PCI-DSS : Protection des données des cartes bancaires, synthèse [Réf : PCIDS]

 

Cette formation vous permettra de comprendre la nouvelle version du standard PCI-DSS relatif à la protection des données des cartes bancaires. Elle présente les différents acteurs du standard PCI-DSS, les exigences physiques, logiques et organisationnelles et permet d’appréhender la mise en place d’un projet PCI-DSS à tous les niveaux de l’organisation (stratégique, technique, financier et organisationnel) et d’aborder les conditions d’auto évaluation.

 

Objectifs :

  • Appréhender la protection des données bancaires,
  • Comprendre la nouvelle version du standard PCI-DSS,
  • Mettre en œuvre les solutions de sécurité,
  • Définir la mise en conformité de son organisation.

Participants :

 

Cette formation s’adresse à :

  •  RSSI ou correspondants sécurité, architectes de sécurité, ingénieurs sécurité, chefs de             projets (MOE, MOA) devant intégrer des exigences de sécurité réglementaires.

Pré -requis :

  •       Bonnes connaissances du management de la sécurité des SI.

  

Bénéfices attendus de la formation :

  • Accompagner l’organisation pour se mettre en conformité avec les exigences PCI-DSS,
  • Savoir dialoguer avec le management pour la mise en oeuvre des mesures réglementaires relatives à la protection des données des cartes bancaires.

Intervenants :

  • Les sessions sont animées par des Experts Seniors certifiés CISSP, CISSO,CISA, CISM, CBCP, CEH, CPEH, CPTE, CEH v8, Lead Auditor ISO 27001, Lead Implementer ISO 27001, Risk Manager ISO 27005, Risk Manager EBIOS, Risk Manager MEHARI, Lead Cybersecurity Manager ISO 27032, PECB Management Systems Auditor, Certified Data Privacy Officer (DPO), Lead Implementer ISO 37001.

Mode :

  • Formation inter -entreprises.

Programme :

Jour 1 :

·         Introduction

o   Introduction et présentation de la norme de sécurité des données PCI,

o   Quelles menaces spécifiques ?

§  Les données carte sensibles,

§  Les menaces les plus courantes.

o   Informations relatives aux conditions d’application de la norme PCI-DSS,

o   La relation entre les normes PA-DSS et PCI-DSS,

o   Champ d’application des conditions de la norme PCI-DSS,

o   Meilleures pratiques d’implémentation de la norme PCI-DSS,

o   Processus d’évaluation de la norme PCI-DSS :

§  Echantillonnage et contrôles compensatoires.

o   Contenu du rapport sur la conformité. 

·         Les six thèmes et les douze exigences (1-5) du standard PCI-DSS

     o   Thème #1 : Création et gestion d’un réseau et d’un système

             sécurisés

             ·     Condition 1 : installer et gérer une configuration de pare-feu              pour protéger les données des titulaires de cartes,

             ·     Condition 2 : ne pas utiliser les mots de passe système et autres            paramètres de sécurité par défaut, 

o   Thème #2 : Protection des données de titulaire de carte

·     Condition 3 : protéger les données de titulaires de cartes stockées,

·      Condition 4 : crypter la transmission des données des titulaires de cartes sur les réseaux publics,

o   Thème #3 : Gestion d’un programme de gestion des vulnérabilités

·      Condition 5 : utiliser des logiciels ou des programmes antivirus et les mettre à jour régulièrement.

·      Condition 6 : développer et gérer des systèmes et des applications sécurisés, 

Jour 2 :

·         Les six thèmes et les douze exigences (6-12) du standard PCI-DSS

o   Thème #4 : Mise en oeuvre de mesures de contrôle d’accès   strictes

·   Condition 7 : restreindre l'accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître,

·       Condition 8 : affecter un ID unique à chaque utilisateur,

·  Condition 9 : restreindre l'accès physique aux données des titulaires de cartes,

o   Thème #5 : Surveillance et tests réguliers des réseaux

·  Condition 10 : effectuer le suivi et surveiller les accès aux ressources réseau et données des titulaires de cartes,

·      Condition 11 : tester régulièrement les processus et les systèmes de sécurité,

o   Thème #6 : Gestion d’une politique de sécurité des informations

·   Condition 12 : gérer une politique de sécurité des informations pour l'ensemble du personnel.

·         Les objectifs de conformité et la certification

o  Le champ d'application de l'évaluation de la conformité aux conditions de la norme PCI-DSS. Segmentation réseau,

o   Echantillonnage des installations de l'entreprise et des composants du système,

o   Effectuer une auto-évaluation et un audit à blanc,

o   Comment se préparer et anticiper les écarts ?

·         La gestion de votre projet PCI-DSS

o   La norme PCI-DSS en lien avec la conformité globale,

o   Auditeurs et préparation de la méthodologie de tests,

o   Définir une road map vers la certification PCI-DSS,

o   Le déploiement généralisé du paiement EMV.

   

Méthode :

  • Ensemble d’exposés couvrant chaque domaine du programme de l’examen,
  • A la fin de chaque exposé, les participants doivent s’entraîner à répondre à un ensemble de questions portant sur le thème de l’exposé.

 

Lieu d’examen :

  • Paris.

 

Durée : 2 jours.

 

Dates de sessions Paris : Agenda.

 

Tarif : 1 200 Euros HT.

 

  • Le support de formation PCI-DSS en français est remis au démarrage de la session de formation,
  • Un certificat de participation de 14 CPE (Unités d’éducation continue /Continuing Professional Education) est remis aux participants en fin de formation.