Nous gérons 30% de l’activité forensic pour Visa et Mastercard

Nous avons aujourd’hui une activité mondiale en ce qui concerne la fraude et le forensic (vol de cartes, d’informations,…). Nous sommes le premier partenaire appelé par Visa en cas de fraude. Nous gérons 30% de l’activité forensic pour Visa et Mastercard. L’objectif est de déterminer quelles sont les brèches et de savoir comment réagir en cas d’incident ? L’activité se décline autour de trois responsables présents respectivement en Europe, en Asie et aux Etats-Unis, plus des consultants dans chaque pays. Il n’existe pas de mono-activité dédiée au forensic, toutefois chaque pays est doté de consultants spécialisés et disponibles en cas de besoin.

Le PCI DSS n’est qu’un subset de la norme ISO 27001 associée à la donnée carte

Nous sommes également auditeur PCI DSS, nous faisons de la certification clients. Nous sommes d’ailleurs en phase d’être recertifiés PCI DSS. Le marché du PCI DSS est plus actif en ce moment qu’il y a quelques mois. C’est un sujet d’actualité. Le marché est là et s’impose à nous. Par rapport au temps où c’était perçu comme une invasion américaine, un certain nombre d’acteurs sont aujourd’hui confiants par rapport à ce standard. Le PCI DSS n’est qu’un subset de la norme ISO 27001 associée à la donnée carte. Ils ont intégré le PCI DSS dans la gouvernance des risques et de la gestion du SI. A terme, nous risquons d’assister au croisement des différentes normes ISO 27001, Sarbanes-Oxley, PCI… Toutes ces normes vont se rejoindre. Le PCI, c’est une bonne pratique.

Verizon Business ne fournit pas que du conseil, nous offrons une activité managée à côté, c’est ce qui fait la force de notre groupe. Avoir une approche globale dans la sécurité est important. Entre deux audits, nous sommes présents pour répondre aux questions, donner des conseils. La notion d’accompagnement est fondamentale dans notre offre. Nous apportons des compléments de services PCI DSS : audits, tests d’intrusion, scans de vulnérabilité, stockage des données clients, sécurité physique des locaux, outils, méthodes, documentation. Nous offrons la possibilité aux banques d’avoir une vue sur l’état de certification des commerçants dont elle a la charge. Les banques peuvent ainsi cibler les commerçants à risque.

Nous nous assurons qu’aucune donnée carte n’est stockée

Nous sommes également fournisseur dans le domaine de la monétique et des terminaux de paiement. C’est une grosse activité pour nous. Nos QSA doivent comprendre le milieu de la monétique. Il est difficile de trouver de bons profils, c’est-à-dire des auditeurs qui savent faire de la monétique.

Dans l’audit, nous ne certifions pas l’entreprise mais tout le périmètre qui concerne la donnée carte. Est-il possible de récupérer de la donnée carte ? Nous faisons du test d’intrusion et nous nous assurons techniquement qu’aucune donnée carte n’est stockée. Pour cela, nous décortiquons le process. Qui accède à la donnée ? Est-ce légitime ? La donnée carte ne peut être conservée sur le périmètre défini. Nous certifions qu’ils ont mis en place les bonnes pratiques pour la donnée carte.

Lorsque nous certifions un commerçant, c’est notre responsabilité qui est engagée

C’est un business délicat. Le problème quand nous certifions un commerçant ou un fournisseur, c’est que nous engageons notre responsabilité, y compris financière. Selon une clause dans le contrat, la somme à payer à Visa est assez conséquente. En France, nous allons certifier les premiers commerçants dans les mois à venir.

Pour Christophe Bianco, l’exemple d’entreparticuliers.com est significatif même si aucune fraude n’a été détectée pour l’instant. Des données bancaires se sont retrouvées pendant plusieurs mois en accès libre. Entreparticuliers.com fut victime d’une faille informatique qui permettait d’accéder aux données bancaires de ses clients, y compris au cryptogramme. Alertée dans un premier temps par un blogueur, la direction du site a cru à une mauvaise blague avant de reconnaître un peu plus tard son erreur. La sécurisation des données personnelles est une obligation pour le détenteur de ces données. Les responsables de la société risquent d’ailleurs, selon la Loi Informatique et Libertés, une peine de 5 ans d’emprisonnement et 300 000 euros d’amende pour ne pas avoir protéger les données de leurs clients. Comme le souligne Christophe Bianco, la donnée est à risque, elle doit être manipulée comme telle. Les gens manipulent souvent les données sans en évaluer le risque.

Nous certifions également les applications

Nous faisons également du PCI PABP (Payment Application Best Practices), il s’agit de la certification d’applications. Nous sommes beaucoup moins à proposer ce service sur le marché. De plus en plus de criminels ciblent les faiblesses des applications de paiement pour s’approprier les données des cartes de paiement, certains logiciels pouvant stocker ces données dans un système utilisateur sans le savoir. La gestion par le PCI Security Standard Council d’une liste reconnue mondialement d’applications de paiement facilitera le choix des commerçants parmi les applications de paiement homologuées et acceptées par la plupart des marques de paiement, garantissant ainsi la sécurité des données du titulaire de carte.

PA-DSS est le programme, aujourd’hui géré par le conseil, dont s’occupait par le passé Visa Inc. et connu sous le nom de PCI PABP. PA-DSS a pour mission d’aider les vendeurs de logiciels et autres à développer des applications de paiement sûres ne stockant pas de données interdites, telles que la piste magnétique complète et autres données d’identification sensibles et garantir ainsi qu’elles satisfassent au PCI DSS. Les critères PA-DSS s’appliquent aux applications de paiement vendues, distribuées ou licenciées à des tiers. Les critères PA-DSS ne s’appliquent pas aux applications de paiement de clientèle développées par des commerçants ou prestataires de service n’étant pas vendues à un tiers, ces applications devant de toute manière être sécurisées conformément au PCI DSS.

Le PCI Security Standards Council a été formé par les grands réseaux de cartes de paiement American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc., dans l’objectif d’améliorer la sécurité des données de paiement par la promotion et l’éducation autour des normes PCI Data Security Standard et autres standards qui augmentent le niveau de sécurité des données de paiement.