Worldline - Document de référence 2016

Facteurs de risque Assurances et gestion des risques

4.5.2.3

spécifiques Activités de gestion des risques

protection contre les accès non autorisés depuis des

réseaux non fiables ;

Sécurité des systèmes : application stricte de mesures ● pour éviter l’exploitation des mots de passe et des renforcées, révisées régulièrement et clairement définies

Gestiondes risques de fraude

configurations des systèmes fixés par défaut ;

organismes délivrant la certification PCI, et faire face au risque aux règles de sécurisation des paiements fixées par les de Fraude du Groupe a mis en place des politiques et des de blanchiment d’argent. Le département Gestion des Risques procédures spécifiques afin de faire face à ces risques. d’acquisition commerçants, le Groupe doit assurer sa conformité protection des données. Dans le cadre de ses activités réel à partir d’une application d’analyse de données. permettant la détection de fraudes de paiement en quasi temps de Fraudes » (Fraud Detection and Reaction ou FD&R) Le Groupe a développé l’application « Détection et Résolution améliorées avec des fonctions supplémentaires afin de limiter Les procédures de réduction de risques du Groupe ont été de la certification PCI) pour minimiser les risques relatifs à la à sa connaissance toutes les mesures requises (dont l’obtention Le Groupe, en tant que processeur de cartes de paiement, a pris temps réel, la désactivation de secours et les systèmes de les risques résiduels, telles que le geo-blocking, le blocage en back-up. division « Sales & Marketing » et la division Service Clients. client ») et la répartition des responsabilités entre la principe Know Your Customer (KYC) - en français, « Connais ton principes généraux de lutte contre le blanchiment d’argent, le dont le Groupe a pris le contrôle en 2016. Elle définit les Worldline SA/NV dispose d’une politique de lutte contre le s’applique également aux sociétés Paysquare et KB SmartPay blanchiment d’argent mise en place depuis 2011. Cette politique sécurité. contrôle interne une fonction dédiée à la gestion des risques de Le Groupe a mis en place au sein de son département de sensibilisation aux questions de sécurité, au service de sécurité Cette fonction intègre les problématiques relatives à la et fonctionnalités, accès aux données des titulaires de cartes par (examen de l’accès aux systèmes de production et aux données politiques et solutions de sécurité. les banques et gestion de clés cryptographiques) ainsi que les Les mesures prises en matière de gestion des risques de sécurité concernent notamment les activités suivantes : limiter et surveiller les accès physiques, caméras vidéo et Mesures physiques : contrôles d’entrées à l’installation pour ● back-up media dans des emplacements sécurisés, contrôle mécanismes de contrôle d’accès, stockages de fichiers et de stockage et d’accessibilité des médias ; sur la distribution interne ou externe de tout type de médias pare-feu et routeur sont conçues et déployées pour la Réseau : des normes et des procédures de configuration ● Politique de lutte contre le blanchiment d’argent Gestiondes risques de sécurité au seinduGroupe

anti-virus déployés et mis à jour régulièrement sur tous les cryptographie et de sécurité renforcés, des logiciels de suppression de données, des protocoles de réduit à minima avec rétention de données et de politiques Protection des données des porteurs de cartes : stockage ● développement des logiciels. De surcroît, une revue du code éviter l’introduction de vulnérabilités dans le processus de de services aux clients pour identifier toute vulnérabilité source avant la production ou le lancement de produits ou matière de sécurité, des guides d’encodage sécurisé pour fournisseurs, identification et évaluation les vulnérabilités en « patch » de sécurité les plus récents fournis par les Systèmes et applications sécurisés : installation des correctifs ● pour limiter les accès en fonction des besoins d’accès et des le Groupe a mis en place des systèmes et des procédures sein du Groupe ; responsabilités de chacun compte tenu de sa position au peuvent être accédées seulement par le personnel autorisé, Accès logique : pour s’assurer que les données critiques ● journaux et la capacité à enregistrer les activités des Historique et surveillance : les mécanismes de collecte de ● minimiser l’impact d’une atteinte à la protection des utilisateurs sont essentiels pour prévenir, détecter ou données. Par conséquent, la présence de journaux dans d’analyser les activités en cas de problèmes ; tous les environnements permet d’enregistrer, de notifier et sécurité sont effectuées de manière régulière, notamment la Systèmes de sécurité et tests des processus : des tests de ● rapports de vulnérabilité sur le réseau interne et externe, les détection des points d’accès sans fil non autorisés, des surveillance d’intégrité de fichiers. systèmes de détection d’intrusion et les outils de Le processus annuel de gestion des risques opérationnels du analyse les menaces et les vulnérabilités relatives à la sécurité Groupe, supervisé par la division « Contrôle Opérationnel », désirée. pour éviter une augmentation de l’exposition aux risques non sécurité a été maintenu pour que tout le personnel soit Un programme formel de sensibilisation aux questions de porteurs de cartes. Sur une base annuelle, tous les employés du conscient de l’importance de la sécurité des données des Groupe. déployés pour permettre au Groupe de répondre Les plans de réponses aux incidents ont été développés et immédiatement en cas d’atteinte au système. ont lu et compris la politique et les procédures de sécurité du Groupe doivent assister à ce programme et reconnaître qu’ils systèmes ; potentielle en matière d’encodage ;

4

27

Worldline Document de Référence 2016