No Pan No Risk

Transcript

1. LES DONNÉES SENSIBLES DANS LA CYBERSÉCURITÉ ÉRIC CLAVER AKAFFOU DEVELOPPEUR

   TEAM LEAD PCS-MASTERCARD NO PAN, NO RISK !

2. https://statisticsanddata.org/data/most-popular-backend-frameworks-2012-2023/

3. Quand on évoque la sécurité des données sensibles, les regards

   se portent ordinairement vers les équipes backend, la qualité du framework utilisé, la mise en pratique des patterns pour limiter, voire supprimer les failles, les injections et autres fuites de données. Dans l’industrie des cartes bancaires, cette sécurité du backend fait l’objet de normes rigoureuses (PCI DSS) qui fournissent un cadre de travail confortable dans la mesure où les choix de sécurité ne relèvent plus du génie d’une seule équipe de devs.

4. Mais on le sait, dans le processing des cartes bancaires

   tout comme sur les réseaux sociaux, la première faille de sécurité reste le User, qu’il soit le client final ou un opérateur du service

5. https://www.verizon.com/business/resources/reports/dbir/

6. None

7. Dans ce contexte, comment protéger les data en front et

   en back end ? Comment sécuriser un bout de plastique qui affiche, de façon ostentatoire, sur toutes ses surfaces des données hautement sensibles ? Les normes PCI DSS sont une première réponse. Dans l’industrie des cartes bancaires, la tendance semble s’orienter aussi vers des solutions proactives de sécurité et de gestion in-App, dont la finalité est de rendre à la carte bancaire en tant objet physique sa vraie valeur, à savoir pas grand’chose. Vous l’avez compris, je vous invite à examiner les solutions de sécurisation des données sensibles dans l’industrie bancaire d’une part, et de l’autre, je voudrais vous présenter un exemple de carte bancaire dite numberless, comme solution de sécurisation côté client. Ses approches sont un pattern qu’on peut appliquer à tout type d’application manipulant des données clients sensibles.
8. None

9. • Dans l’écosystème des paiements par carte, les vulnérabilités sont

   à tous les étages: - les terminaux de paiement - Les environnements d’hébergement • - Les téléphones mobiles ou ordinateurs personnels - Les réseaux wifi - Les sites marchands - La transmission des informations de la carte entre les parties - Les connexions distantes aux infrastructures serveurs
10. None

11. Pour faire face à ces problèmes, Visa, Mastercard, American Express,

    ... ont conçu des normes qui s’imposent à tous les opérateurs. • PCI DSS, Payment Card Industry Data Standard - Norme de sécurité des données de l’industrie des cartes de paiement - Elle s’applique aux commerçants, aux prestataires de services traitant des transactions de paiement par carte. - la conformité des acteurs doit être validée chaque année. - Un conseil est en charge de suivre l’évolution des menaces. - Ces normes techniques et opérationnelles couvrent plus de 250 points de vérification, mais on a pris l’habitude de les regrouper en 6 objectifs et 12 exigences
12. None
13. None

14. Dans les faits, il s’agit de développer 4 comportements vertueux:

    - Identifier tous les emplacements des données sensibles (base de données, fichiers de config, des disques durs etc) - dresser un inventaire de tous les actifs informatiques et processus métier associés au traitement des paiements, les analyser pour détecter les vulnérabilités susceptibles d'exposer les données des comptes de paiement, mettre en œuvre ou mettre à jour les contrôles nécessaires et se soumettre à une évaluation formelle PCI DSS. - Remédier - identifier et combler les lacunes, corriger les vulnérabilités identifiées, supprimer en toute sécurité tout stockage de données de paiement inutile. - Documenter les détails de l'évaluation et les corrections apportées - Monitorer and Maintenir Pour s’assurer que les mesures de sécurité continuent de fonctionner sans problème durant toute l’année. Remarque: Chez PCS nous avons un monitoring humain continu. Tous les virements externes nécessitent une validation manuelle. Les normes PCI DSS fournissent ainsi un cadre à la fois pour la prévention, la détection et les solutions à déployer après un incident. Elles sont complétées par une directive européenne de 2019, la DSP2 (directive sur les services de paiement), qui prévoit notamment, depuis septembre 2019 l’obligation de l’authentification forte pour les paiements en ligne (plus de 30 euros) ou un OTP (un mot de passe à usage unique) si le client ne possède pas de smartphone

15. Mais il est un groupe de mots du PCI -

    DSS qui donne des directives intéressantes en matière de programmation: Restrict access to system components and cardholder data by business need to know To see etc • Si le PAN, la date d’expiration et le CVV servent à payer en ligne, à quoi bon les afficher en permanence sur la carte ? • Si la carte bancaire sert à payer, à quoi bon la laisser active quand on n’a pas besoin de payer ?
16. None

17. NO PAN, NO RISK !

18. None
19. None

20. Nous avons conçu une carte sans numéros en front .

    Gérée par une appli mobile . Toggle features pour activer la carte quand on a besoin de payer . Extrapolations sur les bonnes pratiques de sécurité: Chiffrement – donner à voir selon les besoins circonstanciels.

21. MERCI