Implantation de la norme PCI DSS

Description

Le respect de la norme PCI DSS est maintenant obligatoire pour les entreprises acceptant les cartes de crédit ou manipulant les données liées aux cartes de paiement.

Cette formation vous présentera comment justifier l'implantation de la norme PCI DSS. La formation touchera également aux diverses stratégies alternatives à PCI DSS et particularités à considérer dans le contexte canadien. Par exemple : la migration EMV (chip & pin) et l’émergence des méthodes de paiement sans contact et mobile. Donc, une formation complète couvrant non seulement les 12 exigences de la norme PCI DSS mais surtout comment y réagir selon votre contexte.

Cette formation vous permettra non seulement de bien comprendre la norme PCI DSS, son implication pour votre organisation mais aussi comment se positionner face à cette norme.

Public cible :

Cette formation s'adresse à tous les membres d’une équipe d’implantation PCI DSS, aux programmeurs, aux administrateurs de bases de données, aux gestionnaires oeuvrant autant au niveau procédurale que technique et en général, aux membres du département TI des organisations acceptant des cartes de paiement donc soumises à la norme PCI DSS.

Objectifs d’apprentissage :

1. Comprendre exactement comment vous positionner face à la norme PCI DSS;

2. Reconnaître les efforts que cela implique pour votre organisation;

3. Connaître les effets de PCI DSS 1.2 et de 2.0;

4. Devez vous vous faire certifier PCI DSS ou utiliser des méthodes alternatives?

5. Justifier la conformité d’une certification;

6. Différencier l’impact de PCI DSS dans le contexte canadien, américain et européen;

7. Survol des nouvelles méthodes de paiements : EMV, sans contact (Paypass et VisaWave) et paiement mobile.

Durée : 2 jours

Contenu :

MODULE 1

Historique et objectifs du comité PCI et de ses obligations

- Ce que recherche les criminels

- Comment se protéger : un travail d’équipe

- Les obligations du conseil de sécurité : PCI DSS 1.2 et bientôt 2.0

- Les approches canadiennes vs les États-Unis et l'Europe :

o Où est utilisé le PCI DSS et certaines autres normes de paiement.

MODULE 2

Vos obligations face à la norme PCI DSS. Où vous vous situez dans le système de classement?

- L’auto-évaluation PCI DSS; comment la faire?

MODULE 3

Les 12 commandements des normes PCI DSS

- Définition des données de paiement; comment agir face à elles?

- Revue des 6 grandes familles d’exigences et les 12 commandements

- Avoir un réseau sécurisé

- Exigences 1 & 2 : Firewall, Password

- Protégé les données des cartes de paiement.

o Qui peut entreposer les données? Qu’elles données?

o Exigences 3 & 4 : Encryption des banques de données et des transmissions)

- Gestion des vulnérabilités

o Exigences 5 & 6 : Antivirus et systèmes de sécurité

- Contrôle d’accès

o Exigences 7 & 8 : "Log" et contrôle d’accès physique

- Audit et scan

o Exigences 9 & 10 : Audit par un PCI QSA et outils approuvés de scan

- Politique de sécurité et formation

MODULE 4

Comment certifier l’entreprise? Qui aviser? Comment la conformité est vérifiée?

- Exemple de rapport de conformité

MODULE 5

Gestion du Projet

- Est-ce que le PCI DSS est avantageux pour votre entreprise?

- PCI-DSS au sein d'une approche de conformité globale (ISO 27001, ITIL, CoBIT, etc)

- Méthodes alternatives

- Études de cas pour bien justifier le PCI DSS

- Choix d’un auditeur et des méthodes de tests

- Formation du personnel

- Définition d’un Road Map PCI DSS

MODULE 6

Particularités du marché canadien

- Déploiement du paiement EMV

- Fournisseur approuvé PCI DSS

- L’émergence du sans contact et du paiement mobile

- Les normes en lien avec le paiement

o Interac, ISO8583, EMV, Paypass, Visawave. Qu’est-ce que la GSTI ?