant que l’évaluateur ait à
vous l’expliquer.
1. Formation – Assurez-vous que votre équipe de PCI DSS – organes décisionnels, DRH, IT, le
personnel spécialisé – maîtrise parfaitement les exigences de la norme et le mécanisme de validation
qui correspond à votre entreprise
2. Pre-assessment – Votre entreprise doit effectuer elle-même un audit afin de déterminer son
propre niveau de sécurité actuel par rapport aux contrôles demandés par la norme
3. Phase de remédiation – Afin d’être tout à fait prêt pour la validation de la norme, votre entreprise
aura besoin de:
(a) politiques et procédures (b) solutions techniques (c) session de sensibilisation pour les
utilisateurs
C’est la phase la plus longue car elle implique de corriger voire de mettre en œuvre des changements
dans votre réseau (par exemple segmenter votre réseau afin de réduire le champ du PCI DSS). Ceci
nécessite un certain budget, du temps et du temps homme.
4. Le QSA fait le PCI DSS Assessment certifiant
5. Conformité continue – Vous devez mettre en place un process afin de vous assurer que vous
êtes toujours en conformité. Ceci implique des audits internes réguliers, une mise à jour des solutions
techniques, des scans et des tests d’intrusion, des politiques et procédures actualisées, former les
nouvelles recrues et reformer le personnel en place.
(c) VigiTrust 2003-2012
Les 5 meilleurs conseils pour bien
travailler avec les QSAs (2)
Pensez à diviser l’audit en plusieurs phases, chacune menée par un évaluateur
différent. Ne perdez pas de vue l’enjeu : protéger les données des détenteurs de
cartes de crédit.
1.
Suivre une approche structurée pour votre mise en conformité avec PCI DSS.
Toute évaluation PCI DSS commence par une analyse de failles entre vos paramètres de sécurité
actuels et ceux nécessaires à la norme. Ensuite vient la phase de remédiation au cours de laquelle
l’entreprise réduit les écarts et la mise en conformité peut commencer.
2. Comprendre qu’il est certainement bénéfique de confier toutes les étapes de la mise en
conformité à une seule entreprise de QSA mais que ce n’est pourtant pas le meilleur moyen de
mettre en place la norme PCI DSS.
Employer un évaluateur différent pour faire l’analyse de failles, implementer les actions
correctrices et faire l’assessment officiel assurera une évaluation plus rigoureuse, plus objective et
moins complaisante que si la même personne gère toutes les phases.
La mise en conformité de la norme PCI DSS doit être un processus continu. Il ne faut jamais oublier
que la finalité de cette évaluation est de sécuriser les données des possesseurs de carte de crédit.
(c) VigiTrust 2003-2012
La création et le suivi des équipes PCI DSS
Une équipe de PCI DSS efficace est
essentielle pour une mise en conformité du
PCI réussie en terme de plus grande
sensibilisation à la sécurité, de l’application
d’une politique de sécurité et de la mise en
œuvre de solutions techniques. La première
étape de la création d’une équipe de projet
est de décider quels membres du personnel
en feront partie.
IT
Human
Resources
PCI
Project
Manager
/Security
Officer
Qui doit faire partie de mon équipe PCI DSS
?
A priori quiconque entrant dans le scope PCI
DSS peut faire partie de cette équipe. Une
équipe de projet PCI DSS est généralement
composée de :
•
•
•
•
•
In-scope
employees
Development
Equipe informatique / directeur
informatique
Equipe du développement
Equipe des ressources humaines
Gestion des opérations
Équipe de sécurité
(c) VigiTrust 2003-2012
Fraud
Operations
Building & Maintaining PCI DSS Teams (3)
User Awareness
Technical Solutions
Policy Work
January 2012
April 2012
July 2012
October 2012
January 2013
Finalise DR
Scenarios + ERPs
April 2013
July 2013
Develop and Roll out
Storage Policy
Develop and Roll-out
Change Management
procedures
Roll out Encrypted Email usage policy
Deploy new version of Anti-Virus on All
Gateways
Review all Firewall
Configuration
settings
Awareness
Strategic Session
with HR Manager
Install Laptop Encryption Software for
all laptop & PDA users
Decommissioning of old Helpdesk system + Rollout of new Helpdesk and CRM integrated solution
Install and test all back-up systems at DR site
Staff Awareness Program – Phase 1
Security
Awareness
presentation
to the Board
Install Laptop Encryption Software for
managers
Design helpdesk
Support & Shared
Knowledge Base
Policy
Test all back-up Tape Units + Upgrade B-up S/w
Roll-out VPN to all
remote branches
Fine Tune Internet &
Web Content Filters
January 2014
Roll out Tele-Working
Policy
Disseminate AUPs
Finalise AUPs
October 2013
HR Training on
how to deal with
Security Incidents
Senior Managers
Refresher
Program Program
Staff Awareness Campaign – Posters, Flyers, Security Events
E-mail Etiquette
Training to Sales Satff
Staff Awareness Program – Phase 2
(c) VigiTrust 2003-2012
Staff Re-Fresher Sessions
PCI DSS & ISO 27001
•
•
•
•
•
Scoping
– Un choix personnel du champ d’application opposé à celui de
l’environnement des données de porteurs de cartes qui, lui, est imposé
dans le PCI DSS.
Travail de documentation
– Req 12 of PCI DSS should be req 1
Mélange des contrôles techniques, des politiques, procédures et formations
Mélange des contrôles techniques, des politiques, procédures et formations
Les mécanismes de validation sont manifestement différents, cependant
– L’utilisation de la norme ISO 27k dans le secteur du paiement permettra
une mise en conformité avec la norme PCI DSS
– Il convient de prouver aux QSAs et aux ? Qu’une évaluation des risques a
été faite et qu’un plan de traitement des risques est en place.
Monday, 13 April 2015
(c) VigiTrust 2003-2012
36
PCI DSS & ISO 27001 (2)
Critères de comparaison
ISO27k
PCI DSS
Définie par la norme
Données du possesseur de carte
Large
Très dirigiste
Flexibilité en terme
d’implementation des contrôles
Grande
Faible
Gestion du statut de conformité
Très pointue et bien documentée
Très rigide et incomplète
Scope
Choix des contrôles
(c) VigiTrust 2003-2012
Processus de
certification
• Le processus d’accréditation peut
être pénible
• Vous pouvez être amené à
travailler avec des QSA
• Vous devez investir temps et
argent dans les technologies de
sécurité, politiques et procédures
et formation des utilisateurs
• Pour la plupart des entreprises, il
s’agira de moderniser une
stratégie de sécurité existante
pour la faire entrer dans le cadre
de la norme PCI DSS
• Time to Accreditation concept
(TTA)
• Coût et rendement des
investissements
(c) VigiTrust 2003-2013
Les meilleures pratiques – Atteinte et suivi de la
conformité avec la norme PCI DSS
• Par quoi commencer ?
– Souvenez-vous des cinq étapes du processus d’accréditation
•
•
•
•
•
Formation
Evaluation préalable (interne)
Remédiation
Evaluation réelle
Conformité continue
– Mélange des 3 éléments clés
• Politiques et procédures
• Solutions techniques
• Formation & sensibilisation
– Et ensuite ?
• Politiques et procédures : établir une liste des P&P en place dans votre entreprise
• Solutions techniques : mettre à jour votre diagramme de réseau et du pen test
• Formation à la sensibilisation : identifier les employés concernés et commencer le
processus de formation
(c) VigiTrust 2003-2012
3rd European PCI DSS Roadshow
Paris, Ambassade d’Irlande, 2 juillet 2013
[email protected]
www.vigitrust.com
Monday, 13 April 2015
(c) VigiTrust 2003-2013
40
L’application de la norme dans
le secteur Hôtelier: enjeux,
défis spécifiques aux hôtels,
étude de cas.
(c) VigiTrust 2003-2013
Les enjeux et défis spécifiques aux hôtels (1)
• Le secteur a un besoin essentiel d’accès aux données
de cartes de crédit
– Le monde de l’hôtellerie s’appuie beaucoup sur les paiements par cartes de
crédits. En effet cela permet aux clients de faire leur réservation, de régler à l’
avance, ainsi que de payer pour les services supplémentaires proposés par
l’hôtel.
• L’application de la norme dans le secteur Hôtelier est
accentuée par les problèmes de fraudes dans le
secteur
–
–
–
–
–
Volume croissant de paiement par cartes
Peu ou pas de focus sur la sécurité informatique et réseaux
Mélange d’employés en CDI, CDD et de contracteurs
Menaces directement liées à l’utilisation du WiFi
Nombre et complexité des systèmes typiquement utilisés par les chaines (QG,
filliales, franchises)
(c) VigiTrust 2003-2013
Les enjeux et défis spécifiques aux hôtels (2)
• Changements de personel très fréquent
– Difficile et cher à former
• Acceptent souvent encore des paiements “papiers”
– Les employés ecrivent ou photocopient les CB
• Acceptent souvent que le client envoie ses données de cartes
par mail
– le serveur mail est alors pris en compte dans le champ d’application de
PCI DSS
• Doit vraiment avoir accès aux cartes pour guarantir les
paiements et les services supplémentaires
– bars, spas, car valet service, parking, etc.
• Échange régulier de données de paiements entre entités
• La securité physique d’acces aux POS est a equilibrer avec le
flux des employés et clients
(c) VigiTrust 2003-2013
Groupes LinkedIn et autres
Zoom sur les groupements &
associations de commerçants
•
•
•
•
•
Les banques acquéreuses
Les associations commerciales
Les fédérations
Les franchiseurs
Une organisation qui chapeaute
les commerçants en vue de les
encadrer / conseiller
• Les programmes de mise en
conformité de la norme PCI au
Europe
– Développé par une banque acquéreuse,
un service de traitement des paiements
ou bien un regroupement de
commerçants ou une association
– Communication aux commerçants sur la
mise en conformité de la norme PCI DSS
• Mise en demeure de se conformer à la
norme
• Avec des amendes possibles
• Ceci mène donc à une aide à la mise en
conformité
• Les dépenses peuvent être à la charge du
commerçant ou de l’organisme qui gère le
programme.
(c) VigiTrust 2003-2013