Certification PCI-DSS

Janvier 2016

Frédéric PACZKOWSKI Janvier 2016 2

La certification PCI DSS (Payment Card Industry Data Security

Standard) est destinée aux entités appelées à transmettre, manipuler et/ou stocker des données de CB et d’authentification

Une organisation désirant l’obtention de la certification PCI DSS doit se conformer aux exigences requises (env. 390) : « Requirement ans security assessment procedures, v3.1 Avril 2015 ».

La conformité aux exigences est auditée formellement par un QSA (Qualified Security Assessor) qui délivre la certification. Le QSA est choisi et rémunéré par le candidat à la certification. La durée de l’audit est limitée à trois mois.

La certification délivrée par le biais de l’AOC (Acceptance of Compliance) et du ROC (Report of Compliance) est valable 1 an.

Tous les ans, un nouvel audit du QSA est nécessaire.

Définitions

Frédéric PACZKOWSKI Janvier 2016 3

C’est le PCI SSC (Security Standards Council) qui accrédite les QSA, ci-dessous ceux œuvrant en France :

QSA France

Société Site

Galitt www.galitt.com

Herve Schauer Consultants www.hsc.fr

Orange Consulting www.orange-business.com

Provadys www.provadys.com

PW Consultants www.pw-consultants.com

Sysdream www.sysdream.com

XMCO Partners www.xmco.fr

Frédéric PACZKOWSKI Janvier 2016 4

Les données sensibles

PAN : Primary Account Number

: stockage permanent interdit même chiffré

CHD Card Holder Data SAD Sensitive Authentication Data

Frédéric PACZKOWSKI Janvier 2016 5

Périmètre PCI-DSS Zone périmètre PCI-DSS contenant des données CB, tous les processus s’appliquent et les composants techniques font l’objet d’un très haut niveau de sécurité.

Zone hors périmètre PCI-DSS : 1. Ne pas manipuler de données CB 2. Ne pas avoir d’accès réseau à un

système dans la zone PCI DSS 3. Ne pas pouvoir impacter la sécurité

d’un composant dans la zone PCI-DSS

Les processus ne s’appliquent pas obligatoirement sauf pour les parties ayant des flux entrants dans la zone PCI-DSS.

Hors périmètre

Dans le périmètre

Flux réseau utilisé par le Firewall

FireWall

Données CB

CDE Card Holder Data Environment

Frédéric PACZKOWSKI Janvier 2016 6

Les exigences couvrent un large domaine, elles sont découpées 6 domaines et 12 clauses :

Les 12 clauses d’exigence

Frédéric PACZKOWSKI Janvier 2016 7

L’impulsion de la DG obligatoire (projet de gestion du changement).

L’organisation de l’entreprise sera impactée, notamment par le biais des métiers, RH, Achats et équipes techniques. PSSI à formaliser.

Un GAP méthodologique devra être franchi : Cycle de vie logiciel, Processus de livraison, Traçabilité …

Des chantiers technologiques seront nécessaires pour se conformer aux exigences techniques de protection des données bancaires.

Toutes les ressources internes seront sollicitées : documentation, interviews, meetings, chantiers techniques, mise en œuvre des processus, formations, sessions d’audit…

Le management devra tenir compte des exigences de sécurité – Formations à la sécurité obligatoires y compris pour les personnels non techniques.

Impacts

Frédéric PACZKOWSKI Janvier 2016 8

GO Analyse d’écart

Plan de

Remédia-tion

Réalisa-tion

des remédia-

tions

ValidationQSA -

PréAudit

Audit QSA

AOC & ROC

Phases du projet Lancement du projet – Cartographie métiers –

CHD tracking - Interviews – Choix du QSA –

Constitution équipe projet et organisation

Optimisation périmètre PCI-DSS –

Analyse d’écart du QSA

Elaboration du périmètre projet, du planning, du

budget, des charges

Rédaction du corpus documentaire

Réalisation des chantiers techniques – Mise en place des nouvelles procédures – Preuves

d’application – Formations – Tests d’intrusion

Fourniture des livrables au QSA – Traitement des

retours QSA – Préparation Audit final

Réalisation de l’audit par le QSA

Finalisation ROC et AOC par le QSA

1 mois 1 à 3 mois 1 mois 3 à 18 mois Maximum 3 mois

1 2 3 4 5 6 7

1

2

3

4

5

6 7

Frédéric PACZKOWSKI Janvier 2016 9

Acteurs du projet Nom Description

Sponsor projet Membre de la DG du candidat et propriétaire du budget

QSA Qualified Security Assessor choisi par le candidat

Chef de Projet Responsable du projet PCI-DSS du candidat

RSSI Responsable Sécurité des SI du candidat

Top Management DSI – Directeur de Production – Directeur des développements – DRH – Directeur Méthode – Directeur Qualité

Experts techniques

Tests d’intrusion – Tests de Vulnérabilité – Cryptographie – HSM -

Equipes opérationnelles

Métiers, RH, équipes techniques …

Prestataires PSP – Hébergeur – Banque acquéreur – Entretien - Sécurité

Frédéric PACZKOWSKI Janvier 2016 10

Exemples de documents PCI-DSS Exemples de documents Projets

PSSI - Politique de Sécurité des Systèmes

d'Information Fiche projet

Processus de Mise en Production Définition des responsabilités

Procédures de réponse aux incidents de

sécurité

Plan de Management Projet & Maîtrise intégrée

des modifications

Analyse de risques Cycle de vie (cf. slide précédent)

Document d'Architecture Technique Planning

Procédures de gestion des données HSM Budget – Provisions pour Risques & aléas

Gestion des clefs de chiffrement &

Personnalisation Périmètre – Matrice des exigences

Journalisation et persistance des événements

de la plateforme Registre des parties prenantes (dont QSA)

Dossier d’exploitation Registre des modifications

Cycle de développement logiciel Registre des Risques

Procédure de recrutement et d’intégration d’un

collaborateur Registre des problèmes majeurs

Charte des achats Tableau de Bord Projet

Contrats type Reporting équipe projet (hebdo)

Liste des contrôles récurrents – CR type comité

sécurité Reporting direction (bi-mensuel / mensuel)

Corpus documentaire indicatif

Frédéric PACZKOWSKI Janvier 2016 11

Le périmètre PCI-DSS doit être cadré au plus juste (accord du QSA obligatoire). Toute extension du périmètre PCI-DSS entraîne des surcoûts (en année N mais aussi les années suivantes) et impacte le planning de certification. (cf. slide 8).

L’implication au plus tôt du QSA est indispensable afin de limiter au maximum les risques de rejet lors de l’audit.

Il faut établir une relation franche et sincère avec le QSA mais rester ferme, toutes les demandes du QSA doivent être consignées et suivies.

Un RSSI doit exister chez le candidat ainsi qu’un chef de projet PCI-DSS (cf. slide 8).

Les processus et procédures fournis au QSA doivent être mis en applications avant l’audit. Des preuves seront demandées par le QSA. Les chantiers techniques devront être réalisés avant l’audit, là aussi des preuves seront demandées.

La mise en place d’une gestion de configuration, d’une gestion documentaire et d’une organisation projet est fortement recommandée.

Le projet est à dominante méthodologique et organisationnelle. L’exécution des chantiers techniques n’est pas suffisante pour obtenir la certification, mais elle est nécessaire.

Facteurs clefs de succès

Frédéric PACZKOWSKI Janvier 2016 12

Identifier / Indexer les clients avec leur PAN en clair (le pire possible et cela existe!)

Transporter et stocker des informations CB non chiffrées.

Stocker des information CB non permises (PIN, CVV, …)

Utiliser des méthodes de cryptographie obsolètes.

Ne pas cloisonner la zone PCI-DSS.

Ne pas différencier le BUILD du RUN.

Permettre aux équipes BUILD l’accès aux zones de production.

Permettre aux équipes RUN l’accès aux données CB en clair.

Pas de PSSI en place, ou absence de preuves.

Pas de méthodologie sur le BUILD et le RUN, ou absence de preuves.

Personnels non formés à la sécurité.

Exemples de points bloquants