Académique Documents
Professionnel Documents
Culture Documents
CLUSIF 2009 PCIDSS Une Presentation
CLUSIF 2009 PCIDSS Une Presentation
Novembre 2009
La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions
strictement rserves l'usage priv du copiste et non destines une utilisation collective" et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, "toute reprsentation ou reproduction intgrale, ou partielle,
faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite" (alina 1er de l'article 40)
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les
articles 425 et suivants du Code Pnal
REMERCIEMENTS
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de
ce document, tout particulirement :
AUTRET Thierry
GIE Cartes-Bancaires
BRISSE Franois
Capgemini
Cabestant Consultants
GREVREND Grald
Altran
LATRECHE Abdelbaset
Verizon Business
LUPONIS David
Mazars
MARET Vincent
E&Y
MEYNARD Samuel
Integralis
NABET Benjamin
Accor
PIEDERRIERE Yann
BT Services
SCHAUER Herv
SIMONETTI Rodolphe
Verizon Business
3/46
CLUSIF 2009
SOMMAIRE
I - INTRODUCTION............................................................................................................................................ 6
II - NOTIONS DE DONNEES PORTEUR ......................................................................................................... 7
III - PRESENTATION DES ACTEURS ............................................................................................................. 8
III.1 - LE PCI SECURITY STANDARDS COUNCIL (PCI-SSC)................................................................................ 8
III.2 - LES RESEAUX CARTES ............................................................................................................................... 9
III.3 - REPORTS DES CONTRAINTES PCI DSS ENTRE LES ACTEURS (SCHEMA)................................................... 12
III.4 - APERU ET COHERENCE DES STANDARDS PCI ........................................................................................ 13
III.4.1 - PCI PED........................................................................................................................................ 13
III.4.2 - PCI PA-DSS .................................................................................................................................. 13
III.4.3 - PCI DSS......................................................................................................................................... 13
IV - CYCLE DE VIE DU STANDARD PCI DSS............................................................................................. 15
IV.1 - ETAPE 1 IMPLEMENTATION MOIS 1 A 9 .............................................................................................. 15
IV.2 - ETAPE 2 RETOURS DEXPERIENCE MOIS 10 A 12................................................................................ 15
IV.3 - ETAPE 3 REVUE DES RETOURS DEXPERIENCE MOIS 13 A 20.............................................................. 15
IV.4 - ETAPE 4 ELABORATION ET FINALISATION DE LA NOUVELLE VERSION MOIS 21 A 24.......................... 16
IV.5 - ETAPE 5 PUBLICATION DE LA NOUVELLE VERSION DU STANDARD ....................................................... 16
V - PERIMETRE DAPPLICATION DU STANDARD PCI DSS ................................................................. 17
V.1 - DEFINITION DU PERIMETRE PCI DSS ....................................................................................................... 17
V.2 - ECHANTILLONNAGE ................................................................................................................................. 17
V.3 - LES SCANS ASV....................................................................................................................................... 18
VI - REDUCTION DU PERIMETRE PCI DSS ............................................................................................... 20
VI.1 - PRINCIPES DE REDUCTION DU PERIMETRE PCI DSS ................................................................................ 20
VI.2 - NOTION DE SEGMENTATION RESEAU APPROPRIEE ................................................................................... 21
VI.3 - FOURNISSEURS DE SERVICES ET REPORTS DE RESPONSABILITES ............................................................. 22
VI.4 - DEROGATION POUR CERTIFICATIONS DE PERIMETRES SPECIFIQUES ........................................................ 23
VI.5 - AUTRES ASPECTS CONCERNANT LA REDUCTION DU PERIMETRE .............................................................. 23
VI.6 - RESPONSABILITE VIS-A-VIS DES PRESTATAIRES ...................................................................................... 24
VII - STRATEGIE DE CONSERVATION DES DONNEES CARTE ........................................................... 25
VII.1 - QUELLES DONNEES CONSERVER ?.......................................................................................................... 25
VII.2 - MOTIVATION ET DUREE DE STOCKAGE DE CES DONNEES ....................................................................... 25
VII.3 - CONDITIONS DE STOCKAGE ET DUTILISATION DE CES DONNEES ........................................................... 25
VIII - LES MESURES COMPENSATOIRES................................................................................................... 27
VIII.1 - QUEST CE QUUNE MESURE COMPENSATOIRE ? ................................................................................... 27
VIII.2 - CONDITIONS DE LEGITIMITE DUNE MESURE COMPENSATOIRE ............................................................. 27
VIII.3 - CONDITIONS DE VALIDITE DUNE MESURE COMPENSATOIRE ................................................................. 28
VIII.4 - ILLUSTRATION DUNE MESURE COMPENSATOIRE .................................................................................. 28
IX - PCI DSS, VERITES ET CONTRE VERITES .......................................................................................... 30
4/46
CLUSIF 2009
5/46
CLUSIF 2009
I - Introduction
En France, dbut 2009, les acteurs bancaires ont clairement annonc leur soutien au standard
PCI DSS, tel cet extrait du site Web du Groupement des Cartes Bancaires CB :
La communaut bancaire franaise et le Groupement Cartes Bancaires CB partagent
les objectifs du standard PCI DSS, eux-mmes dclins partir des standards ISO 27001
de scurit des systmes dinformation, en visant un haut niveau de protection des
donnes sensibles des cartes. La communaut considre que les objectifs de scurit
dfinis par le rfrentiel PCI DSS correspondent ltat de lart de ce que recommandent
aujourdhui les experts pour scuriser les bases de donnes, les changes dinformations,
pour protger les contrles daccs, Depuis plusieurs annes, tous les acteurs
concerns ont lanc des programmes de scurisation de ces donnes sensibles ; ce jour,
de nombreux commerants et prestataires de services ont dj termin ou sont sur le point
de finaliser leur mise en conformit PCI DSS.
Visa, MasterCard, American Express, Discover et JCB ont fond en 2006 le Payment Card
Industry Security Standards Council (PCI SSC) avec pour objectif de dfinir un rfrentiel de
scurisation des donnes carte bancaires sappuyant sur des bonnes pratiques : PCI DSS. Ce
rfrentiel sapplique toute entit qui traite et/ou stocke de la donne carte.
Si les chances donnes par les organismes cartes concernant la conformit sont chues,
lapplication des pnalits est envisage au cas par cas dans les relations contractuelles entre
les diffrents acteurs. A titre indicatif les pnalits publies par VISA Inc. sont de lordre de
25 000$ mensuels en cas de non-conformit et de 500 000$ damende en cas de
compromission avre.
En effet, depuis la fin des annes 1990, plusieurs fraudes massives ont touch les systmes
dinformations qui traitent des donnes carte, en voici quelques exemples :
Royal Bank of Scotland WorldPay Inc. : activit fournisseur de services de paiement aux
Etats-Unis de la banque anglaise RBS.
Une fraude concernant potentiellement 1,5 million de numros de cartes a t identifie
en 2008.
http://www.rbslynk.com/RBS_WorldPay_Press_Release_Dec_23.pdf
6/46
CLUSIF 2009
6
3, 5, 7
Elles peuvent permettre de passer des transactions de paiement (numro, nom du porteur,
date de validit, CVV2, PIN), et donc entraner des fraudes. Parfois un simple PAN
permet de raliser une transaction ;
Elles peuvent permettre didentifier le porteur (nom du porteur, numro de carte) et sont
donc considres comme des informations indirectement nominatives par la CNIL ;
Le numro de carte est parfois utilis comme identifiant dans des applications, ce qui peut
permettre de faire le lien avec des personnes ;
Elles peuvent permettre de rcolter des informations sur les cartes de paiement (type de
transactions autorises, pays metteur, etc.) et donc de cibler des utilisations
malveillantes.
7/46
CLUSIF 2009
Les exigences de conformit PCI sont en alignement avec les programmes de gestion des
risques des rseaux cartes :
American Express :
Discover :
JCB :
MasterCard :
Visa USA :
Visa Europe :
Si les rseaux se sont entendus pour dfinir une norme commune, ils gardent chacun la
matrise de leurs risques. Chaque rseau a ainsi mis en place, dans le cadre de ses programmes
8/46
CLUSIF 2009
Emettre et grer le cycle de vie des standards PCI (PCI DSS, PCI PA-DSS, PCI PED) ;
PCI SSC Education, ces cours sadressent lensemble des acteurs concerns ;
Le processus de validation ;
9/46
CLUSIF 2009
Ces documents sont disponibles sur les sites Web des metteurs de cartes :
http://www.visaeurope.com/aboutvisa/security/ais/aisprogramme.jsp
http://usa.visa.com/merchants/risk_management/cisp.html
http://www.mastercard.com/sdp/
http://www.americanexpress.com
http://www.discovernetwork.com/fraudsecurity/disc.html
http://www.jcb-global.com/english/jdsp/index.html
Voici une prsentation synthtique des niveaux de marchands et de fournisseurs de services
de paiement pour Visa, MasterCard et American Express prenant en compte les critres, les
lments ncessaires la conformit ainsi que les acteurs qui doivent fournir ou valider ces
lments. Ces critres tant sujets volution, il est conseill de se rfrer aux sites de
diffrents rseaux cartes.
En cas de doute, un marchand ne doit pas hsiter contacter sa ou ses banque(s) acqureur(s).
10/46
CLUSIF 2009
Marchands :
Type
Critres
Marchand
Visa: plus
transactions
(niveau 1)
Elments ncessaires
la conformit :
de
(Millions)
de
Qui doit
fournir/raliser ces
lments :
QSA
(Qualified
Security Assessor )
ASV (Approved
Scan Vendor)
Questionnaire annuel
dauto
valuation
(SAQ)
Marchand
ASV (Approved
Scan Vendor)
Questionnaire annuel
dauto
valuation
(SAQ)
Marchand
ASV (Approved
Scan Vendor)
Questionnaire annuel
dauto
valuation
(SAQ)
Marchand
ASV (Approved
Scan Vendor)
Visa: 1 6 M de transactions
(niveau 2)
MasterCard: 1 6 M de transactions
AMEX: 0,05 M 2.5 M de transactions
Marchand
(niveau 3)
Marchand
(niveau 4)
11/46
CLUSIF 2009
Critres
PSP
(niveau 1)
Elments ncessaires
la conformit :
Qui doit
fournir/raliser ces
lments :
QSA (Qualified
Security Assessor)
ASV (Approved
Scan Vendor)
Questionnaire dauto
valuation (SAQ)
PSP
(niveau 2)
ASV
III.3 - Reports des contraintes PCI DSS entre les acteurs (schma)
Les flches indiquent le report de responsabilit dun acteur sur un autre. Le rle du QSA peut
tre daccompagner ce report.
12/46
CLUSIF 2009
13/46
CLUSIF 2009
portent en particulier sur les aspects de politique de scurit de lorganisation et sur les
habilitations des personnels.
Le rfrentiel PCI DSS V1.2 est constitue de 12 sries de clauses (exigences) rparties en 6
sections, formant ainsi 252 procdures de test avec contrles (en place - pas en place - date
cible / commentaires).
Figure 2 : Les 6 sections et les 12 sries de clauses de PCI DSS version 1.2
Figure 3 : extrait des Conditions et procdures d'valuation de scurit PCI DSS version 1.2 (source :
https://www.pcisecuritystandards.org/pdfs/pci_dss_french.pdf )
14/46
CLUSIF 2009
15/46
CLUSIF 2009
Durant cette tape qui dure 8 mois, le PCI SSC compile des retours de la part de toutes les
parties prenantes (organisations participantes, QSA, ASV, Board of Advisor, communaut).
Le groupe de travail technique du PCI SSC analyse ces retours et en fonction de ceux-ci prend
lune des mesures suivantes :
16/46
CLUSIF 2009
Tous les systmes, les serveurs, les applications ou les composants rseaux inclus dans,
ou relis l'environnement de donnes de dtenteurs de carte :
o Les composants rseau, notamment les firewalls, les commutateurs, les routeurs,
les points d'accs sans fil, les quipements de rseau, et les autres quipements de
scurit ;
o Les serveurs, notamment les serveurs Web, de bases de donnes,
dauthentification, de DNS, de courrier, et de synchronisation horaire (NTP) ;
o Les applications, que ce soit les applications dveloppes en interne ou les
progiciels, quelles soient accessibles en interne ou externe.
Tous les utilisateurs et postes utilisateurs accdant ces composants, que ce soit pour des
besoins mtiers ou informatiques, depuis les points de vente, les datacenter ou des
bureaux ;
Tous les raccordements lenvironnement des donnes de porteur de carte, par exemple :
accs distance des employs, passerelles de paiement, banques, entreprises de cartes de
paiement, centres dappels, accs de tiers pour traitement, et tierce maintenance.
Ce dernier point fait apparatre la notion dentreprises externes (type fournisseurs, partenaires,
mainteneurs rseau/systme/applicatif) qui peuvent accder logiquement ou physiquement
lenvironnement des donnes des porteurs de cartes et peuvent donc ventuellement en
affecter la scurit en accdant par exemple des numros de cartes. Si ces entreprises ne
respectaient pas les rgles de scurit demandes par le standard, elles pourraient constituer
un maillon faible. Ces entreprises sont donc incluses dans le primtre PCI DSS sous la
notion de Fournisseurs de Services dcrite plus loin.
V.2 - Echantillonnage
Les audits sur site et les scans depuis Internet ne portent pas sur la totalit du primtre PCI
DSS de lentreprise, notamment pour des raisons de cot. Il existe donc la notion de
primtre PCI DSS dj aborde et la notion dchantillon daudit que nous allons
maintenant prsenter.
Voici la dfinition de lchantillonnage, telle quelle est propose dans la version 1.2 du PCI
DSS :
Lvaluateur peut slectionner des chantillons reprsentatifs des installations de
lentreprise et des composants du systme en vue dvaluer leur conformit aux clauses du
standard PCI DSS.
17/46
CLUSIF 2009
Ces chantillons doivent inclure aussi bien des installations de lentreprise que des
composants du systme, ils doivent reprsenter une slection de tous les types et
emplacements des installations de lentreprise ainsi que des types de composants du systme,
et ils doivent tre suffisamment nombreux pour garantir lvaluateur que les mesures de
scurits sont mises en uvre comme prvu.
Les installations de lentreprise comprennent, par exemple, les bureaux, les magasins, les
commerants franchiss et les installations diffrents emplacements. Lchantillonnage doit
inclure les composants du systme de chaque installation de l'entreprise. Par exemple, pour
chaque installation de lentreprise, il convient dinclure divers systmes d'exploitation,
fonctions et applications lis au domaine valu. Au sein de chaque installation de
lentreprise, lexaminateur peut choisir les serveurs Sun excutant le navigateur Web Apache,
les serveurs Windows excutant Oracle, les systmes mainframe excutant les applications
traditionnelles de traitement de cartes, les serveurs de transfert de donnes excutant HP-UX
et les serveurs Linux excutant MYSQL. Si toutes les applications sexcutent partir dun
systme dexploitation unique (par exemple, Windows ou Sun), l'chantillon doit tout de
mme inclure diverses applications (par exemple, serveurs de bases de donnes, serveurs
Web et serveurs de transfert de donnes).
Lorsquils choisissent des chantillons dinstallations dentreprise et de composants de
systme, les valuateurs doivent prendre en compte les facteurs suivants :
Si chaque installation est tenue de respecter des processus PCI DSS obligatoires
standard, l'chantillon peut tre plus petit que celui ncessaire en labsence de
processus standard, afin de garantir que chaque installation est configure
conformment au processus standard.
Si plusieurs types de processus standard sont en place (par exemple, pour diffrents
types de composants du systme ou dinstallations), lchantillon doit alors tre
suffisamment diversifi pour inclure les composants du systme ou les installations
scuriss avec chaque type de processus.
Si aucun processus PCI DSS standard nest en place et si chaque installation est
responsable de ses propres processus, l'chantillon doit tre encore plus important de
manire sassurer que chaque installation comprend et applique correctement les
clauses du standard PCI DSS.
18/46
CLUSIF 2009
Lobjectif est de minimiser les risques dintrusion depuis Internet vers les systmes contenant
les donnes carte.
De manire gnrale, les mthodes de segmentation ci-aprs peuvent tre utilises pour
rduire le primtre du scan de scurit ASV :
la mise en uvre dune sparation physique entre le segment grant les donnes de
titulaire de carte et d'autres segments ;
le recours une segmentation logique approprie lorsque tout trafic est interdit entre le
segment ou rseau grant des donnes de porteur de carte et d'autres rseaux ou segments.
19/46
CLUSIF 2009
Isoler les applications et composants qui manipulent des donnes sensibles laide dun
cloisonnement appropri (voir plus loin) ;
Chiffrer les flux afin de permettre d'exclure tous les composants intermdiaires du rseau
(switchs, routeurs) du primtre. Exemples : IPSec ou SSL utiliss pour chiffrer les
changes entre serveurs ou entre les postes clients et les serveurs ;
Masquer laffichage du PAN aux utilisateurs pour une application qui le stocke de faon
intgrale (en France, n'afficher que les six premiers chiffres et les quatre derniers) permet
dexclure lenvironnement des postes clients qui nont alors plus accs aux donnes
sensibles ;
Chiffrer les donnes dans les bases de donnes d'un point de vue applicatif permet de
rduire le primtre concernant les administrateurs. Lapplication est toujours incluse
dans le primtre mais son exploitation est carte ;
Chiffrer ou tronquer les donnes dans les sauvegardes permet d'exclure le stockage des
sauvegardes du primtre daudit ;
Pour rappel, le standard PCI DSS se focalise sur les risques de capture en masse de donnes
sensibles. C'est--dire quun poste isol en centre dappel qui ne peut capturer quune donne
isole suite lappel dun utilisateur mais ne peut pas extraire des donnes dune application
est exclu du primtre daudit.
20/46
CLUSIF 2009
La rduction du primtre implique de revoir les processus mtiers car trs souvent le
numro de carte est utilis par commodit ou habitude et non par besoin.
La mise en uvre de PCI DSS est lopportunit de revoir cette utilisation et de
remplacer le PAN par un masquage (relation client en gnral) ou bien par un hash
unique (rconciliation financire ou Back Office par exemple) et par l mme de rduire
les risques.
21/46
CLUSIF 2009
Nanmoins, ce cloisonnement peut reprsenter lui seul des chantiers trs consquents. Les
firewalls ont un cot initial et rcurrent (maintien jour des quipements et gestion des rgles
de filtrage) non ngligeable. Certaines structures avec de nombreux points de vente peuvent
tre confrontes de trs gros chantiers. Il est alors parfois tentant dutiliser des systmes
existants en leur rajoutant quelques rgles de filtrage pour apporter un premier niveau de
cloisonnement. Jusquo peut-on aller dans les compromis technologiques tout en restant dans
les limites dune segmentation rseau approprie demande par le standard sans pour
autant se laisser aller des solutions rustines difficilement maintenables dans le temps ?
Le standard ne prcise pas techniquement cette notion de segmentation rseau approprie
et laisse une part importante lapprciation de lauditeur sur lefficacit des technologies
pouvant tre employes pour atteindre ce but.
Parmi les technologies envisageables, on retrouve les firewalls dits stateful , les proxy
applicatifs, les routeurs avec ACL, les VLAN, les VRF pour les rseaux MPLS, voire des
tunnels IPSEC/SSL pour chiffrer les donnes sur un segment du rseau qui naurait pas besoin
daccder aux donnes en clair Toutes ces technologies nont pas les mmes objectifs, ni le
mme niveau de scurit et lvaluation de leur efficacit pour raliser une segmentation
rseau approprie est trs spcifique au contexte du marchand. Le standard conseille de se
rapprocher dun auditeur certifi QSA pour faire valider que la mthodologie de mise en
uvre des solutions permet de rpondre aux exigences du standard.
Si ces fournisseurs de service ne respectaient pas les rgles de scurit demandes par le
standard, ils pourraient constituer un maillon faible dans la scurit des donnes des porteurs
de carte. Ces entreprises sont donc incluses dans le primtre PCI DSS sous la notion de
Fournisseurs de Services . Elles ont lobligation de se mettre en conformit avec le
standard dans le cadre de leurs interventions sur le marchand en question. Cette obligation
doit apparatre formellement dans le contrat de services avec le marchand.
Il existe deux options de validation de la conformit des prestataires de services tiers :
ils peuvent procder leur propre valuation PCI DSS et en apporter la preuve leurs
clients pour dmontrer leur conformit ;
sils ne procdent pas leur propre valuation PCI DSS, ils devront faire examiner leurs
services pendant les valuations PCI DSS de chacun de leurs clients.
22/46
CLUSIF 2009
23/46
CLUSIF 2009
24/46
CLUSIF 2009
Prcision sur la ncessit de supprimer la donne une fois que celle-ci nest plus
ncessaire aux besoins cits ;
Vrification que la politique de stockage adresse lensemble des stockages raliss par
lentreprise ;
Hachage unilatral sappuyant sur une mthode cryptographique robuste (one way strong
hash including salt) ;
Troncature : il sagit ici de ne stocker que les donnes en respectant la mme rgle que
pour le masquage ;
Index tokens et Index pads (les pads doivent tre stocks de manire scurise) ;
25/46
CLUSIF 2009
26/46
CLUSIF 2009
2.
ou
Lune de ces raisons devra donc tre dmontre lors de laudit et rvalue annuellement. En
effet, le contexte peut changer et une contrainte lgitime une anne, peut disparatre lanne
suivante. Lexigence initiale du standard PCI DSS devra alors tre applique.
27/46
CLUSIF 2009
2.
3.
Aller au-del des autres clauses PCI DSS. Les mesures compensatoires ne
consistent pas simplement en la conformit avec dautres clauses PCI DSS, il
faut aller au-del ;
4.
Contraintes La socit XYZ utilise des serveurs Unix autonomes sans LDAP.
Par consquent, chacun requiert un nom dutilisateur root . La socit XYZ
ne peut pas grer le nom dutilisateur root ni consigner toutes les activits
de chaque utilisateur root ;
2.
28/46
CLUSIF 2009
3.
4.
5.
6.
Gestion - La socit XYZ dcrit les processus et les procdures mis en place
pour viter la modification, laltration ou la suppression des configurations
SU de sorte que des utilisateurs individuels puissent excuter des commandes
root sans que leurs activits soient consignes ou suivies .
29/46
CLUSIF 2009
30/46
CLUSIF 2009
PCI DSS
ISO 27001
Impose
Niveau de granularit
Important
Libre
Niveau de flexibilit
Faible
Important
Primtre
Exigibilit
Contrainte externe
Dmarche spontane
Objectif principal
Organisation de la scurit
Contribution majeure
31/46
CLUSIF 2009
intgrs dans une dmarche daudit interne dans le cadre du maintien de sa conformit aux
exigences par exemple, et ou mutualiss une dmarche existante pour rpondre aux
exigences de contrles internes.
Le tableau de lannexe 2 permet didentifier quels contrles ou mesures de scurit Cobit,
ITIL et ISO 27002 couvrent les exigences PCI DSS afin de rationnaliser ces dernires (et de
ne pas crer de nouveaux contrles et donc de rationnaliser les cots de mise en conformit
par exemple). Enfin une dmarche Cobit permet dadopter la dmarche processus absente de
PCI DSS, et de bnficier de lorganisation et du pilotage de la scurit que peut apporter
Cobit dans une dmarche globale.
L'OWASP (Open Web Application Security Project) est une organisation but non
lucratif dont l'objectif est la promotion de mthodes et d'outils de conception et de
dveloppement scuriss dont des outils daudit et de formation. Elle maintient en
particulier un top 10 des principales erreurs de dveloppement rencontres avec les
mesures de scurit associes.
https://www.owasp.org/images/a/a4/OWASP_Top_10_2007_-_French.doc
32/46
CLUSIF 2009
http://www.owasp.org/
Le SANS (SysAdmin, Audit, Network, Security) Institute : organisme qui fournit des
ressources et des formations de scurit informatique
www.sans.org.
le NIST (Network Information Security & Technology News) : site de nouvelles sur les
technologies et la scurit des SI
http://www.nist.org/
le CIS (Center for Internet Security) : entreprise but non lucratif de promotion de la
scurit sur Internet
http://www.cisecurity.org/
Les principaux constructeurs et diteurs (ex : Cisco, IBM, Microsoft, Oracle, SAP, Sun)
fournissent galement des documentations pour leurs solutions, parfois ils ont mme t
jusqu faire valuer celles-ci. A noter, comme cela a dj t voqu que cest
limplmentation de la solution qui est conforme et non une brique logicielle ou
matrielle en elle-mme.
33/46
CLUSIF 2009
XI.1 - Avantages
Plusieurs avantages lis une telle dmarche peuvent tre identifis, on peut citer par
exemple :
Le caractre obligatoire et la rigidit des mesures peut permettre de dbloquer des projets
de scurit dj identifis par les oprationnels et RSSI mais jusque l repousss pour des
raisons d'conomies plus lies au contexte conomique qu' la gestion des risques.
Comme cela a t identifi dans le chapitre traitant des normes, standards, rfrentiels et
rglementation, PCI DSS peut sinscrire dans une dmarche globale et cohrente de
scurisation des systmes dinformation.
Dans le cadre de systmes dinformation jeunes ou btir, PCI DSS prsente un
rfrentiel de scurit montique.
XI.2 - Difficults
Les difficults lies l'implmentation de PCI DSS sont de plusieurs ordres parmi lesquels :
Le dlai exig par les organismes ne permet pas forcment d'inscrire les contraintes lies
PCI DSS dans le cycle de vie initial des projets de l'entreprise. Il faut alors s'engager
dans une ngociation qui peut s'avrer plus ou moins complexe avec celui qui exige cette
conformit ;
PCI DSS ncessite parfois une adaptation non ngligeable du systme dinformation et
des mtiers, comme cela a dj voqu dans le chapitre traitant de la rduction du
primtre ;
Les mesures compensatoires ncessitent une anticipation en amont de laudit, car les
conditions de validit sont strictes et values par le QSA, dans le cadre de laudit, qui
engage sa responsabilit.
XI.3 - Limites
Comme toute dmarche de standardisation, PCI DSS a ses limites :
PCI DSS est un standard unique qui sapplique lensemble des entreprises qui traitent
des donnes carte indpendamment de leur secteur dactivit ;
Lagrment nest pas une garantie absolue contre lensemble des menaces de vol,
compromission ou fraude.
34/46
CLUSIF 2009
accueillera
toute
35/46
remarque
ou
suggestion
ladresse :
CLUSIF 2009
ASV (Approved Scanning Vendor) : prestataire autoris par le PCI SSC pour la
ralisation de recherches automatises de vulnrabilits sur des machines connectes un
rseau public ;
PCI (Payment Card Industry) : acteurs qui interviennent dans l'industrie de paiement par
carte (banques, prestataires de paiement, metteurs de carte, commerants) ;
PCI SSC (PCI Security Standards Council) : organisme responsable du maintien des
standards PCI DSS, de leur promotion et de leur encadrement ;
PCI DSS (PCI Data Security Standard) : standard de scurit qui s'applique aux systmes
d'informations qui manipulent des donnes sensibles au sens PCI (essentiellement les
donnes des porteurs de carte comme le numro de carte) ;
PCI PA-DSS (ou appel PA-DSS) (PCI Payment Application Data Security Standard) :
variante du standard PCI DSS qui s'applique aux applications de paiement ;
PCI PED (PCI Pin Entry Device Data Security Standard) : variante du standard PCI DSS
qui s'applique aux priphriques de saisie du code PIN qui protge les cartes de
paiement ;
PSP (Payment Service Provider) : prestataire qui joue le rle d'intermdiaire entre les
commerants, les banques et les metteurs de cartes pour raliser (traiter et/ou stocker
et/ou transmettre et/ou en support) des oprations de paiement par carte ;
QSA (Qualified Security Assessor) : prestataire habilit par le PCI SSC pour raliser des
audits PCI DSS ;
RoC (Report on Compliance) : rapport dcrivant le niveau de conformit d'une entit vis-vis de PCI DSS ;
Source : https://www.pcisecuritystandards.org/security_standards/docs/glossary_fr.pdf
36/46
CLUSIF 2009
DdA (Dclaration dApplicabilit) : Terme utilis dans la norme ISO 27001, qui dsigne
le document listant et justifiant les mesures de scurit applicables et non applicables au
SMSI dun organisme. La DdA est souvent appele SoA (Statement of Applicability) qui
vient de la version anglaise de la norme ISO 27001 ;
Accepteur : Entit ayant pass un accord avec un acqureur pour accepter les cartes
bancaires et qui prsente lacqureur les donnes des transactions faites avec ces cartes.
En paiement de proximit laccepteur est le commerant avec son TPE, en relation
VAD/MOTO cest le commerant via linterface Web ou le PSP qui agit pour le compte
du commerant. En retrait cest le DAB/GAB de la banque ;
CHD (CardHolder Data) : Ce sont les donnes du porteur de carte. Elles comprennent en
particulier le PAN, la date de fin de validit de la carte et le CVx2 ;
Commerant : Cest lentit qui dlivre un bien ou un service en change dun paiement,
dans notre cas par carte bancaire. Il a sign un contrat commerant avec son acqureur
qui dcrit les rgles et responsabilits mutuelle pour lacceptation dun paiement par carte
bancaire ;
CVx : (CVC, CVC) Cet acronyme dsigne les codes CVV (Card Verification Value pour
Visa) ou CVC (Card Verification Code pour MasterCard) inscrit dans les donnes
discrtionnaires de la piste ISO 2 pour sceller celle-ci ;
Donnes discrtionnaires : Champ des pistes ISO 1 et 2 contenant des donnes relatives
aux contrles de scurit ;
Emetteur : Organisme financier ou assimil qui met une carte au profit d'un porteur.
Cest la banque du porteur. Un organisme financier peut tre la fois metteur et
acqureur ;
37/46
CLUSIF 2009
PAN : Personal Account Number Cest ce quon appelle le numro de carte bancaire
compos gnralement de 16 chiffres. Il est emboss sur la face avant de la carte, il fait
partie des donnes figurant sur la piste ISO2 au dos de la carte et galement dans les
donnes de la puce ;
Pistes (ISO 1, ISO 2) (F) : Pistes magntiques au dos de la carte (partie fonce)
comportant des informations sur la carte et sur le porteur. Elles sont utilises pour
l'international et les retraits :
VAD/MOTO: Vente distance Mail Order Telephone Order. Situation dans laquelle la
carte nest pas prsente lors de ltablissement de la transaction de paiement ;
38/46
CLUSIF 2009
A
.
6
A
.
7
A
.
8
A
.
9
Exigence 1
A
.
10
A
.
11
A
.
12
Exigence 2
Exigence 3
Exigence 4
A
.
13
A
.
14
A
.
15
Exigence 5
Exigence 6
Exigence 7
Exigence 8
Exigence 9
Exigence 10
Exigence 11
Exigence 12
39/46
CLUSIF 2009
Le tableau suivant prsente les correspondances entre PCI DSS v1.2, ISO/IEC 27001:2005 et
CobiT v 4.1 :
PCI DSS
ISO/IEC
27001
(Clauses 4 8)
Exigence 1
AI3.3
maintenance
A.10.1.2
modifications
Management
des
Infrastructure
et
A.11.7.2 Tltravail
A.11.6.2
sensibles
Exigence 2
Isolement
des
systmes
Isolement
des
aux
systmes
40/46
CLUSIF 2009
PCI DSS
ISO/IEC
27001
(Clauses 4 8)
Exigence 3
PO2.3 Data
scheme
DS5.8 Cryptographic
management
classification
key
Dvelopper et grer
des systmes et des
applications scuriss.
A.12.6.1
Mesure
relative
vulnrabilits techniques
aux
du
Infrastructure
AI3.4
Feasibility
environment
test
donnes
A.12.4.2 Protection
systme dessai
des
41/46
CLUSIF 2009
PCI DSS
ISO/IEC
27001
(Clauses 4 8)
Exigence 7
Restreindre
l'accs
aux
donnes
des
titulaires de cartes aux
seuls individus qui
doivent les connatre.
Exigence 8
A.11.2.1
Utilisateurs
Affecter un ID unique
chaque utilisateur
dordinateur.
daccs
Enregistrement
des
A.11.5.2
Identification
authentification de lutilisateur
et
PO7.8 Job
termination
Change
DS5.4
User
management
and
account
Authentification
de
pour les connexions
A.11.5.1 Ouverture
Scurises
de
sessions
Restreindre
laccs
physique aux donnes
des titulaires de cartes.
dans
les
zones
PO7.8 Job
termination
Change
DS11.3
Media
management system
and
library
DS11.4 Disposal
DS12.2 Physical
measures
security
des
supports
42/46
CLUSIF 2009
PCI DSS
ISO/IEC
27001
(Clauses 4 8)
des informations
A.7.1.2 Proprit des actifs
A.10.8.3 Supports physiques en transit
A.7.1.1 Inventaire des actifs
A.10.7.3 Procdures de manipulation
des informations
A.10.7.2 Mise au rebut des supports
Exigence 10
Effectuer le suivi et
surveiller tous les
accs aux ressources
rseau et aux donnes
des titulaires de cartes.
Synchronisation
des
DS5.5
Security
testing,
surveillance and monitoring
Tester rgulirement
les processus et les
systmes de scurit.
Exigence 12
4.2.1 e) analyser et
valuer les risques :
1) 4)
4.2.1
c)
dfinir
l'approche
d'apprciation
du
risque
de
l'organisme : 1) 2)
4.2.3 d) rexaminer
les apprciations du
risque intervalles
planifis
et
rexaminer le niveau
de risque rsiduel et
le niveau de risque
A.10.1.1 Procdures
documentes
dexploitation
et
Authentification
de
pour les connexions
clearance
contract
relationships
DS5.1
43/46
Management
of
IT
CLUSIF 2009
PCI DSS
ISO/IEC
27001
(Clauses 4 8)
acceptable identifi,
compte tenu des
changements
apports : 1) 6)
sessions inactives
security
DS5.6
Security
definition
incident
des
risques
44/46
CLUSIF 2009
XV - Annexe 3 : Bibliographie
http://www.cartes-bancaires.com/spip.php?article28
http://www.cartes-bancaires.com/spip.php?article20&var_recherche=pci
https://www.pcisecuritycouncil.org
http://www.visaeurope.com/aboutvisa/security/ais/aisprogramme.jsp
http://usa.visa.com/merchants/risk_management/cisp.html
http://www.mastercard.com/sdp/
http://www.americanexpress.com
http://www.discovernetwork.com/fraudsecurity/disc.html
http://www.jcb-global.com/english/jdsp/index.html
45/46
CLUSIF 2009
LESPRIT DE LCHANGE
www.clusif.asso.fr