[OWASP-Geneva] L'impact de PCI-DSS en Suisse romande: sujet à traiter lors d'un meeting OWASP?
AF
antonio.fontes at owasp.org
Thu Jun 18 19:13:13 EDT 2009
Membres,
Il me semblerait intéressant d'investir le sujet de la certification
PCI-DSS (Payment Card Industry Data Security Standard). Vous trouverez
ci-dessous pourquoi, je vous invite si ce n'est pas encore un sujet
maitrisé, à prendre connaissance des éléments ci-dessous, et à me
communiquer vos impressions.
))) PCI-DSS: de qui ?
Pour rappel, l'organisation PCI-SSC (Payment Card Industry Security
Standards Council) a été créée en 2004 afin d'apporter une réponse à
la problématique de la sécurité auprès de tout intervenant dans le
traitement de paiements électroniques. PCI-SSC est le résultat d'une
collaboration entre différents acteurs de poids dans le secteur du
paiement électronique, tels que VISA, Mastercard, Diners, American
Express, Discover et JCB.
))) PCI-DSS: pour qui ?
PCI-SSC a défini une norme, le PCI-DSS (Payment Card Industry Data
Security Standard), à laquelle doit se conformer tout propriétaire
d'un SI diffusant, traitant et/ou stockant des données relatives au
traitement des paiements électroniques et de transactions faisant
intervenir l'un des acteurs cités ci-dessus, en particulier VISA ou/et
Mastercard.
))) PCI-DSS: comment ?
Le PCI-DSS est subdivisé en 12 chantiers de sécurité, tels que
l'architecture, la protection des données personnelles, le cycle de
développement sécurisé d'applications, la gestion des vulnérabilités,
la surveillance et l'audit des services, etc.
La certification est établie sur la base annuelle et ne peut être
délivrée que par un QSA (Qualified Security Assessor), une société de
services approuvée par le PCI-SSC pour évaluer tout candidat à la
certification.
))) PCI-DSS: peut-on l'éviter?
Le PCI-DSS est une condition préalable à l'autorisation de traiter
avec l'un des acteurs du paiement électronique membres du PCI-SSC. La
non-conformité aux exigences (missing certification) ou la réalisation
d'un incident de sécurité (incident/breach) entrainent des pénalités
allant, respectivement, de USD 5'000$ à 25'000$ par mois de
non-conformité et d'amendes pouvant aller jusqu'à USD 500'000$ par
incident.
Voici une première série de questions auxquelles il me semble
intéressant de répondre:
- Quels sont les enjeux de cette certification?
- Comment le standard est-il appliqué en Suisse? Les pénalités
sont-elles applicables?
- Quels acteurs, précisément, en Suisse, sont touchés par cette
certification? Qui doit la passer? Qui peut délivrer la certification?
- Comment se déroule la certification?
- Combien coûte la certification? Quelle est la durée du processus?
- Combien coûte la non-conformité? Est-elle moins chère que la
conformité? Quelles métriques prendre en compte lors de l'analyse de
risque et d'opportunité pour la certification? Quand est-il plus
rentable de ne pas se certifier?
- ...
Il va de soi que cette certification et toutes les contraintes qui lui
sont associées touchent pleinement de nombreux acteurs exposant des
applications web intervenant de près ou de loin dans le traitement de
paiements électroniques. Raison pour laquelle je crois qu'il peut être
intéressant d'aborder ce sujet lors d'un futur meeting OWASP.
Afin de prendre une première "température", assurer une couverture
maximale du sujet et de réduire le risque de dérive vers un "sales
pitch", j'invite donc les membres de cette liste à me contacter
directement (ou via la liste s'ils le préfèrent) s'ils souhaitent
collaborer à l'une des trois contributions suivantes:
1) En tant qu'organisation potentiellement visée ou déjà certifiée
PCI-DSS, quelles sont les préoccupations/questions auxquelles vous
souhaiteriez une réponse? (En cas de contact privé, j'assurerai le
transfert anonyme de vos préoccupations à/aux l'éventuel/s
intervenant-s.)
2) Seriez-vous intéressé/ée de venir présenter la problématique et de
répondre aux questions des participants lors d'un meeting OWASP?
3) Seriez-vous intéressé/ée de sponsoriser financièrement un futur
meeting OWASP? (lieu, cocktail, logistique, etc.) Pour toute
information supplémentaire, merci de me contacter directement.
Concernant les offres d'intervention, j'effectuerai la sélection
du/des intervenant/s sur la même base que pour le meeting précédent, à
savoir:
Phase 1 (Juillet 2009): Éligibilité de l'intervention selon sa
conformité avec le code éthique et les principes de l'OWASP[1]
Phase 2 (Août 2009): Taux de couverture des sujets/problématiques
demandés par les participants intéressés de participer au meeting
(bien entendu, les intervenants potentiels seront notifiés de toute
problématique qui m'aura été adressée)
La date et la thématique du prochain meeting OWASP Genève n'ont pas
encore été arrêtées. En ce qui concerne la date, le meeting devrait
avoir lieu courant septembre 2009. En ce qui concerne la thématique,
je vous invite bien entendu à me communiquer vos propositions!
Dans l'attente de vos futurs messages, je vous souhaite à tous et
toutes un excellent début d'été 2009!
Meilleures salutations,
Antonio Fontes
antonio.fontes.at.owasp.org
OWASP Genève
PS: N'hésitez pas à faire suivre ce message à vos contacts si vous
estimez qu'ils pourraient être intéressés par ce meeting!
PS2: La langue parlée durant les interventions peut être l'Anglais ou
le Français, au choix de l'intervenant.
Liens recommandés et références:
[1]: http://www.owasp.org/index.php/About_OWASP
http://www.journaldunet.com/solutions/securite/analyses/07/1119-standard-pci-dss-carte-bancaire.shtml
http://www.ncxgroup.com/pci.htm
http://technologytreason.blogspot.com/2007/11/pci-dss-will-wreak-havoc-on-smes.html
http://en.wikipedia.org/wiki/PCI_DSS
--
OWASP Geneva Chapter
chapter site: http://www.owasp.org/index.php/Geneva
mailing list: https://lists.owasp.org/mailman/listinfo/owasp-Geneva
More information about the OWASP-Geneva
mailing list