MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné

(1)

Qu’est-ce que la norme « PCI » ?

Un seul revendeur, ou commerçant, peut traiter des millions de transactions chaque année. Il suffi t d’une faille dans son systéme d’information pour que le risque d’une utilisation frauduleuse des informations des cartes de crédit devienne extrêmement élevé.

La norme PCI DSS (Payment Card Industry Data Security Standard) a donc pour objectif d’aider les organismes émetteurs

de cartes bancaires et les banques à

gérer les risques. Elle garantit que les revendeurs prennent leurs responsabilités et s’assurent que chaque personne, qu’il s’agisse d’un salarié ou d’un prestataire, qui traite directement ou indirectement les paiements par carte bancaire prenne les précautions qui s’imposent contre le vol d’informations et les violations de sécurité susceptibles de compromettre les données des utilisateurs de carte.

MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION.

Par Eric Chauvigné

Ce document présente la norme PCI DSS (Payment Card Industry Data Security Standard) ainsi que ses implications commerciales et technologiques. Il décrit également l’expérience vécue par NetBenefi t lors de l’implémentation de cette norme et dans quelle mesure elle peut vous aider à réduire les délais d’exécution, les coûts d’audit et les dépenses liées aux infrastructures lors de la mise en œuvre dans votre entreprise de votre propre programme d’adaptation à la norme PCI.

Chaque commerçant qui traite des paiements par carte et conserve des informations bancaires doit adhérer à la norme PCI DSS. Le non- respect de cette condition l’expose à des amendes substantielles, à une augmentation des frais de transaction, voire à la suspension des services bancaires.

Dans le cas de NetBenefi t, l’accréditation PCI marque la fi n d’un vaste projet visant à obtenir une sécurité optimale dans les normes de paiement grâce à ses services d’infogérance. Elle permet de proposer aux commerçants un environnement d’hébergement adapté qui répond aux exigences du PCI Security Standards Council.

Darren Wiltshire, Responsable Infrastructure, NetBenefi t.

NetBenefi t Green Side 400 Avenue Roumanille 06906 Sophia Antipolis Cedex France +33 (0)4 97 212 212 www.netbenefi t.fr

(2)

La norme PCI part du principe que les commerçants sont la première cible des vols d’informations, dans la mesure où ils réalisent des activités telles que le stockage d’informations sensibles qui mettent en danger les utilisateurs de carte bancaire. Il est dans l’intérêt général (consommateur, commerçant et banque) d’appliquer cette norme de façon rigoureuse afi n de protéger les données sensibles et de réduire les coûts liés à la fraude pour chacune des parties concernées. De nombreux organismes publics qui stockent des données client sensibles (pas nécessairement des données bancaires) trouveront également leur compte à adopter la norme PCI DSS.

La norme PCI DSS (Payment Card Industry Data Security Standard ou, plus simplement PCI) est un ensemble de 12 règles élaborées pour sécuriser et protéger les données de paiement client. Elle a été mise au point par le PCI Security Standard Council, un organisme indépendant fondé en 2006 par les principales sociétés de cartes de crédit - American Express, Discover Financial Services, JCB International, MasterCard et Visa. La norme PCI est une initiative internationale dont le but consiste à améliorer la sécurité des données pour tous les titulaires de cartes bancaires, que les transactions soient eff ectuées dans un magasin ou en ligne. Elle est régulée par l’industrie, par le biais d’un ensemble de règles établies par les organismes de cartes bancaires et appliquées aux commerçants via les banques. Ces règles sont mises en œuvre par les banques (les banques

émettrices sont appelées « banques acquéreurs ») qui collaborent avec les revendeurs afi n de garantir le respect des exigences PCI. Les commerçants qui ne respectent pas ces règles doivent payer des amendes qui vont de 5 000 € à 23 000 €, des frais de transaction plus élevés ou doivent même faire face à des menaces de suspension des services bancaires, entraînant généralement la cessation des activités commerciales. Bien que chaque banque acquéreur ait auparavant eu sa propre approche, force est de constater une meilleure homogénéité et un consensus croissant quant à l’accélération de la mise en œuvre de la norme PCI.

Il n’existe pas de réglementation explicite sur la norme PCI en France. En revanche, aux Etats-Unis PCI-DSS est devenue une exigence déjà dans 5 Etats. Des lois obligent ainsi la mise en œuvre de certains composants de cette norme. Des spéculations ont été émises quant à la possibilité d’étendre l’application juridique de cette norme. Le gouvernement et les autorités de régulation jouent généralement un rôle plus actif dans la protection des données. Pour de la norme PCI, chaque point de communication représente une atteinte potentielle à la sécurité des données. Donc, au niveau élémentaire, que tous les justifi catifs de paiement par carte doivent être détruits.

Eric Chauvigné a tout d’abord commencé sa carrière en tant que gérant d’une webagency spécialisée dans le développement d’applications pour le web en 1999.

Il a 15 ans d’expérience, a occupé divers postes de management et a été chargé de la gestions de nombreux projets pour des sites e-marchands de grands VPCistes ou de marques françaises prestigieuses. En 2003, il intègre AB Croisière en qualité de Responsable informatique avant d’occuper le poste de Responsable Infogérance chez NetBenefi t puis de passer Business Manager de la fi liale française.

Sa passion pour les nouvelles technologies associée à sa volonté de toujours mieux répondre aux besoins des clients de NetBenefi t, l’ont poussé à s’investir dans le projet de certifi cation PCI DSS de nos plateformes.

Eric Chauvigné Business Manager NetBenefi t France

12 ÉTAPES POUR OBTENIR LA CERTIFICATION PCI DSS

ÉTAPE 01

Installer et gérer un Firewall pour protéger les données bancaires.

(3)

À un niveau plus complexe, il existe des règles strictes qui régissent la technologie utilisée pour gérer et protéger les données des titulaires de cartes. Une entreprise certifi ée PCI doit supprimer les données d’authentifi cation sensibles, limiter la conservation des données, protéger ses réseaux périphériques, internes et sans fi l, sécuriser ses applications et protéger toutes ses données par le biais d’un suivi permanent et d’un contrôle des accès. Les banques acquéreurs ont l’obligation de rapporter régulièrement aux émetteurs de cartes le statut de conformité des commerçants à la norme PCI. Elles estiment que les commerçants doivent considérer la certifi cation PCI comme une police d’assurance qui les protège des coûts fi nanciers liés au défaut de protection des données bancaires.

Se mettre en conformité avec la norme PCI est dans tous les cas une démarche intéressante pour l’entreprise, car cela lui permet d’améliorer l’effi cacité de ses processus et également de fonctionner de manière plus sécurisée (ce qui protège au fi nal son image de marque et sa réputation).

La norme PCI s’applique-t-elle à mon entreprise ?

Si vous stockez, traitez ou transmettez des données bancaires électroniquement ou manuellement, votre entreprise doit être certifi ée, quelle que soit sa taille. Par exemple, vous êtes autorisé à stocker des numéros de comptes primaires, des noms de titulaires de carte, des codes de service et des dates d’expiration dans la mesure où ces

informations sont protégées conformément aux exigences de la norme PCI. En revanche, vous n’êtes pas autorisé à stocker des codes PIN, des codes CVC (Card Verifi cation Code - Cryptogramme visuel) ou d’autres données d’authentifi cation sensibles, même si ces informations sont cryptées.

Dans la pratique, les banques acquéreurs ont jusqu’ici concentré leurs eff orts sur les grandes enseignes de la distribution. Mais, elles s’intéressent désormais de plus en plus aux petites et moyennes entreprises.

Chaque banque acquéreur a ses propres critères de taille et de type pour déterminer quels commerçants doivent être certifi és en priorité, ce qui explique qu’il puisse y avoir de légères diff érences. Votre entreprise a des chances d’être considérée favorablement si vous eff ectuez déjà des démarches de mise en conformité avec la norme PCI.

Quoi qu’il en soit, la certifi cation PCI reste un processus long et pénible pour la plupart des entreprises. Il s’agit pourtant d’une étape nécessaire, non seulement pour qu’un commerçant reste compétitif, mais également sur le long terme pour qu’il puisse continuer son activité.

ÉTAPE 02

Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe système et les autres options de sécurité.

(4)

Implications commerciales de la norme PCI Au fi nal, il vous faudra êter certifi é PCI.

Que vous soyez une multinationale « high- tech » ou une petite entreprise qui accepte les paiements par carte, en ligne ou non, une mise en application beaucoup plus rigoureuse sera de mise à partir de 2012.

Les technologies et les stratégies d’application de la norme PCI progressent de jour en jour.

La norme PCI a été conçue pour durer et va devenir de plus en plus présente dans les mois à venir.

Les frais de traitement de transactions devenant plus élevés pour bon nombre de commerçants non certifi és, certains ont fait leurs calculs et ont réalisé que les coûts liés à la certifi cation sont inférieurs au coût total de l’absence de certifi cation.

Dans la mesure où la certifi cation PCI couvre l’ensemble de votre environnement commercial, tous les partenaires tiers qui stockent, traitent ou transmettent des données bancaires doivent également respecter la norme PCI pour que vous puissiez obtenir une certifi cation complète.

Parmi ces partenaires tiers fi gurent :

• les prestataires de services de paiement ;

• les points de vente électroniques (EPOS) ;

• les fournisseurs de stockage de données ;

• les fournisseurs de paniers d’achat virtuels ;

• les fournisseurs de logiciels ;

• les hébergeurs de sites Web.

Par exemple, pour les commerçants qui ne traitent pas directement avec une banque acquéreur, mais qui utilisent une passerelle de paiement tierce (WorldPay ou PayPal, par exemple), les implications sont à la fois techniques et commerciales.

Cette passerelle de paiement est également tenue de satisfaire aux normes PCI, bien que toutes les passerelles ne soient pas certifi ées au même rythme. Pour pouvoir obtenir la certifi cation en tant que commerçant, vous devez prouver que votre prestataire de services de paiement satisfait aux exigences de votre propre certifi cation.

En théorie, l’utilisation d’une telle passerelle de paiement réduit les risques – après tout, ces prestataires sont des experts en matière de gestion sécurisée de telles transactions – mais chaque prestataire a un modèle de coûts diff érent pour la norme PCI. Cet aspect de la certifi cation n’a pas encore trouvé son juste milieu. De plus, certains prestataires

de services de paiement commencent désormais à refuser les commerçants qui ne sont pas encore complètement certifi és eux-mêmes. S’adresser à un prestataire de services de paiement ne permet donc pas pour autant de sortir de l’impasse.

La communauté PCI se concentre actuellement sur le volume.

ÉTAPE 03

Protéger les données bancaires stockées.

(5)

En d’autres termes, elle essaie d’empêcher que des informations bancaires ne soient volées par centaines. De nombreux cas d’entreprises gravement aff ectées par la perte de données bancaires ont déjà été recensés. Evoquons le cas bien connu de Sony qui avait fait l’objet de cyber attaques et avait du reconnaître le vol de données personnelles d’utilisateurs de ses consoles PS3 connectables au portail PlaySation Network.

Comment obtenir la certifi cation PCI pour mon entreprise ?

La norme PCI prévoit un seuil de 6 millions de transactions par an, en dessous duquel les commerçants peuvent s’autocertifi er PCI (toutefois, si un commerçant a déjà fait l’objet d’une violation de sécurité, un audit indépendant est toujours requis). Les entreprises qui dépassent ce seuil doivent être soumises à un audit annuel indépendant sur site. Tous les commerçants, quelle que soit leur taille, doivent également se soumettre à une analyse de leur réseau tous les trimestres par un ASV (Approved Scanning Vendor).

Ceux qui ont déjà suivi la procédure de certifi cation ISO ou Sarbanes-Oxley connaissent déjà le type d’approche requis pour la certifi cation PCI. La certifi cation PCI est aussi exigeante, sinon plus. Si votre entreprise traite plus de 6 millions de transactions par an, la certifi cation PCI exige qu’elle soit auditée par un organisme indépendant et certifi ée PCI Data Security Standard par un QSA (Qualifi ed Security

Assessor), lui-même certifi é par le PCI Security Standards Council.

Le QSA analysera votre situation, préconisera des mesures correctives pour résoudre les lacunes éventuelles, et fournira un certifi cat en bonne et due forme. Il eff ectuera également un audit chaque année pour vérifi er que vous remplissez toujours les conditions de certifi cation.

Les 12 exigences de la certifi cation PCI DSS peuvent s’avérer quelque peu déconcertantes pour un commerçant..

NetBenefi t a participé à toutes les étapes du processus à la fois en tant que commerçant et en tant que prestataire de services. Nous sommes donc à même de comprendre le projet dans son intégralité.

Nous voulions être en mesure d’off rir à nos clients une solution certifi ée PCI DSS qui s’adapte aux exigences des utilisateurs de passerelles de paiement, jusqu’aux commerçants qui gèrent eux- mêmes le processus de paiement.

Nous avons répondu à autant d’exigences que possible dans notre environnement d’hébergement certifi é PCI DSS. Nos clients peuvent ainsi se concentrer sur leurs propres systèmes, processus et lignes de conduite.

Darren Wiltshire,

Responsable Infrastructure, NetBenefi t.

ÉTAPE 04

Crypter la transmission des données bancaires sur les réseaux publics ouverts.

(6)

ÉTAPE 05

Utiliser un antivirus et le mettre à jour régulièrement.

Security La norme PCI DSS se compose de 12 exigences :

Élaborer et gérer un réseau sécurisé

Exigence 1 : Installer et gérer un Firewall pour protéger les données bancaires.

Exigence 2 : Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe système et les autres options de sécurité.

Protéger les données bancaires

Exigence 3 : Protéger les données bancaires stockées.

Exigence 4 : Crypter la transmission des données bancaires sur les réseaux publics ouverts.

Mettre en œuvre un programme de gestion des vulnérabilités

Exigence 5 : Utiliser un antivirus et le mettre à jour régulièrement.

Exigence 6 : Développer et gérer des systèmes et des applications sécurisés.

Implémenter des mesures strictes de contrôle d’accès

Exigence 7 : Restreindre l’accès aux données bancaires grâce au principe « besoin de connaître ».

Exigence 8 : Attribuer un identifi ant unique à chaque personne ayant accès à un ordinateur.

Exigence 9 : Restreindre l’accès physique aux données bancaires.

Suivre et tester régulièrement les réseaux

Exigence 10 : Tracer et suivre tous les accès aux ressources du réseau et aux données bancaires.

Exigence 11: Tester régulièrement les systèmes et les processus de sécurité.

Gérer une stratégie de sécurité des informations

Exigence 12 : Mettre en œuvre une stratégie répondant aux problèmes de sécurité de l’information.

(7)

Chaque exigence de la norme est divisée en sous-exigences plus spécifi ques.

Comme on peut le constater, obtenir la certifi cation PCI est un véritable défi pour toute entreprise. Cela demande l’implication de tous les décideurs de l’entreprise, et pas uniquement du DSI, du service clientèle ou des spécialistes marketing. Tous sont concernés. Votre directeur commercial et marketing voudra rassurer les clients et protéger le capital de la marque ; votre directeur fi nancer voudra rassurer votre banque en lui expliquant que vous réduisez les risques ; et votre service informatique voudra assurer une disponibilité sans faille.

La norme PCI garantit la sécurité physique de toute l’organisation (même au niveau le plus bas, en obligeant les visiteurs portent des badges d’identité) et implique ainsi de nombreux processus. Cela étant dit, la structure de conformité vise essentiellement à empêcher la fraude électronique et les violations de sécurité des données et se concentre donc tout naturellement sur la technologie.

Implications technologiques de la norme PCI

Un processus de transaction par carte de paiement commence par une demande d’autorisation, qui est généralement faite sur le point de vente via un terminal PDQ (Process Data Quickly). Le commerçant demande et reçoit l’autorisation de l’émetteur de la carte, ce qui lui permet de

réaliser la vente avec la promesse d’être payé. La banque acquéreur échange ensuite les informations avec l’émetteur de la carte, ce qui permet là encore au commerçant de réaliser la vente avec la promesse d’être payé. La banque du commerçant paie ce dernier et la banque du titulaire de la carte débite le compte du titulaire.

La responsabilité du commerçant est engagée lors de la première de ces étapes.

Qu’un prestataire de services de paiement tiers soit utilisé ou que le commerçant s’engage directement avec la banque acquéreur, le commerçant doit être en mesure de démontrer que tous les points de vulnérabilité potentielle (serveurs, routeurs, passerelles, connectivité réseau, points d’accès sans fi l, systèmes de stockage et de sauvegarde, pour n’en citer que quelques- uns) sont en conformité.

Pour pouvoir s’engager, électroniquement parlant, avec un partenaire ou un tiers pendant le processus d’autorisation, ces derniers doivent être capables de démontrer qu’ils respectent les normes avec vous, et inversement. Une infrastructure conforme à la norme PCI nécessite plusieurs couches de sécurité (dont des Firewalls classiques et des Firewalls applicatifs Web), et le centre de traitement des données lui-même doit être installé sur un site sécurisé. Si vos ordinateurs fonctionnent sous Windows et Linux, vous pouvez être accrédité pour les deux, mais chaque système d’exploitation nécessitera alors un audit séparé.

En fait, même des versions diff érentes d’un même système d’exploitation doivent être auditées individuellement.

ÉTAPE 06

Développer et gérer des systèmes et des applications sécurisés.

(8)

Chaque code d’application doit être certifi é comme sécurisé. Toutefois, gardez à l’esprit que bien que la mise en conformité avec la norme PCI semble onéreuse, elle reste l’approche la plus avantageuse pour la sécurité générale des informations et du réseau. La mise en conformité PCI est donc plus simple à réaliser pour une start-up que pour une entreprise de grande taille déjà établie qui compte un environnement hétérogène de serveurs et de solutions de stockage. De tels environnements, à la fois complexes et non structurés, présentent leurs propres défi s en termes de prévention de la perte des données, de disponibilité des informations, d’archivage et de coûts. Pour ces entreprises, la mise en conformité PCI peut nécessiter la mise en place d’un programme de consolidation, de virtualisation ou de migration planifi ées destiné à résoudre d’autres problèmes métier. La solution peut bien entendu consister à externaliser la gestion du data centre – ou le data centre lui-même – à un tiers. Dans pareil cas, vous serez toujours contraint d’auditer chaque composant, mais votre hébergeur devrait être à même de vous fournir un kit d’outils certifi é PCI, ce qui peut réduire considérablement le temps et les coûts liés à l’audit de

l’infrastructure. Cependant, tous les hébergeurs ne sont pas en mesure de répondre à ce besoin, et les avantages économiques que votre entreprise retirerait de l’externalisation pourraient être amoindris si vous deviez spécifi er et auditer chaque élément vous-même (y compris les aspects sécuritaires physiques non

techniques de la norme PCI).

NetBenefi t:

étude de cas de la certifi cation PCI

NetBenefi t dispose de deux atouts majeurs : elle propose un kit d’outils certifi é PCI à ses clients hébergés et bénéfi cie de l’expérience d’Easily, société sœur fi liale de GroupNBT, qui a mis en œuvre un processus de certifi cation PCI rigoureux en tant que commerçant. En sa qualité d’entreprise, Easily.co.uk traite des transactions bancaires pour ses clients et elle a donc dû obtenir la certifi cation PCI elle-même.

Cette section décrit son expérience et met en avant les domaines dans lesquels elle peut conseiller ses clients afi n de réduire les eff orts nécessaires pour passer à un environnement certifi é. L’entreprise a été contrainte par les banques acquéreurs d’obtenir cette certifi cation et, comme vu précédemment, elle a dû supporter des coûts de transaction plus élevés tant qu’elle n’était pas certifi ée. Le projet a débuté par la nomination d’un QSA (dans le cas de Easily.

co.uk, choisi parmi les membres de l’équipe de CNS, un consultant spécialisé basé à Londres). Le cahier des charges défi nissait les échéances, les responsabilités et le processus général.

La première étape a consisté à analyser les écarts, puis à défi nir des actions correctives. Tous les aspects ont ensuite été audités et ré-audités individuellement jusqu’à pouvoir être certifi és conformes.

Bien que l’évaluation de départ ait établi que les procédures, les processus et la En obtenant l’accréditation “prestataire

de services”, NetBenefi t a démontré que ses processus, systèmes, règles et procédures sont conformes aux exigences requises. Elle peut maintenant proposer un environnement certifi é PCI DSS à ses clients qui souhaitent adopter cette norme en tant que commerçants.

Kevin Dowd, Directeur de l’évaluation de sécurité, CNS

ÉTAPE 07

Restreindre l’accès aux données bancaires grâce au principe « besoin de connaître ».

(9)

technologie utilisés par Easily étaient de grande qualité, la tâche était colossale.

Elle a nécessité 18 mois de travail.

Le projet PCI a été géré, mis en œuvre et pris en charge par l’équipe d’ingénierie de NetBenefi t. La transition a été gérée par un groupe d’orientation choisi dans l’entreprise, parmi lesquels fi guraient les chefs de département suivants :

• Développement

• Ingénierie

• Fourniture de services

• Directeur des opérations

(sécurité physique et installations)

• Gestion des produits

• Contrôle fi nanciers

• Marketing

L’approbation fi nale de tous les aspects a été confi ée au DSI et au conseil d’administration.

Pour obtenir la certifi cation PCI DSS en tant que prestataire de services, NetBenefi t a élaboré un modèle d’environnement incluant toutes les exigences technologiques de la norme PCI. Les éléments choisis ont été sélectionnés parmi un ensemble de logiciels et de matériels industriels. Bien que, dans la réalité, les systèmes réellement utilisés nécessitent toujours d’être audités avec les propres applications du client.

L’objectif d’un modèle d’environnement est de garantir que tous ses composants sont « pré-audités » de façon effi cace. En d’autres termes, un audit réalisé par le QSA du client lui-même doit être un processus relativement simple et rapide.

La technologie et les principales fonctions du modèle d’environnement de NetBenefi t sont décrites ci-après.

Le modèle d’environnement fournit un schéma des solutions client. NetBenefi t met à la disposition de ses clients une documentation technique plus détaillée.

Depuis qu’elle a obtenu la certifi cation PCI, NetBenefi t se soumet chaque année à un audit. Cet audit revient à subir une « batterie de tests » tous les ans pour conserver sa certifi cation.

ÉTAPE 08

Attribuer un identifi ant unique à chaque personne ayant accès à un ordinateur.

(10)

ÉTAPE 09

Restreindre l’accès physique aux données bancaires.

Sauvegarde infogérée

Correctifs

Storage Area Network

Data centre Docklands Data centre

City

NetBenefit NOC Data centre

Greater London

LiNX Connection

LiNX Connection Transit Provider

Transit Provider

Transit Provider 1

Transit Provider 2 Data centre

Greater London

LiNX Connec

Transit Provider re

Transit Provider

Data cent City ction

1

T Transit Provider 1

Transit Provider 2

Firewall Système

de détection des intrusions Antivirus

ZONE 2

ZONE 1Serveur Web

Passerelle RDP

Firewall

SSL Antivirus

Suivi de l’intégrité des fichiers

Externalisé

Système de Logging et de Monitoring

8 1

2

7 6

11 10

4 5

9

12

Antivirus 6 12

11

1 Sécurité physique du data center 2 Firewall

3 Firewall applicatif 4 Serveurs 5 Modèle de serveur 6 Antivirus 7 Certification SSL 8 Gestion des correctifs de sécurité 9 Passerelle RDP

10 Sauvegarde infogérée 11 Système de Logging et de Monitoring 12 Monitoring de l’intégrité des fichiers 13 Scans trimestriels

14 Test d’intrusion

Serveur de base de données

Scans trimestriels Test d’intrusion

Vue d’ensemble du modèle d’environnement PCI de NetBenefi t

(11)

Ce schéma ci-dessous illustre la confi guration du modèle d’environnement de prestataire de services certifi é PCI de NetBenefi t. Le data centre est physiquement sécurisé.

Ce centre, et tous les sites Netbenefi t qui peuvent y accéder, sont régulés par des procédures de contrôle strictes. Le système inclut des Firewalls, des antivirus, une sauvegarde, le monitoring de l’intégrité des fi chiers et des fi chiers de log. Le système tout entier est soumis à des scans du réseau tous les trimestres et à des tests d’intrusion supplémentaires.

Pour les entreprises habituées à la certifi cation Sarbanes-Oxley, la norme PCI présente des diff érences importantes (ces normes reposent toutefois toutes les deux sur des contrats plutôt que sur des lois). Alors que la norme Sarbanes-Oxley pose les principes généraux des audits, la norme PCI requiert l’existence d’historiques d’audit pour l’ensemble des actions menées par une personne dotée des privilèges Root ou Administrateur. L’une des principales exigences d’une solution certifi ée PCI est donc que toutes les connexions utilisateur puissent être directement tracées et auditées. En séparant le réseau entre les diff érents sites NetBenefi t et le data center, et en utilisant une solution de passerelle sécurisée pour contrôler l’accès aux serveurs clients, une zone de connexion centrale a été créée à des fi ns d’audit et de sécurité. En environnement Windows, la passerelle RDP (Remote Desktop Protocol Gateway) permet aux utilisateurs d’orienter leurs clients RDP vers la passerelle. Elle joue ensuite le rôle de point de sécurité et de connexion central dédié à toutes les connexions.

En environnement Windows, la passerelle RDP (Remote Desktop Protocol Gateway) permet aux utilisateurs d’orienter leurs clients RDP vers la passerelle, qui joue ensuite le rôle de point de sécurité et de connexion central dédié à toutes les connexions.

La passerelle RDP est installée sur un serveur confi guré pour être hautement disponible et qui fournit un nom de domaine entièrement qualifi é accessible publiquement et en privé. Une fois le serveur de certifi cats installé, il permet l’utilisation d’un certifi cat SSL public avec vérifi cation du domaine par le biais de VeriSign ou d’une entreprise similaire. La résolution DNS (eff ectuée chez le commerçant ou en externe) pointe vers une adresse IP publique afi n de s’assurer que les certifi cats sont valides à la fois sur le réseau interne et sur le réseau externe.

Une autre solution consistant à utiliser des clés SSH (Secure Shell) est disponible pour les environnements Linux. Tous les fi chiers de log de serveur, d’application et de sécurité, sont sauvegardés et stockés pendant au moins 1 an pour respecter les exigences de la norme PCI.

ÉTAPE 10

Tracer et suivre tous les accès aux ressources du réseau et aux données bancaires.

(12)

Avantages du partenariat avec NetBenefi t au regard de la certifi cation PCI

NetBenefi t est le partenaire idéal, dans la mesure où il peut conseiller ses clients pour les aider à réduire le temps et les coûts d’audit associés à la mise en conformité PCI. NetBenefi t peut également fournir un ensemble de solutions d’hébergement à la pointe de la technologie et éprouvées dans le cadre d’un processus d’audit exigeant.

Le délai de lancement peut ainsi être réduit, dans la mesure où les clients n’ont pas à démarrer leurs programmes de certifi cation de zéro. Pour les clients déjà équipés d’un système e-commerce qui cherchent à migrer vers une plate-forme certifi ée PCI, NetBenefi t propose un environnement déjà adapté. Certains clients n’ont pas nécessairement besoin de tous les composants proposés par NetBenefi t. Le modèle d’environnement de NetBenefi t permet de réduire certains aspects à une liste de contrôle plutôt que procéder à un audit intégral. NetBenefi t peut conseiller ses clients sur la plupart des 12 exigences de la norme PCI, à l’exception de l’exigence n°6 (qui se rapporte à l’application du client) et de l’exigence n°7 (qui restreint l’accès aux données dans l’entreprise elle-même selon le principe de « besoin de connaître »).

En pratique, une solution hébergée par NetBenefi t permet de disposer d’un centre de sécurité conforme à sept des exigences de la norme PCI :

En résumé, les trois principaux avantages d’un partenariat avec NetBenefi t pour votre solution certifi ée PCI sont les suivants :

• Délais réduits

• Coûts d’audit réduits

• Coûts d’infrastructure réduits (par une infrastructure hébergée)

Que vous recherchiez votre toute première solution d’hébergement ou que vous souhaitiez changer d’hébergeur, NetBenefi t peut vous recommander les raccourcis les plus effi caces pour votre propre programme de certifi cation PCI.

ÉTAPE 11

Tester régulièrement les systèmes et les processus de sécurité..

(13)

ÉTAPE 12

Mettre en œuvre une stratégie

répondant aux problèmes de sécurité de l’information.

« NetBenefi t est l’un des rares

hébergeurs Européen a obtenir le statut de prestataire de services accrédité PCI DSS. NetBenefi t a compris la valeur d’une telle accréditation et est maintenant dans une position idéale pour en faire bénéfi cier ses clients.

Nous les avons trouvés pragmatiques, enthousiastes et, surtout, extrêmement compétents sur les questions de conformité.»

Kevin Dowd,

Directeur de l’évaluation de sécurité, CNS

Exigence 1 : Installer et gérer un Firewall pour protéger les données bancaires.

Exigence 4 : Crypter la transmission des données bancaires sur les réseaux publics ouverts (via la certifi cation SSL).

Exigence 5 : Antivirus Exigence 8 : Unique ID

Exigence 9 : Restreindre l’accès physique aux données bancaires.

Exigence 10: Tracer et suivre tous les accès aux ressources du réseau et aux données bancaires.

Exigence 11: Tester régulièrement les systèmes et les processus de sécurité.

Firewall Fortinet

Anti-virus Kaspersky Système de détection d’intrusion IDS sur les pare-feu

SSL (chiff rement du trafi c) SSL VeriSign

Firewall Web applicatif Barracuda Networks modèles 360 à 660 Sécurité physique du data centre

Authentifi cation à deux facteurs VPN avec combinaison identifi ant/mot de passe sur les Firewalls

Noms d’utilisateurs individuels Passerelle RDP pour Windows ou clés SSH individuelles pour Linux

Renforcement de la sécurité des serveurs

Réseau sécurisé Vlan privé pour les clients avec les paramètres PCI sur leur partie du réseau ; notre réseau NOC (Network Operations Centre) est conforme à la norme PCI Solution de logging et de CNS COMPLIANCEngine : Il permet le monitoring, une

connexion centralisée, la réponse aux incidents Noms d’utilisateurs individuels Passerelle RDP pour Windows ou clés SSH individuelles

pour Linux Renforcement de la sécurité des serveurs

Réseau sécurisé Vlan privé pour les clients avec les paramètres PCI sur leur partie du réseau ; notre réseau NOC (Network Operations Centre) est conforme à la norme PCI Solution de logging et de monitoring (externalisé)

CNS COMPLIANCEngine : Il permet le monitoring, une connexion centralisée, la réponse aux incidents FIM (File Integrity Monitoring Serveur d’infogérance avec OSSEC (Open Source Monitoring de l’intégrité Security, Host-Based Intrusion Detection System)

des fi chiers) installé

Notre Kit PCI DSS

monitoring (externalisé)

(14)

Glossaire

Banque acquéreur : Banque qui émet des cartes de paiement ou de crédit pour le compte d’un émetteur de cartes.

ASV : Approved Scanning Vendor (Chargé du scan trimestriel du réseau).

PCI (DSS) : Norme Payment Card Industry (Data Security Standards).

PCI Security Standards Council : Conseil des normes de sécurité, organisme qui régule la norme PCI DSS.

QSA : Qualifi ed Security Assessor (expert en sécurité – certifi é par le PCI Security Standards Council pour exécuter des audits annuels indépendants sur site).

ROC : Report on Compliance (rapport de conformité – document formel rempli par le QSA pour la banque acquéreur).

RDP : Remote Desktop Protocol

SAQ : Self-Assessment Questionnaire (questionnaire d’autoévaluation – utilisé pour la certifi cation des commerçants qui traitent moins de 6 millions de transactions par an).

SSH : Secure Shell

Tier 1 – Tier 4 : Le PCI Security Standards Council a réparti les commerçants selon le nombre de transactions qu’ils eff ectuent chaque année. Les banques acquéreurs ont concentré leur attention sur les commerçants de niveau 1 (Tier 1), c’est-à- dire sur ceux qui traitent plus de 6 millions de transactions par an et qui nécessitent une évaluation QSA. Les niveaux 2 à 4 (Tiers 2 à 4), qui incluent tous les autres commerçants, doivent tous procéder à une autocertifi cation et eff ectuer des contrôles réseau trimestriels.

Classifi cation des marchands : Niveau Transactions/an Tier 1 + de 6 million Tier 2 Entre 1 et 6 million Tier 3 Entre 20000 et 1 million

(15)

À propos de NetBenefi t

Fondée en 1995, NetBenefi t est l’une des entreprises d’hébergement les plus expérimentées sur le marché.

Nous sommes spécialisés dans la mise en place de solutions d’hébergement personnalisées qui off rent sécurité, résilience et performance aux applications, sites Internet, sites e-commerce et campagnes publicitaires en ligne.

Nous avons surfé sur la vague Internet pour nous positionner aujourd’hui comme le prestataire leader de solutions d’hébergement fl exibles et personnalisées pour de grandes marques, tout en conservant une taille humaine qui nous permet de nous engager avec succès auprès de tous nos clients.Notre équipe se compose de consultants, de conseillers avant-vente, de chefs de projet, d’architectes techniques et d’ingénieurs expérimentés. Tous ont à cœur de garantir le succès en ligne de votre entreprise. Nous nous concentrons sur la mise en œuvre de solutions d’hébergement permettant ainsi à nos clients de porter leur attention sur le cœur de leur métier en toute sérénité.

À propos de CNS

CNS est une société de conseil spécialisée dans la sécurité des informations et les technologies de réseau. Elle a été fondée en 1999 à la City de Londres et est la propriété exclusive de ses employés et de ses directeurs. Ses clients ont une taille variable (FTSE 100, grandes organisations du secteur public, PME) mais ont une même compréhension de l’importance des informations numériques dans leur entreprise, un même désir de sécuriser leurs systèmes et leurs données et de satisfaire leurs exigences en termes de connectivité.

CNS est un QSA PCI DSS et un responsable d’audit CESG CHECK & CLAS Consultancy

& ISO27001 qui fournit des services de conseil, de gestion de projet, d’assurance qualité et de certifi cation. www.cnsuk.

co.uk www.compliancengine.com.

Pour en savoir plus

Site Internet offi ciel du PCI Security Standards Council :

www.pcisecuritystandards.org

• NetBenefi t compte environ 70 membres dévoués au succès de l’entreprise de nos clients.

• Nous sommes implantés au Royaume-Uni et en France.

• Nous apportons une assistance professionnelle et technique 24 h/24, 7 j/7 et 365 j/an.

• Nous disposons de trois data centers, et d’un quatrième basé à Copenhague pour une résilience supplémentaire.

• Notre équipe est soumise à la Baseline Personnel Security Standard.

• Outre l’assistance technique et l’infrastructure proposées à nos clients, nous travaillons en étroite collaboration avec Dell et Microsoft pour développer, tester et lancer de nouveaux services d’hébergement.

• NetBenefi t fait partie de Group NBT.