Comment se confermer aux normes PCI et quelles sont les avantages de la procédure.
Having issues accessing the video above? Watch the video here.
Comment se confermer aux normes PCI et quelles sont les avantages de la procédure.
Contact pour commencer la procédure:
This webinar was given on May 2nd, 2018.
Merci pour être avec nous aujourd'hui, je m'appelle Ivan Delagio, je suis l'agent principal des conformité au nom de PCI DSS à SecurityMetrics.
Aujourd'hui on va parler sur les fondamentaux de la conformité PCI, c'est la vérification sécuritaire pour toutes les entreprises ou les entités qui acceptent les cartes de crédit qui traitent ces infos.
Le premier sujet dont on veut parler aujourd'hui est le suivant, comment est-ce que la procédure de conformité pci vous aide comme entreprise Comment est-ce que cette procédure protège votre agence Le pci s a c est le groupe de gestion de la sécurité pour l'industrie de paiement par carte de crédit a été et a été créé par les principales sociétés de cartes de crédit AMEX Discover Mastercard Visa. Ce groupe a créé des nombres PCI DSS pour minimiser la possibilité de vol d'information ou de fraude concernant les commerçants qui acceptent et traitent les informations de cartes de crédit. Qu'est-ce
que c'est le PCI DSS Le PCI DSS est une liste de douze politiques de gestion de cartes que les commerçants doivent suivre et mettre en place pour accepter les cartes paiement. Cette règle explique comment manipuler, traiter et stocker en toute sécurité les données confidentielles de la carte de paiement. Qui devrait se conformer à PCI DSS Tous les commerçants acceptant Visa, Mastercard, Discover ou Remax sont exigés à se conformer aux normes PCI et DSS.
Pourquoi devrais-je prendre soin de compléter la procédure PCI et être en conformité avec les normes PCI et DSS.
Entreprises qui respectent les nombres PCI ont une meilleure capacité pour résister avec succès les attaques cybernétiques.
La sécurité des données est maintenant plus importante que par le passé car les criminels se sont modernisés et trouvent plus de moyens de voler d'informations. En deux-mille-seize par exemple, le nombre d'intrusions dans les environnements marchands aux États-Unis par exemple a augmenté de quarante pour cent. Trente-sept millions de documents privés ont été exposés en deux-mille-seize en raison d'intrusion informatique. Être en conformité ou se conformer en non-PCI est Être en conformité ou se conformer en non-PCI est la meilleure façon que le secteur privé a mise à disposition pour prévenir ce type d'attaque. Le FPI rapporte que les attaques au sein de la catégorie l'ingénierie sociale ont entraîné des coûts pour les commerçants d'une valeur de plus de trois milliards de dollars et ça seulement en deux-mille-seize.
La conformité est obligatoire de la part de toutes les grandes sociétés émettrices de cartes. Et le non-respect des nombres PC et ISS peut entraîner la révocation de la capacité de traitement des cartes par les processeurs de paiement pour les commerçants.
Votre processeur commercial peut exiger des rapports sur état de conformité à votre validation PC actuelle.
Votre processeur commercial peut vous facturer des frais pour ne pas être en conformité.
En cas d'intrusion et de vol des données, le commerçant est passible d'amende, de pénalité, des coûts associés résultant à l'infraction si le commerçant ne se confond pas à un non-PCIDSS.
Ces taux totalisent souvent plus de cent mille dollars.
Comment puis-je établir ma conformité en non-PCI DSS Prenons en compte le fait que les situations de traitement des cartes et des technologies changent, SecurityMetrics fournit une solution PCI entièrement compatible conçue pour aider votre entreprise ou votre agence à atteindre et maintenir la conformité PCI.
Il y a quatre étapes pour obtenir la conformité PCI. La première c'est d'identifier votre environnement de carte de crédit. Deuxième, compléter le questionnaire d'auto-évaluation.
Troisième, réussir le balayage externe pour trouver des vulnérabilités sécuritaires. Numéro quatre, 4 envoyer les rapports et le certificat de conformité. C'est un instant je m'excuse.
La manière dont vous en tant que marchand accepter et traiter les cartes détermine les exigences pci qui doivent être mises en oeuvre dans votre entreprise.
Ce qui a une lettre exposée à déterminer vos exigences pci sur notre site web ou auprès de l'un de nos agents de conformité par téléphone.
Pour vous les francophones, moi je vais être la personne qui peut vous aider à déterminer exactement quelles vont être les choses nécessaires pour que vous puissiez être en conformité.
Pour la première d'identifier votre environnement de carte de crédit, il y a quatre questions dont on veut parler aujourd'hui.
Alors pour découvrir sa propre portée PCI et ce qu'elle doit inclure pour la conformité PCI, vous devez identifier tout ce qu'elle traite, stocke ou transmet en ce qui concerne les données du titulaire Ricard. Vous devez également identifier tout système gérant les données de titulaire Ricard et évaluer qui a accès à votre environnement Ricard. Il y a toujours des processus dont vous n'êtes pas tenus au courant par exemple si vous êtes un magasin qui accepte les cartes, acceptez-vous les numéros de cartes par téléphone ou recevez-vous des courriels contenant des informations sur la carte Y a-t-il eu une panne de courant dans laquelle les données de carte ont été saisies manuellement Vous devez identifier le système qui touche des données sensibles.
Après avoir analysé votre environnement, posez-vous ces cinq questions supplémentaires à votre équipe. Comment gérons-nous nos systèmes Et comme je vous ai dit dans les, ici dans la présentation vous, il y a les quatre premières questions qui sont très importants pour savoir exactement comment identifier, juste un identifier juste un instant. Les six grandes questions ici que je viens de parler ce sont les cinq questions qui sont supplémentaires et importantes pour l'équipe. Comment gérons-nous nos systèmes Comment nous connectons-nous au réseau Comment sauvegardons-nous nos systèmes Comment nous connectons-nous pour obtenir des rapports Comment réinitialiser les mots de passe Ce sont des choses importantes pour savoir exactement ce que vous devez faire pour savoir bien quelles sont les exigences correctes pour l'organisation.
Alors pour commencer, ça dit identifier votre environnement. Alors essentiellement si une machine enregistre traite ou transmet des informations de cartes ou se trouve sur le même réseau que les machines qui le font, cet appareil est considéré comme faisant partie de son environnement de sécurité et doit être protégé.
Alors ça dit les composants de systèmes qui seraient probablement considérés dans votre environnement de carte. Par exemple dispositif de travail sur le réseau serveur, commutateurs, raptor, ordinateurs et applications.
Comme je viens de dire, tous les appareils et les dispositifs qui utilisent le réseau, le réseau qui est utilisé pour transmettre des cas de crédit se sont considérés dans le système.
Si vous ne connaissez pas les réponses à toutes les questions, il n'y a pas de problème. Nos agents peuvent vous aider. Ma recommandation est de nous appeler pour ce que nous puissions vous aider la première fois correctement à commencer la procédure. De temps en temps ça fait, c'est un peu difficile de vous-même de faire sur notre site web parce que parmi les questions il y a des termes qui sont un peu difficiles à comprendre alors moi je dis que ça serait mieux de nous parler directement pour que nous puissions vous aider à savoir ce qui est nécessaire pour votre procédé de conformité.
Alors la deuxième étape c'est compléter le questionnaire de votre évaluation, c'est-à-dire que vous devez compléter le formulaire dont IATA a besoin dont le PCI a besoin, Ce document, c'est le document formel qui accepte de votre part comme une entité commerciale que vous avez accepté et vous avez mis en place les standards sécuritaires.
Tous les commerçants ont l'exigence de remplir ce questionnaire de évaluation, votre questionnaire spécifique et déterminé sur la façon dont vous acceptez et traiter les informations de la carte.
Voici en anglais, il y a des exemples des types de formulaires ou questionnaires que nous assignons aux clients juste pour que vous puissiez savoir les documents que nous allons vous envoyer ça doit être complètement en français. Alors ici j'ai pu seulement trouver à l'image en anglais il y a les exemples des types de formulaires. Mais comme je vous ai dit je m'excuse pour ne plus avoir pu trouver une version française mais il faut vous assurer que tous les documents encore dont nous parlons seront disponibles en français pour vous après avoir fait l'enregistrement dans notre système. Alors,
quatre-vingt-deux pour cent des clients de SecurityMetrics qui ont commencé leur questionnaire ont obtenu un résultat positif de passing. Alors dans le document vous allez voir qu'il y aurait beaucoup, il y aura beaucoup des questions. Parmi ces questions il y a beaucoup de termes plus techniques, plus difficiles mais comme ça dit, 82 des clients ont pu réussir ce document. Alors nous sommes ici pour vous aider pour que ça soit plus facile pour vous, pour que ça soit facile et soit efficace d'être dans votre système et de remplir le document.
La troisième étape ici c'est réussir les balayages externes pour trouver les vulnérabilités de votre réseau. Ici vous allez voir avec votre questionnaire qu'il y aura une deuxième étape de la procédure, ça sera de réussir des examens que nous allons faire pour vous sur votre réseau commercial pour vérifier qu'il n'y a pas des problèmes sécuritaires qui existent sur le réseau. Alors les commerçants qui traitent, stockent ou transmettent des données de titulaires de cartes en ligne et sont tenus d'effectuer des analyses de vulnérabilité de réseau externe par un fournisseur d'analyse approuvée. Nous sommes légalement à assigner et à prouver de la part du PCI de faire ces examens pour les agences et pour les entités commerciaux.
Généralement les analyses de vulnérabilité génèrent une liste par rapport des vulnérabilités trouvées et des références pour de futures enquêtes de vulnérabilité.
Certains offrent même des instructions sur la façon de résoudre les problèmes trouvés. Malgré ce que de nombreuses entreprises croient, les balayages ne suffit pas. Alors vous ne pouvez pas simplement scanner puis ne rien faire en réponse au rapport. Il faut agir rapidement contre toutes les vulnérabilités détectées pour être assuré que les problèmes de sécurité sont résolus.
Puis il faut réanalyser pour vérifier que les vulnérabilités ont été résolues avec succès.
Assurez-vous que votre fournisseur d'analyse approuvée inclut un nouveau test afin de pouvoir savoir si les problèmes ont été résolus. Une partie des services de sécurité est la possibilité d'avoir des scans ou variages illimités. Alors si on fait le scan la première fois vous ne réussissez pas, ce n'est pas un problème parce que nous allons faire toutes les fois nécessaires pour que vous puissiez avoir le résultat positif.
Alors c'est bien la deuxième partie de la procédure c'est le scan. Ok alors juste pour que vous puissiez savoir sommairement il y a deux étapes la procédure PCI.
Si vous êtes agence de voyage normalement il y a le questionnaire il y a aussi le scan et nous faisons le scan. Ici vous voyez le menu que nous avons sur notre système, ici vous allez voir les résultats par exemple sur l'écran vous voyez les adresses IP différentes, souvent les Target. Alors vous allez nous donner votre adresse IP pour votre réseau, ici vous allez voir les résultats. Si vous recevez des statuts ou des problèmes, des statuts échoués ou des problèmes dans le résultat, vous allez voir les explications avec les spécifiques résultats pour vous dire exactement ce qui s'est passé. L'outil d'analyse curated metrics vous aide à organiser les scans, filtrer et embrouiller les résultats d'analyse et gérer efficacement l'effort positif. Les positifs sont des exemptions dont on peut parler avec vous quand vous soyez dans votre système. Alors la quatrième étape c'est de rapporter le certificat de conformité.
Les marchands doivent rapporter leur statut de conformité, c'est-à-dire leur certificat et leur processeur. Marchand. Vous devez envoyer une copie de ce document pour que les entités nécessaires sachent que vous êtes en conformité.
Dans le cas des agents travaux portent normalement vous devez envoyer une copie de votre attestation de conformité directement iota. Moi je peux, je peux remplir le document pour vous pour que vous puissiez l'avoir.
Comme je viens de vous dire, nous envoyons le statut de conformité au processeur marchand, nous envoyons des nouvelles concernant les comptes de nos clients à nos clients pour qu'ils puissent être retenus au courant de la procédure et nous contactons nos clients pour les aider à renouveler leurs services PCI. Ici dans l'écran, sur l'écran vous pouvez voir les certificats et les rapports qu'on vous envoie pour auxquels vous avez accès.
Si vous avez un nouveau partenaire par exemple qui veut savoir que vous êtes en conformité avant de commencer une relation avec vous, il y a beaucoup des différents certificats et des rapports que vous pouvez imprimer ou que vous pouvez scanner ou envoyer par courriel pour qu'il puisse avoir ces infos.
Alors à quelle fréquence dois-je valider les nombres PCI-DSS Être en conformité au nom PCI n'est pas un événement singulière. C'est une procédure qu'il faut tenir au courant jour à jour.
Vous comme marchand, doit valider votre statut de conformité p c annuellement.
Alors inclus dans le cette exigence et la responsabilité d'envoyer le questionnaire annuellement et assurer que les balayages ou scans soient réussis.
Même si la certification est faite seulement une fois par année, les standards p c I exigent que les marchands soient en conformité toujours. Alors vous devez surveiller l'environnement de paiement par carte pour identifier des activités suspectes et pour éviter un vol des données de carte de crédit. Vous devez savoir que tous les jours, toutes les politiques qui existent en locationnaires sont mises en place dans votre environnement de carte de crédit. Alors c'est-à-dire validation annuelle, conformité toujours. Certifiez le questionnaire, réussissez les balayages annuellement, mais la conformité des employés, c'est très important. Il faut tenir au courant l'environnement de paiement par carte par rapport au standard PCI.
En général, les organisations ne tirent pas partie de nombreuses exigences PCI d'une manière qui améliore réellement la sécurité de leur environnement de données de Cout. La surveillance de l'intégrité des fichiers et la conservation des enregistrements aident uniquement les organisations à prendre le temps d'ajuster ces systèmes pour configurer les processus afin de répondre aux véritables alertes. Il faut documenter les politiques et procédures et il faut avoir un processus de contrôle des changements internes spécifiques et exhaustifs. Suivez toujours le processus d'approbation documenté avant la mise en oeuvre. Alors comme ça dit ici, il n'y a pas beaucoup de marchands qui font la procédure PCI qui vraiment met en place tous les standards et c'est très important de faire ça.
Alors comment est-ce que nous pouvons vous aider Comment est-ce que ce curated matrix vous aide avec nos services. Alors SecurityMetrics est un fournisseur leader de solutions de sécurité des données professionnelles et vous aidera à comprendre comment se conformer au sein d'un PCI. Le service de SecurityMetrics contient le questionnaire les balayages et un service de qualité garantie. C'est-à-dire un service de support, vous pouvez nous contacter, on peut être ici pour vous aider à bien remplir le document et bien réussir les balayages.
SecurityMetrics vous aide à comprendre la conformité PCI, découvrez la portée de vos exigences PCI, valider et signaler la conformité PCI à votre processeur. Nous sommes là pendant toute la procédure. Nous sommes là pour vous assigner des documents corrects, nous sommes là pour vous aider à remplir ces documents et après ça pour envoyer le certificat des documents corrects aux entités collectives pour vous. Dans ce cas, ça sera presque toujours je pense dans vos cas. Alors merci d'avoir participé à cette présentation avec nous aujourd'hui.
S'il vous plaît contactez-moi pour commencer votre service ou avec plus de questions afin que je puisse vous aider à comprendre la procédure. Alors je suis là normalement de neuf à cinq heures, c'est neuf à cinq heures heure de Californie et vous pouvez envoyer un courriel tout le temps, je suis ici pour vous répondre, vous pouvez me faire un appel téléphonique, ça sera plus facile pour moi, mais oui c'était un plaisir de parler avec vous aujourd'hui j'espère que tout ça est bien chez vous et si vous avez des questions si vous voulez continuer ou commencer la procédure de conformité s'il vous plaît contactez-moi directement.
Merci à vous.
.svg)
