PCI DSS – Choisir son prestataire de sécurité forensic PCI

Bests practices pour choisir le bon prestataire de sécurité PCI Forensic

cuirassiersSuite à mon billet sur le plan de réponse aux incidents, je vous propose de détailler le choix d’un prestataire de sécurité d’investigation dans le domaine de la donnée carte. Dans le terme anglo-saxon, nous allons parler de FIC (Payment Card Industry Forensic Investigator, c’est vrai PCIFI cela aurait plus logique mais les méandres de l’administration U.S….sont toujours aussi obscure) mais revenons à nos moutons.

La premiere question que l’on se pose tous, quand dois je faire appel à un PFI ?

Si vous avez une suspicion ou un incident de sécurité sur les données cartes, les réseaux schemes (Payment Brand) vous demanderez de faire appel à une entreprise de sécurité indépendante certifié PCI et enregistré sur le site du PCI SSC (la liste à la fin de l’article). Vous aurez besoin d’apporter tout votre soutien à ce prestataire de sécurité pour lui apporter le maximum d’information et de facilité lors des investigations.

Vous aurez aussi la joie de découvrir que chaque réseau dispose de ses procédures/règles en cas de compromission et que lors de votre choix de prestataire, il devra répondre dans un formalisme imposé. Par exemple VISA Inc peut vous demander un rapport via un FIC qui sera utilisé par JCB mais si ce dernier ne souhaite pas utiliser/prendre celui de Visa Inc. Il sera en droit de vous demander un rapport de Forensic suivant ces règles. Le but est aussi de prouver que vous avez fait correctement votre job et d’éviter les pénalités et sanctions lors de la compromission. Welcome to PCI World 🙂

Que pouvons nous attendre de notre prestataire PFI lors d’une compromission ?

Lors de la compromission et/ou suspiscion de celle-ci, les réseaux schemes vont vous demander de faire appel à un prestataire de sécurité certifié PCI, notre fameux PFI. Il est d’une importance vitale de bien comprendre/accepter l’arrivée de celui-ci dans l’entreprise. Plus il interviendra en début de crise, plus il sera en mesure de proposer, analyser et rassurer l’ensemble des acteurs que la compromission est sous contrôle.

Il existe quelques règles avant de choisie son prestataire de sécurité:

  1. Le prestataire de sécurité PFI doit être indépendant de la société cible pour permettre une investigation sans pression. Le choix ne peut être effectuer si le prestataire choisi est aussi le QSA (Qualified Security Assessor) qui a certifié le périmètre. Cela peut surprendre au premier abord mais des personnes qui connaissent la monétique, le forensic et PCI cela ne court pas les rues. Il faut aussi rappeler que le consultant ne peut/doit travailler avec d’autres consultants de sécurités en parallèle sur le même sujet. Prenons l’exemple que le service juridique, les enquêteurs judiciaires et le service de sécurité travaillent sur un point commun, il ne peut avoir aucune interaction entre ces personnes. Le prestataire de sécurité PCI PFI ne doit pas accepter/recevoir des rapports des autres parties externes. Il travail à partir de ces recherches et exhumations de données pour faire SON rapport.
  2. Le prestataire de sécurité PFI dispose d’un centre de support ouvert 24h/24 et 7 jours sur 7 sur l’ensemble des régions exposés au risques. Il doit être en capacité à intervenir dans la zone géographique dans les 5 jours ouvrées. Cette intervention est explicite et obligatoire dans le contrat entre le client PCI et le prestataire de sécurité PFI. Le site du PCI SSC vous indiquera le prestataire par rapport à la région ou les données sont exposés.
  3. Les investigations sont suivi par un lead auditor et peuvent être conduite à distance ou sur site. En cas d’investigation à distance, le prestataire de sécurité PFI doit détaillé la prise de preuve ainsi que leurs transmissions de façon sécurisé vers le laboratoire de celui-ci.
  4. Un autre avantage de faire appel à un prestataire certifié FIC est sa vision différente des QSA qui seront intervenus chez vous dans le cadre des certifications PCI ou des ISA  (Internal Security Assessor). Le prestataire PFI apportera une approche et validera aussi le scope de son investigation pour trouver la cause de la compromission avec les prises de preuves. Il est seul décideur sur l’inclusion ou non d’un composant dans sa recherche.
  5. Le prestataire de sécurité PFI choisi apportera tout au long de son investigation un rapport pour partager et faire comprendre la raison de la compromission dans l’environnement client. Un rapport préliminaire d’incident et un rapport final d’incident (Template disponible sur le site du SSC) seront communiqués aux réseaux cartes et aux banques acquéreurs ainsi qu’aux fournisseurs si contractuellement définis.
  6. Pour la plupart des investigations effectués les prestataires de sécurité PFI ne pourra faire une évaluation complete PCI DSS mais il mettra en évidence les axes d’améliorations sur les mesures à prendre pour permettre une meilleure conformité PCI DSS. En clair, il mettra le doigt sur les déficiences de la conformité PCI mais avec un objectif fort de remédiation pour permettre de revenir à une situation acceptable du risque.
  7. Si une compromission du PIN est suspecté, le prestataire de sécurité PFI fera une investigation suivant les règles de PIN Security et un Key Management dans le cadre d’un PCI Pin security Assessment.

Quel support pouvons nous attendre d’un auditeur de sécurité PFI ?

L’auditeur de sécurité PFI se doit d’apporter des recommandations lors de son investigation sur l’organisation et ayant une priorité sur la protection des données sensibles qui dans le cadre de PCI sont les données cartes. Ces recommandations doivent être inclus dans le plan de réponse aux incidents. Il est important qu’elles soient mis en oeuvre rapidement et si nécéssaire par expérience ne pas hésiter à se faire aider par l’audit Interne dans le cadre de reco :-). L’objectif fort est d’arriver à réduire le risque et de ne pas subir une seconde compromission.

Good Luck for you choice about your PCI Forensic Investigator 🙂

Liens:

Site PCI SSC pour en savoir plus sur les PFI: https://www.pcisecuritystandards.org/approved_companies_providers/pci_forensic_investigator.php

Liste des sociétés certifiés PFI: https://www.pcisecuritystandards.org/approved_companies_providers/pfi_companies.php