Thursday, 07 November 2013 (c) VigiTrust 2003-2013 1 [email protected] 3 rd European PCI DSS Roadshow Paris, Ambassade dIrlande,

Tuesday 11 April 2023 (c) VigiTrust 2003-2013 1

[email protected]

www.vigitrust.com

3rd European PCI DSS Roadshow

Paris, Ambassade d’Irlande, 2 juillet 2013

mailto:[email protected]

L’agenda d’aujourd’hui

(c) VigiTrust 2003-2013

Début Fin Détails Intervenant(s)

08:30 09:00Inscription VigiTrust & Partnenaires

09:00 9:15Note de bienvenue

Mr L’Ambassadeur d’Irlande en France, Paul Kavanagh

9:15 09:35L’évolution de PCI DSS – Impact en France Mathieu Gorge, CEO, VigiTrust

09:35 10:10Pour une approche cost-effective de PCI

Gabriel Leperlier, PCI DSSVerizon

10:10 10:30 Présentation des conclusions du rapport Verizon Data Breach Investigation

Nicolas Villatte, EMEA Labs Manager, Verizon Risk Team

10:30 10:50Pause Thé-Café-Patisseries

10:50 11:15PCI DSS - Stockage&gestion des données Jean-Marc Rietsch, Président , FedISA

11:15 11:50 PCI DSS est-elle une obligation vis à vis de la Loi Informatique et Liberté ?

Isabelle Renard, Avocat Associée, Cabinet Racine

11:50 12:20 Retour D’expérience : PCI DSS dans le Monde Hôtelier

Marie-Christine Vittet, Directrice du Programme PCI-DSS, Groupe ACCOR

12:20 12:40 Mise en Place d’une stratégie de mise en conformité PCI DSS – meilleures pratiques

Mathieu Gorge, CEOVigiTrust

12.40 12:55Session Questions-Réponses Tous Intervenants

12.55 13.00Conclusion VigiTrust

Mathieu Gorge CEO & Founder, VigiTrust

Tuesday 11 April 2023 (c) VigiTrust 2003-2013

European PCI DSS Roadshow

(Disclaimer: Outside Reviewer)

About VigiTrust

Compliance as a Service

31 2SECURITY TRAINING & eLEARNING

Online training for management and staff

COMPLIANCE, READINESS & VALIDATION

Comprehensive online programs to achieve and maintain compliance

SECURITY & GRC SERVICES

Professional services to enable and support your compliance process

The 5 Pillars of Security Framework™Physical Security; People Security; Data Security; IT Security; Crisis Management

eSEC Portfolio US – eSEC Portfolio US – ExistingExisting

•HIPAA

•NERC-CIP 101

•MA 201

•Understanding Data Breach Notification Requirements

USUS

Existing eLearning PortfolioExisting eLearning Portfolio

eSEC Portfolio EMEA - eSEC Portfolio EMEA - ExistingExisting

•Data Protection Fundamentals•Credit Card Security•Introduction to PCI DSS•Banking & Fraud•Green IT & Security•ISO IT & SDLC•Security During M&A Process

EMEAEMEA

eSEC Portfolio Generic eSEC Portfolio Generic Training - ExistingTraining - Existing

•Info Security 101•Mobility & Security•Security of Social Networks•Cloud Computing & Security 101•Physical Security for Good Logical Security

GEN.GEN. eSEC Portfolio Technical eSEC Portfolio Technical Training - ExistingTraining - Existing

•Secure Coding for PCI DSS•Introduction to Secure Printing•Log Management & Security•Wireless Security

TECH.TECH.


3rd Edition of the PCI DSS European Roadshow

l’Atelier PCI DSS – 1 Journée

L’atelier permet aux entreprises de comprendre :

• Les 4 niveaux pour les commerçants et les prestataires de service et quel est celui qui vous correspond

• 12 exigences prévues par les normes et comment elles s’appliquent à votre entreprise

• Les exigences et contrôles liés à la norme PCI DSS (formation, solutions techniques, politiques et procédures)

• Comment former une équipe de PCI DSS• Processus de conformité et de créativité• Comment concevoir un plan de mise en conformité.• Comment travailler en collaboration avec QSAs • Comment mettre en place un programme continu de mise en conformité

de la norme PCI DSS • Ce qu’il faut faire et ne pas faire pour la mise en conformité de la norme

PCI DSS.


PCI DSS Le contexte en

France


Le secteur des paiements - Définition La sécurité des paiements implique la gestion et la sécurisation des données de paiement à tous les niveaux de l’entreprise : de l’acceptation du paiement via la détection de la fraude, la réalisation de l’opération, le service client, le funding ou la réconciliation des paiements et la sauvegarde de la transaction.

La présence des données de paiement à toutes ces étapes met l’entreprise en danger, que ces donnees soient sur les systèmes informatiques de l’entreprise, les réseaux ou qu’elles soient visibles par le personnel.

La présence des données de paiement… met l’entreprise en danger.

Vous devez donc parfaitement maîtriser le fonctionnement de votre organisme et les flux de données de paiement.


L’importance de la norme PCI DSS pour votre entreprise.

• Mémo – Les menaces encourues par votre entreprise en cas de non conformité à la norme.– Augmentation du nombre de fraudes– Préjudice subi par votre entreprise– Renouvellement des cartes des (le coût en incombe au commerçant)– Consommateur: perte de confiance– Mauvaise publicité pour votre entreprise :

• Montrée du doigt• Atteinte à votre image de marque et à votre réputation

– Intérêt législatif – menace d’une intervention et réglementation gouvernementale :

• Certains états des USA ont déjà introduit la norme PCI DSS dans la loi• Cette norme deviendra une loi fédérale américaine dans 5 ans• L’Europe suivra - Une nouvelle réglementation européenne est à noter


2011-12 – Une période mouvementée pour PCI DSS (1)• Les entreprises U.S. sont toujours les plus conformes à PCI DSS• Mais l’Europe avance à grands pas

– Nomination de Jeremy King comme European Director– Une grande différence déjà notée en Europe

• Focus Spécifique sur des secteurs Verticaux– Hôtels– Casinos

• PCI DSS – nouvelle version publiée en octobre 2010 et implementée depuis janvier 2011– PCI DSS Lifecycle Update – Changements ou manque de changements en v2.0

2011-12 – Une période mouvementée pour PCI DSS (2)• Alignement de PA-DSS – PTS avec PCI DSS• Considérations QSA

– Beaucoup de nouveaux QSAs depuis 2010– Les cas “Heartland” & Global Payments

• Le QSA avait attesté de ma conformité– QA program – est-il efficace?– Sensibilisation des utilisateurs

• Recommandations eLearning & tests– QSA se focalisent de plus en plus sur les politiques et procédures en

sécurité• Adoption des technologies de Tokenization & Virtualization, Point to Point

Encryption• Cloud & Mobility: New Guidance Documents

PCI DSS – 360º France• POs - très peu par rapport à la taille du marché• QSAs – 8…pour l’instant • PCI DSS chez les professionnels & associations de sécurité

– Clusif– ISACA– ISSA

• Que font les banques?– Des programmes en cours de développement– Mais attention au programmes de validation pure– Il faut éduquer les marchands avant qu’ils ne puissent valider leur conformité

• Autres considérations sur ce marché– CNIL

• Visa Europe met la pression en France!• Franchises

PCI DSS Lifecycle


Gabriel Leperlier Verizon

Nicolas Villatte Verizon Risk Team

Jean-Marc RietschFedISA

Isabelle Renard Cabinet Racine

Marie-Christine VittetGroupe ACCOR

Mise en Place d’une stratégie de mise en conformité PCI DSS Meilleures Pratiques


PCI DSS Structure • Install & maintain a firewall configuration to protect data

• Do NOT use vendor supplied defaults for passwords or other security parameter

1.1.

12 R

equ

irem

ents

of

PC

I DS

S12

Req

uir

emen

ts o

f P

CI D

SS

22..

33..

44..

55..

66..

• Protect stored data

• Encrypt the transmission of cardholder data

• Use & regularly update anti-virus software

• Develop & maintain secure systems & applications

• Restrict access to data by business need-to-know

• Assign a unique ID to each person with computer access

• Restrict physical access to cardholder data

• Track & monitor ALL access to network resources & cardholder data

• Regularly test security systems & processes

• Maintain a policy that addresses information security

Build & Maintain a Secure Network

Protect Cardholder data

Maintain a Vulnerability Management Programme

Implement strong Access Control

Measures

Regularly monitor & Test

Networks

Maintain an Information

Security Policy

Définition du Champ d’Application PCI DSS

• Scope your network’s perimeter to determine the ecosystem’s size– Traditional Perimeter – either in or out of the firewall– Cloud

• Private / Public / Hybrid

– Wireless networks – also part of your ecosystem– Mobile & I/O devices are also part of your ecosystem

• Must be referenced in your asset inventory

• Diagrams are key– Must cover your WHOLE ecosystem– Must be kept up to date

• Flow of data between all ecosystem sub-areas must be clear– Know where the data comes from, where it might transit through,

where it may be stored/copied, where it ends up


Comprendre les contrôles de la norme PCI DSS• Sont accessibles via :

– Risk based approach– Prioritized approach

• Les contrôles de la norme PCI DSS peuvent être répertoriés comme suit :– Contrôles techniques– Politiques et procédures– Mise en garde et formation des usagers

• Les contrôles peuvent contenir plusieurs points de contrôle– Un mélange de contrôle(s) technique(s) et de politique/procédure

• Certains contrôles nécessitent par définition des tâches répétitives :– Scans trimestriels, Analyses de Logs, mise à jour de politiques de sécurité

– Plans de formation annuels


Understanding Your Ecosystem



Exigences PCI DSS en matière Documentation

• Diagrams and Data Flows– Ecosystem Diagrams– Data Flow Diagrams – Network Diagrams

• Asset Inventory • Acceptable Usage Policy for staff• Access Control Policy• Firewall Rules and Business Justification for Rules • AV, Anti-Spam and Intrusion Detection-Prevention Policy • Incident Response Plan • Hardening, Log and Patch Management Policy • Back-Up and Media Storage Policy • Security Assessment, Application Security & Vulnerability Management Policy• Management of Third Parties Policy


Solutions Techniques exigées par PCI DSS

• Anti-Virus / Anti-Spam• Firewalls & VPNs• IDS/IPS• Web Filtering / Mail Filtering• IM monitoring• File Integrity• SIEM – Central Log solutions• Asset Management• PSD Mgt/Control• Encryption

• Onsite vs Managed Services Vs Cloud services?


Security & GRC Process


SOX ISO 27000 series EU Data Protection PCI DSS HIPAA Others

Regulatory, Legal & Corporate Governance Frameworks

Education, Education, Security & Security & AwarenessAwareness

Self-Self-Governed Governed

Pre-Pre-AssessmentAssessment

Remediation Remediation WorkWork

Policies & Procedures

Network & Hardware Security

Application Security

Specialized Skills Transfer

Official Official Assessors & Assessors &

AuditorsAuditors

Step 1 Step 2 Step 3 Step 5Step 4

Chief Security OfficerChief Security OfficerProject leader for all Security Related Matters

DATADATASecSec

PPLPPLSecSec

PHYSICAL PHYSICAL SECURITYSECURITY

•Access to Building

•Physical Assets

•IT Hardware

•Vehicle Fleet

PEOPLE PEOPLE SECURITYSECURITY

•Permanent & Contract Staff

•Partners

•3rd Party Employees

•Visitors

•Special Events Security

DATA DATA SECURITYSECURITY

•Trade Secrets

•Employee Data

•Database

•Customer Data

5 Pillars of Security Framework™

PHYS. PHYS. SecSec

INFRA INFRA SecSec

INFRASTRUCTUREINFRASTRUCTURESECURITYSECURITY

•Networks

•Remote Sites

•Remote Users

•Application Security

•Website

•Intranet

CRISIS CRISIS MgtMgt

CRISISCRISISMANAGEMENTMANAGEMENT

•Documentation & Work Procedures

•Emergency Response Plans

•Business Continuity Plans

•Disaster Recovery Plans

Operations Manager, Security Staff HR, Security Staff HR, IT Team &

Manager IT Team & Manager Operations Manager, IT Team, HR

Best Practice Security Framework for EnterpriseBest Practice Security Framework for Enterprise

Les 5 meilleurs conseils pour bien travailler avec les QSAs (1)

Comprendre le processus d’accréditation à la norme avant que l’évaluateur ait à vous l’expliquer.

1. Formation – Assurez-vous que votre équipe de PCI DSS – organes décisionnels, DRH, IT, le personnel spécialisé – maîtrise parfaitement les exigences de la norme et le mécanisme de validation qui correspond à votre entreprise2. Pre-assessment – Votre entreprise doit effectuer elle-même un audit afin de déterminer son propre niveau de sécurité actuel par rapport aux contrôles demandés par la norme3.Phase de remédiation – Afin d’être tout à fait prêt pour la validation de la norme, votre entreprise aura besoin de:

(a) politiques et procédures (b) solutions techniques (c) session de sensibilisation pour les utilisateursC’est la phase la plus longue car elle implique de corriger voire de mettre en œuvre des changements dans votre réseau (par exemple segmenter votre réseau afin de réduire le champ du PCI DSS). Ceci nécessite un certain budget, du temps et du temps homme.4. Le QSA fait le PCI DSS Assessment certifiant5. Conformité continue – Vous devez mettre en place un process afin de vous assurer que vous êtes toujours en conformité. Ceci implique des audits internes réguliers, une mise à jour des solutions techniques, des scans et des tests d’intrusion, des politiques et procédures actualisées, former les nouvelles recrues et reformer le personnel en place.


Les 5 meilleurs conseils pour bien travailler avec les QSAs (2)

Pensez à diviser l’audit en plusieurs phases, chacune menée par un évaluateur différent. Ne perdez pas de vue l’enjeu : protéger les données des détenteurs de cartes de crédit.

1. Suivre une approche structurée pour votre mise en conformité avec PCI DSS.Toute évaluation PCI DSS commence par une analyse de failles entre vos paramètres de sécurité

actuels et ceux nécessaires à la norme. Ensuite vient la phase de remédiation au cours de laquelle l’entreprise réduit les écarts et la mise en conformité peut commencer.

2. Comprendre qu’il est certainement bénéfique de confier toutes les étapes de la mise en conformité à une seule entreprise de QSA mais que ce n’est pourtant pas le meilleur moyen de mettre en place la norme PCI DSS.

Employer un évaluateur différent pour faire l’analyse de failles, implementer les actions correctrices et faire l’assessment officiel assurera une évaluation plus rigoureuse, plus objective et moins complaisante que si la même personne gère toutes les phases.

La mise en conformité de la norme PCI DSS doit être un processus continu. Il ne faut jamais oublier que la finalité de cette évaluation est de sécuriser les données des possesseurs de carte de crédit.


La création et le suivi des équipes PCI DSS Une équipe de PCI DSS efficace est essentielle pour une mise en conformité du PCI réussie en terme de plus grande sensibilisation à la sécurité, de l’application d’une politique de sécurité et de la mise en œuvre de solutions techniques. La première étape de la création d’une équipe de projet est de décider quels membres du personnel en feront partie.

Qui doit faire partie de mon équipe PCI DSS ?

A priori quiconque entrant dans le scope PCI DSS peut faire partie de cette équipe. Une équipe de projet PCI DSS est généralement composée de :

•Equipe informatique / directeur informatique•Equipe du développement•Equipe des ressources humaines•Gestion des opérations•Équipe de sécurité

PCI Project

Manager /Security Officer


Po

lic

y W

ork

Te

ch

nic

al

So

luti

on

sU

se

r A

wa

ren

es

s

January 2012 April 2012 July 2012 October 2012 January 2013 April 2013 July 2013 October 2013 January 2014

Finalise AUPs

Disseminate AUPs

Finalise DR Scenarios + ERPs

Develop and Roll-out Change Management

procedures

Develop and Roll out Storage Policy

Roll out Encrypted E-mail usage policy

Roll out Tele-Working Policy

Design helpdesk Support & Shared Knowledge Base

Policy

Fine Tune Internet & Web Content Filters

Roll-out VPN to all remote branches

Review all Firewall Configuration

settings

Deploy new version of Anti-Virus on All Gateways

Test all back-up Tape Units + Upgrade B-up S/w

Install and test all back-up systems at DR site

Install Laptop Encryption Software for managers

Install Laptop Encryption Software for all laptop & PDA users

Decommissioning of old Helpdesk system + Roll-out of new Helpdesk and CRM integrated solution

Awareness Strategic Session with HR Manager

Staff Awareness Program – Phase 1

Staff Awareness Program – Phase 2

Staff Awareness Campaign – Posters, Flyers, Security Events

Senior Managers Refresher

Program Program

Staff Re-Fresher Sessions

HR Training on how to deal with

Security Incidents

E-mail Etiquette Training to Sales Satff

Security Awareness

presentation to the Board

Building & Maintaining PCI DSS Teams (3)


PCI DSS & ISO 27001• Scoping

– Un choix personnel du champ d’application opposé à celui de l’environnement des données de porteurs de cartes qui, lui, est imposé dans le PCI DSS.

• Travail de documentation– Req 12 of PCI DSS should be req 1

• Mélange des contrôles techniques, des politiques, procédures et formations• Mélange des contrôles techniques, des politiques, procédures et formations• Les mécanismes de validation sont manifestement différents, cependant

– L’utilisation de la norme ISO 27k dans le secteur du paiement permettra une mise en conformité avec la norme PCI DSS

– Il convient de prouver aux QSAs et aux ? Qu’une évaluation des risques a été faite et qu’un plan de traitement des risques est en place.

Tuesday 11 April 2023(c) VigiTrust 2003-2012

36

PCI DSS & ISO 27001 (2)

Critères de comparaison ISO27k PCI DSS

Scope Définie par la norme Données du possesseur de carte

Choix des contrôles Large Très dirigiste

Flexibilité en terme d’implementation des contrôles

Grande Faible

Gestion du statut de conformité Très pointue et bien documentée Très rigide et incomplète


Processus de certification

• Le processus d’accréditation peut être pénible

• Vous pouvez être amené à travailler avec des QSA

• Vous devez investir temps et argent dans les technologies de sécurité, politiques et procédures et formation des utilisateurs

• Pour la plupart des entreprises, il s’agira de moderniser une stratégie de sécurité existante pour la faire entrer dans le cadre de la norme PCI DSS

• Time to Accreditation concept (TTA)• Coût et rendement des

investissements


Les meilleures pratiques – Atteinte et suivi de la conformité avec la norme PCI DSS

• Par quoi commencer ?– Souvenez-vous des cinq étapes du processus d’accréditation

• Formation• Evaluation préalable (interne)• Remédiation• Evaluation réelle• Conformité continue

– Mélange des 3 éléments clés• Politiques et procédures• Solutions techniques• Formation & sensibilisation

– Et ensuite ?• Politiques et procédures : établir une liste des P&P en place dans votre entreprise• Solutions techniques : mettre à jour votre diagramme de réseau et du pen test• Formation à la sensibilisation : identifier les employés concernés et commencer le

processus de formation



[email protected]

www.vigitrust.com

3rd European PCI DSS Roadshow

Paris, Ambassade d’Irlande, 2 juillet 2013

mailto:[email protected]

L’application de la norme dans le secteur Hôtelier: enjeux, défis spécifiques aux hôtels,

étude de cas.


Les enjeux et défis spécifiques aux hôtels (1) • Le secteur a un besoin essentiel d’accès aux données de

cartes de crédit– Le monde de l’hôtellerie s’appuie beaucoup sur les paiements par cartes de

crédits. En effet cela permet aux clients de faire leur réservation, de régler à l’ avance, ainsi que de payer pour les services supplémentaires proposés par l’hôtel.

• L’application de la norme dans le secteur Hôtelier est accentuée par les problèmes de fraudes dans le secteur– Volume croissant de paiement par cartes– Peu ou pas de focus sur la sécurité informatique et réseaux– Mélange d’employés en CDI, CDD et de contracteurs– Menaces directement liées à l’utilisation du WiFi – Nombre et complexité des systèmes typiquement utilisés par les chaines (QG,

filliales, franchises)


Les enjeux et défis spécifiques aux hôtels (2) • Changements de personel très fréquent

– Difficile et cher à former• Acceptent souvent encore des paiements “papiers”

– Les employés ecrivent ou photocopient les CB• Acceptent souvent que le client envoie ses données de cartes par mail

– le serveur mail est alors pris en compte dans le champ d’application de PCI DSS

• Doit vraiment avoir accès aux cartes pour guarantir les paiements et les services supplémentaires– bars, spas, car valet service, parking, etc.

• Échange régulier de données de paiements entre entités • La securité physique d’acces aux POS est a equilibrer avec le flux des

employés et clients


Groupes LinkedIn et autres

Zoom sur les groupements & associations de commerçants

• Les banques acquéreuses• Les associations commerciales• Les fédérations• Les franchiseurs• Une organisation qui chapeaute

les commerçants en vue de les encadrer / conseiller

• Les programmes de mise en conformité de la norme PCI au Europe

– Développé par une banque acquéreuse, un service de traitement des paiements ou bien un regroupement de commerçants ou une association

– Communication aux commerçants sur la mise en conformité de la norme PCI DSS

• Mise en demeure de se conformer à la norme

• Avec des amendes possibles• Ceci mène donc à une aide à la mise en

conformité• Les dépenses peuvent être à la charge du

commerçant ou de l’organisme qui gère le programme.


Thursday, 07 November 2013 (c) VigiTrust 2003-2013 1 [email protected] 3 rd European PCI DSS Roadshow Paris, Ambassade dIrlande,

Documents

pci dss verizon

pci dss introduction

latelier pci dss

programme pcidss

pci dss processus

pci dss stockagegestion

norme pci dss dans

norme pci dss formation