Formation PCI DSS

Envoi du lien de cette page par mail

• Introduction
• Les six thèmes et les douze exigences du standard PCI DSS
• Les objectifs de conformité et la certification
• La gestion de votre projet PCI-DSS
• Conclusion

RSSI ou correspondants sécurité, architecte de sécurité, ingénieurs sécurité, chefs de projets (MOE, MOA) devant intégrer des exigences de sécurité réglementaires.

Bonnes connaissances dans la gestion de la sécurité des SI.

Introduction

- L'historique et les objectifs du comité PCI (PCI Council). Les obligations à respecter.

- Quelles menaces spécifiques sur le e-commerce ? Les sources de menaces.

- Le standard PCI DSS apporte-t-il des avantages pour votre métier ?

- Les obligations de PCI DSS 1.2 et 2.0. L'objectif de conformité incontournable.

- Les domaines d'application du PCI DSS.

- La relation entre PADSS et PCI DSS, les conditions et procédures d'évaluation.

Les six thèmes et les douze exigences du standard PCI DSS

- Création et gestion d'un réseau sécurisé. Condition 1 : Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes. Condition 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur.

- Protection des données des titulaires de cartes de crédit. Condition 3 : Protéger les données de titulaires de cartes stockées. Condition 4 : Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts.

- Gestion d'un programme de gestion des vulnérabilités. Condition 5 : Utiliser des logiciels ou des programmes antivirus et les mettre à jour régulièrement. Condition 6 : Développer et gérer des systèmes et des applications sécurisés.

- Mise en oeuvre de mesures de contrôle d'accès strictes. Condition 7 : Restreindre l'accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître. Condition 8 : Affecter un ID unique à chaque utilisateur d'ordinateur. Condition 9 : Restreindre l'accès physique aux données des titulaires de cartes.

- Surveillance et test réguliers des réseaux. Condition 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes. Condition 11 : Tester régulièrement les processus et les systèmes de sécurité.

- Gestion d'une politique de sécurité des informations. Condition 12 : Gérer une politique de sécurité des informations pour l'ensemble du personnel.

Les objectifs de conformité et la certification

- Quels sont les objectifs de conformité. Comment les définir.

- Le champ d'application de l'évaluation de la conformité aux conditions de la norme PCI DSS. Segmentation réseau. Technologie sans fil. Prestataires tiers/Sous-traitance. Echantillonnage des installations de l'entreprise et des composants du système .

- Contrôles compensatoires.

- Savoir se positionner dans le système de classement.

- Comment effectuer une auto-évaluation et un audit à blanc.

- Quel périmètre soumettre à la certification ? Quels actifs sont concernés ?

- Comment la conformité est vérifiée ? Les organismes de validation ? les auditeurs externes.

- Comment se préparer et anticiper les écarts classiques / référentiel.

La gestion de votre projet PCI-DSS

- La norme PCI-DSS en lien avec la conformité globale (ISO 27001, CoBIT, ITIL, etc.).

- Les études de cas en appui de la démarche PCI DSS.

- Choisir les auditeurs et préparer la méthodologie de tests.

- La formation du personnel. Le rôle de l'organisation.

- Définir une road map vers la certification PCI DSS.

Conclusion

- Les particularités du marché français, le positionnement de ses acteurs.

- Le déploiement généralisé du paiement EMV.

- Le fournisseur approuvé par la norme PCI DSS. Quel avantage technique et ... commercial ?

- L'émergence de nouveaux standards : du " sans contact " au paiement mobile.

- Panorama des nouvelles méthodes de paiement : EMV, sans contact (Paypass et VisaWave) et paiement mobile.

- Les autres normes à venir en lien avec le paiement.