Public : Responsables sécurité / RSSI d’e-commerçants, PSP, fintech, ESN, acteurs manipulant des données de paiement - Responsables IT, architectes techniques, responsables projets paiement - Responsables conformité / risk managers impliqués dans la sécurité des données de cartes
Durée : 2 jour(s)
Pré-requis : Connaissances générales en sécurité des SI et compréhension globale des architectures de paiement (e-commerce, terminaux, PSP, etc.)
Objectifs : Comprendre le cadre et les exigences de la norme PCI-DSS v4.0 - Identifier les systèmes, flux et acteurs impliqués dans le traitement des données de carte bancaire - Définir le périmètre PCI-DSS de son organisation (CDE, segmentation, prestataires) - Appréhender les principales exigences techniques et organisationnelles de PCI-DSS - Élaborer un premier plan de mise en conformité ou de maintien de conformité
Sanction : Attestation de fin de formation mentionnant le résultat des acquis
Référence : CYB102758-F
Accessibilité : Si vous êtes en situation de handicap, nous sommes en mesure de vous accueillir, n'hésitez pas à nous contacter à referenthandicap@dawan.fr, nous étudierons ensemble vos besoins
Contact : commercial@dawan.fr
1 775,00 € HT
Présenter le Payment Card Industry Data Security Standard (PCI-DSS) et le rôle du PCI Security Standards Council
Comprendre les objectifs de PCI-DSS : protéger les données de carte et réduire la fraude
Situer PCI-DSS par rapport aux autres cadres (RGPD, DSP2, NIS2, exigences des banques et acquéreurs)
Identifier les acteurs concernés : commerçants, prestataires de services, hébergeurs, PSP, fournisseurs de solutions de paiement
Atelier fil rouge : cartographier les flux de paiement d’une boutique en ligne ou d’un cas d’école et identifier les acteurs impliqués
Clarifier les notions de Cardholder Data Environment (CDE) et de données de carte (PAN, CVV, pistes, tokens)
Identifier les systèmes et composants en périmètre : serveurs, postes, réseaux, terminaux, applications, solutions SaaS
Comprendre les techniques de réduction de périmètre : tokenisation, chiffrement, externalisation, segmentation réseau
Analyser les différents modèles de paiement en ligne (redirection, iFrame, API, paiement sur site) et leurs impacts sur le périmètre
Atelier fil rouge : délimiter un périmètre PCI-DSS pour un scénario concret (e-commerce ou point de vente) et proposer des options de réduction
Passer en revue les grandes familles d’exigences : réseau sécurisé, protection des données de carte, gestion des vulnérabilités, contrôles d’accès, monitoring, politique de sécurité
Identifier les évolutions majeures introduites par PCI-DSS v4.0 (approche continue, flexibilité, MFA, mots de passe, tests, etc.)
Comprendre les impacts sur l’architecture, l’administration, les développements applicatifs et l’exploitation
Relier quelques exigences emblématiques à des mesures concrètes (pare-feu, chiffrement, journalisation, tests de sécurité)
Atelier fil rouge : associer les principales exigences PCI-DSS à des mesures techniques ou organisationnelles déjà en place ou à mettre en œuvre
Distinguer les types de validation : SAQ (Self-Assessment Questionnaire), ROC (Report on Compliance), scans ASV, etc.
Comprendre le rôle des acquéreurs, des banques et des prestataires dans la chaîne de conformité
Structurer un projet PCI-DSS : diagnostic initial, analyse de risques, plan de remédiation, validation, maintien en condition
Intégrer PCI-DSS dans la gouvernance sécurité : politiques, procédures, gestion des changements et des incidents
Atelier fil rouge : élaborer une trame de plan de projet PCI-DSS pour une organisation type (PME e-commerce ou fintech)
Identifier les prestataires critiques dans la chaîne de paiement (PSP, hébergeurs, intégrateurs, éditeurs)
Analyser les responsabilités partagées en matière de PCI-DSS (modèles de responsabilité, attestations de conformité, AOC)
Intégrer PCI-DSS dans les contrats : clauses, preuves, audits, exigences de sécurité et de continuité
Prévoir le suivi régulier des prestataires : indicateurs, revues, mises à jour de conformité et de versions PCI-DSS
Atelier fil rouge : construire une fiche de suivi PCI-DSS pour un prestataire de paiement ou d’hébergement
Prioriser les actions à partir du diagnostic initial et des écarts identifiés
Définir des indicateurs de suivi et un tableau de bord PCI-DSS pour la direction et les équipes opérationnelles
Anticiper les audits, les renouvellements et les évolutions du standard (cycle de vie de PCI-DSS v4.0)
Sensibiliser les équipes (IT, métier, front-office, support) aux bonnes pratiques de sécurité des paiements
Atelier fil rouge final : formaliser une feuille de route PCI-DSS sur 12 à 24 mois, incluant les priorités techniques et organisationnelles
Délai d'accès :Le délai d’accès à la formation certifiante est de 7 jours après validation du dossier. Dans le cas d’un financement via votre CPF, la validation de votre dossier devra être réalisée 11 jours ouvrés avant le début de formation
Modalités d’évaluation : Les évaluations en cours de formations sont réalisées par les ateliers de mise en pratique et les échanges avec les formateurs
Pour suivre une session à distance depuis l'un de nos centres, contactez-nous.
Aucune date de programmée actuellement. Pour plus d'information sur les prochaines sessions, nous vous invitons à joindre le service commercial par téléphone au 02/318.50.01 (prix d'un appel local) ou depuis notre formulaire de contact.