Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Certification PCI-DSS
Janvier 2016
Frédéric PACZKOWSKI Janvier 2016 2
La certification PCI DSS (Payment Card Industry Data Security
Standard) est destinée aux entités appelées à transmettre, manipuler et/ou stocker des données de CB et d’authentification
Une organisation désirant l’obtention de la certification PCI DSS doit se conformer aux exigences requises (env. 390) : « Requirement ans security assessment procedures, v3.1 Avril 2015 ».
La conformité aux exigences est auditée formellement par un QSA (Qualified Security Assessor) qui délivre la certification. Le QSA est choisi et rémunéré par le candidat à la certification. La durée de l’audit est limitée à trois mois.
La certification délivrée par le biais de l’AOC (Acceptance of Compliance) et du ROC (Report of Compliance) est valable 1 an.
Tous les ans, un nouvel audit du QSA est nécessaire.
Définitions
Frédéric PACZKOWSKI Janvier 2016 3
C’est le PCI SSC (Security Standards Council) qui accrédite les QSA, ci-dessous ceux œuvrant en France :
QSA France
Société Site
Galitt www.galitt.com
Herve Schauer Consultants www.hsc.fr
Orange Consulting www.orange-business.com
Provadys www.provadys.com
PW Consultants www.pw-consultants.com
Sysdream www.sysdream.com
XMCO Partners www.xmco.fr
Frédéric PACZKOWSKI Janvier 2016 4
Les données sensibles
PAN : Primary Account Number
: stockage permanent interdit même chiffré
CHD Card Holder Data SAD Sensitive Authentication Data
Frédéric PACZKOWSKI Janvier 2016 5
Périmètre PCI-DSS Zone périmètre PCI-DSS contenant des données CB, tous les processus s’appliquent et les composants techniques font l’objet d’un très haut niveau de sécurité.
Zone hors périmètre PCI-DSS : 1. Ne pas manipuler de données CB 2. Ne pas avoir d’accès réseau à un
système dans la zone PCI DSS 3. Ne pas pouvoir impacter la sécurité
d’un composant dans la zone PCI-DSS
Les processus ne s’appliquent pas obligatoirement sauf pour les parties ayant des flux entrants dans la zone PCI-DSS.
Hors périmètre
Dans le périmètre
Flux réseau utilisé par le Firewall
FireWall
Données CB
CDE Card Holder Data Environment
Frédéric PACZKOWSKI Janvier 2016 6
Les exigences couvrent un large domaine, elles sont découpées 6 domaines et 12 clauses :
Les 12 clauses d’exigence
Frédéric PACZKOWSKI Janvier 2016 7
L’impulsion de la DG obligatoire (projet de gestion du changement).
L’organisation de l’entreprise sera impactée, notamment par le biais des métiers, RH, Achats et équipes techniques. PSSI à formaliser.
Un GAP méthodologique devra être franchi : Cycle de vie logiciel, Processus de livraison, Traçabilité …
Des chantiers technologiques seront nécessaires pour se conformer aux exigences techniques de protection des données bancaires.
Toutes les ressources internes seront sollicitées : documentation, interviews, meetings, chantiers techniques, mise en œuvre des processus, formations, sessions d’audit…
Le management devra tenir compte des exigences de sécurité – Formations à la sécurité obligatoires y compris pour les personnels non techniques.
Impacts
Frédéric PACZKOWSKI Janvier 2016 8
GO Analyse d’écart
Plan de
Remédia-tion
Réalisa-tion
des remédia-
tions
ValidationQSA -
PréAudit
Audit QSA
AOC & ROC
Phases du projet Lancement du projet – Cartographie métiers –
CHD tracking - Interviews – Choix du QSA –
Constitution équipe projet et organisation
Optimisation périmètre PCI-DSS –
Analyse d’écart du QSA
Elaboration du périmètre projet, du planning, du
budget, des charges
Rédaction du corpus documentaire
Réalisation des chantiers techniques – Mise en place des nouvelles procédures – Preuves
d’application – Formations – Tests d’intrusion
Fourniture des livrables au QSA – Traitement des
retours QSA – Préparation Audit final
Réalisation de l’audit par le QSA
Finalisation ROC et AOC par le QSA
1 mois 1 à 3 mois 1 mois 3 à 18 mois Maximum 3 mois
1 2 3 4 5 6 7
1
2
3
4
5
6 7
Frédéric PACZKOWSKI Janvier 2016 9
Acteurs du projet Nom Description
Sponsor projet Membre de la DG du candidat et propriétaire du budget
QSA Qualified Security Assessor choisi par le candidat
Chef de Projet Responsable du projet PCI-DSS du candidat
RSSI Responsable Sécurité des SI du candidat
Top Management DSI – Directeur de Production – Directeur des développements – DRH – Directeur Méthode – Directeur Qualité
Experts techniques
Tests d’intrusion – Tests de Vulnérabilité – Cryptographie – HSM -
Equipes opérationnelles
Métiers, RH, équipes techniques …
Prestataires PSP – Hébergeur – Banque acquéreur – Entretien - Sécurité
Frédéric PACZKOWSKI Janvier 2016 10
Exemples de documents PCI-DSS Exemples de documents Projets
PSSI - Politique de Sécurité des Systèmes
d'Information Fiche projet
Processus de Mise en Production Définition des responsabilités
Procédures de réponse aux incidents de
sécurité
Plan de Management Projet & Maîtrise intégrée
des modifications
Analyse de risques Cycle de vie (cf. slide précédent)
Document d'Architecture Technique Planning
Procédures de gestion des données HSM Budget – Provisions pour Risques & aléas
Gestion des clefs de chiffrement &
Personnalisation Périmètre – Matrice des exigences
Journalisation et persistance des événements
de la plateforme Registre des parties prenantes (dont QSA)
Dossier d’exploitation Registre des modifications
Cycle de développement logiciel Registre des Risques
Procédure de recrutement et d’intégration d’un
collaborateur Registre des problèmes majeurs
Charte des achats Tableau de Bord Projet
Contrats type Reporting équipe projet (hebdo)
Liste des contrôles récurrents – CR type comité
sécurité Reporting direction (bi-mensuel / mensuel)
Corpus documentaire indicatif
Frédéric PACZKOWSKI Janvier 2016 11
Le périmètre PCI-DSS doit être cadré au plus juste (accord du QSA obligatoire). Toute extension du périmètre PCI-DSS entraîne des surcoûts (en année N mais aussi les années suivantes) et impacte le planning de certification. (cf. slide 8).
L’implication au plus tôt du QSA est indispensable afin de limiter au maximum les risques de rejet lors de l’audit.
Il faut établir une relation franche et sincère avec le QSA mais rester ferme, toutes les demandes du QSA doivent être consignées et suivies.
Un RSSI doit exister chez le candidat ainsi qu’un chef de projet PCI-DSS (cf. slide 8).
Les processus et procédures fournis au QSA doivent être mis en applications avant l’audit. Des preuves seront demandées par le QSA. Les chantiers techniques devront être réalisés avant l’audit, là aussi des preuves seront demandées.
La mise en place d’une gestion de configuration, d’une gestion documentaire et d’une organisation projet est fortement recommandée.
Le projet est à dominante méthodologique et organisationnelle. L’exécution des chantiers techniques n’est pas suffisante pour obtenir la certification, mais elle est nécessaire.
Facteurs clefs de succès
Frédéric PACZKOWSKI Janvier 2016 12
Identifier / Indexer les clients avec leur PAN en clair (le pire possible et cela existe!)
Transporter et stocker des informations CB non chiffrées.
Stocker des information CB non permises (PIN, CVV, …)
Utiliser des méthodes de cryptographie obsolètes.
Ne pas cloisonner la zone PCI-DSS.
Ne pas différencier le BUILD du RUN.
Permettre aux équipes BUILD l’accès aux zones de production.
Permettre aux équipes RUN l’accès aux données CB en clair.
Pas de PSSI en place, ou absence de preuves.
Pas de méthodologie sur le BUILD et le RUN, ou absence de preuves.
Personnels non formés à la sécurité.
Exemples de points bloquants