MasterCard, EMVCo, Visa VCSP, CSPN


Depuis plusieurs années, en raison de leurs contraintes particulières en termes de sécurité et délai de mise sur le marché, les grands acteurs de paiement internationaux ont mis au point leurs propres programmes d’évaluation sécuritaire. D’autres acteurs industriels demandent aussi l’évaluation personnalisée de leurs nouvelles conceptions de produit ou de leurs techniques de protection. Notre CESTI a travaillé en étroite collaboration avec eux et applique les procédures adaptées afin de répondre à tous ces besoins spécifiques.

  MasterCard CAST

Notre laboratoire a été accrédité par MasterCard International pour les expertises de sécurité au sein du programme CAST (cartes à puces contact ou sans contact). Basée sur les résultats de l’expertise d’un produit, MasterCard International fournit au vendeur du produit une référence spécifique autorisant le branding (création de marque) du produit.

Comme pour les Critères Communs, nous proposons les expertises CAST complètes aux développeurs ou vendeurs d’applications MasterCard (M/Chip, Paypass, ...). Ce type d’expertise comprend une revue de code détaillée, une analyse de vulnérabilité et des tests semi-invasifs.

  EMVCo

La norme EMVCo a été créée par les trois principaux programmes de paiement internationaux (JCB, Visa International et MasterCard International).

EMVCo gère, entretient et accroît les Spécifications EMV™- Integrated Circuit Card pour les Systèmes de Paiement.

Notre CESTI a aussi été approuvé par EMVCo en tant que Laboratoire de Service Complet dans le contexte de son nouveau programme d’évaluation sécuritaire pour les Circuits Intégrés et les Cartes de Circuits Intégrés.

  VISA VCSP

Notre laboratoire a été accrédité par VISA International pour les expertises de sécurité au sein du programme VCSP – VISA Chip Security Program (cartes à puces contact ou sans contact).

CSPN (Certification Sécuritaire de Premier Niveau)

La Certification de Sécurité de Premier Niveau a pour objectif de proposer aux administrations, entreprises et citoyens une offre de produits de SSI dont la qualité a été attestée. Elle permet la certification des logiciels libres et se réalise en temps contraint et à coûts limités.

L'évaluation consiste à vérifier que le produit est conforme à ses spécifications de sécurité, à noter les mécanismes de façon théorique, à recenser les vulnérabilités connues de produits de sa catégorie et à stresser le produit en temps contraint.

  Expertises indépendantes

Des expertises entièrement indépendantes peuvent être menées sur un produit afin que le développeur obtienne une évaluation technique des fonctions sécuritaires qu’il veut offrir. Elles permettent au développeur d’obtenir un aperçu indépendant de l’efficacité des mécanismes sécuritaires en un laps de temps plus court qu’avec une évaluation Critères Communs.

Notre CESTI propose de tels services dans trois domaines d’activité principaux:

• hardware : composants externes de PC sécurisés (tels que dispositifs de stockage de data externe), systèmes sécurisés autonomes indépendants…

• cryptographie : test de qualité de générateurs de nombre aléatoire, évaluation des algorithmes et des protocoles propriétaires,…

• logiciels : revue sécuritaire de code des applications, des plate-formes Java Card ou des applets... Les expertises sont menées indépendamment des procédés officiels, et personnalisés pour les besoins particuliers de chaque développeur. Par cette activité, nos experts peuvent aider les développeurs à améliorer le niveau de sécurité du produit dans le temps (par exemple, avant de finir le produit).

  Audits de site

Nos experts réalisent des audits de sécurité ou de qualité sur les sites de développement et de production, afin d’aider les vendeurs à améliorer leurs mesures sécuritaires (physiques et logiques) ou à vérifier s’ils appliquent correctement leurs procédures de qualité sur les lignes de production. Cette activité peut faire partie d’une évaluation complète ou d’un travail d’expertise, mais elle peut aussi être une tâche indépendante.

  Pré-évaluation

Le CESTI offre un support et une assistance de pré-évaluation aux compagnies qui veulent améliorer leur produit et leur documentation avant de commencer l’évaluation officielle complète ou le procédé de certification.