Comment Treezor a obtenu sa certification PCI DSS avec AWS

En évoluant dans environnement nécessitant le traitement quotidien d’informations sensible relatif aux cartes bancaires. L’obtention de la certification Payment Card Industry Data Security Standard (PCI DSS) est un atout majeur afin de garantir la conformité de ses process et la sécurité de ses infrastructures. Ce blog post portera sur l’obtention de la certification PCI DSS par Treezor.

Treezor, startup/filiale du groupe Société Générale, est le leader européen du « Banking as a Service », fournissant via API un ensemble de services financiers tels que l’émission de cartes, la gestion de comptes, et la gestion des flux SEPA, permettant le développement des Fintechs.

Treezor a choisi AWS pour répondre à ses besoins d’évolutivité et d’agilité tout en garantissant le respect des normes de sécurité les plus strictes. Dans un précédent blog, l’équipe de Treezor a témoigné de la construction de leur plateforme Bank-as-a-Service sur AWS pour fournir, via API, un ensemble de fonctionnalités (gestion de compte, vérification d’identité (KYC), émission de cartes, gestion des flux (SEPA, chèque, etc.). Leurs clients créent des offres pour diverses populations : B2C, B2B à travers différentes verticales : mobilité durable, instruments de paiement spéciaux (titres-restaurant dématérialisés), comptes professionnels, cartes pour adolescents, etc. Aujourd’hui, la plateforme Treezor compte 5 millions de cartes Mastercard émises dont 2,5 millions actives, traitant 1,8 milliard d’euros de transactions par mois, avec 550 000 transactions par carte chaque jour et plus de 100 millions de requêtes API.

Le défi de la certification PCI DSS

En tant qu’institution réglementée opérant dans plusieurs pays, Treezor est soumise aux règles de chaque régulateur local, alors que sa plateforme est mondiale. Ils doivent pouvoir exploiter facilement et rapidement leurs données, avec une capacité évolutive pour répondre aux différentes exigences de reporting demandées périodiquement par les régulateurs. Dans ce contexte, l’obtention de la certification PCI DSS est un gage de confiance pour les clients de Treezor. Il s’agit de la norme à laquelle tous les acteurs traitant des données de cartes (acquéreurs, banques émettrices, imprimeurs de cartes, etc.) doivent se conformer pour garantir le traitement sécurisé des données de cartes. Comme la norme évolue, les entreprises doivent s’adapter aux changements dans le domaine informatique. Dans ce contexte, Treezor a basé sa conformité sur la version 4.0. La certification PCI DSS leur permet ainsi d’offrir des solutions sécurisées qui améliorent l’expérience utilisateur, comme la possibilité de copier/coller directement les numéros de carte et le CVV depuis une application bancaire, ou d’afficher le code PIN sur un smartphone.

Le flux de travail PCI-DSS chez Treezor

PCI/DSS repose sur un système de certification en chaîne où chaque entité doit obtenir une certification pour son domaine d’activité spécifique. Cette entité doit également vérifier que ses partenaires commerciaux, qu’ils soient fournisseurs ou clients, avec lesquels elle partage des données, disposent aussi d’une certification valide. Dans le cas contraire, ces partenaires doivent accepter par contrat la responsabilité liée aux exigences de sécurité des données. Au-delà de l’aspect contractuel, Treezor a utilisé l’approche du « chiffrement de bout en bout » pour respecter la conformité.

Lorsqu’un utilisateur souhaite afficher son numéro de carte dans une application mobile, il génère une paire de clés asymétriques et conserve la clé privée en mémoire sur l’appareil mobile. Ensuite, il transmet la clé publique au serveur du client Treezor, qui peut alors signer la demande avec son propre certificat émis par Treezor et transmettre la demande à Treezor. Le tout en s’identifiant via mutual transfer layer security(mTLS) comme indiqué précédemment.

Dans la zone sécurisée PCI-DSS, la demande est traitée et vérifiée. Les données de carte sont ensuite chiffrées avec la clé publique reçue avant d’être renvoyées. Le serveur du client Treezor transmet ensuite les données chiffrées à l’application mobile du client, qui peut alors les déchiffrer localement.

Figure 1 : Diagramme de séquence du flux de données PCI DSS chez Treezor

Cette approche assure la protection des données de carte qui ne circulent jamais de manière non chiffrée. Elle renforce ainsi la sécurité lors du transfert d’informations bancaires entre l’utilisateur et Treezor.

Solution technique

L’utilisation de services managés AWS a été essentielle pour Treezor afin de se conformer aux exigences rigoureuses de la certification PCI DSS tout en maintenant une infrastructure agile et évolutive. Des services tels que Amazon API Gateway, AWS Lambda et Amazon DynamoDB ont permis la création d’une architecture sécurisée et isolée.

Figure 2 : Architecture de la solution PCI DSS sur AWS

Détails :

• A – Amazon API Gateway couplé à AWS WAF sont utilisés pour filtrer et sécuriser tous les flux de données avant d’atteindre la « zone PCI/DSS » correspondant aux étapes 1-3 du diagramme de séquence.
• B – AWS Lambda traite les requêtes tout en vérifiant la conformité aux normes PCI DSS. Étapes 4 à 10 du diagramme de séquence.
• C – Une validation des autorisations du client est effectuée pour chaque requête avec Amazon API Gateway Lambda Authorizer. Ces autorisations sont stockées sur Amazon DynamoDB chiffré avec AWS Key Management Service (AWS KMS) conforme à la norme FIPS 140-3.
• D – Toutes les demandes sont chiffrées par un certificat validé par l’autorité de certification privée AWS. (Etapes 11 à 21 dans le diagramme de séquence).
• E – La zone PCI/DSS n’est pas accessible depuis internet pour éviter l’exfiltration des données. Amazon VPC Endpoint est utilisé afin de garder privées les communications entre les services AWS.
• F – Pour les services qui ont besoin d’une connectivité internet, un API Gateway privé est utilisé pour créer une route sécurisée afin de maintenir les normes de sécurité.

Cette architecture permet à Treezor de maintenir la fiabilité et la sécurité conformément aux normes PCI/DSS. Avec la certification PCI/DSS, Treezor démontre un engagement fort pour la sécurité des données des cartes de paiement et l’innovation.

Bénéfices

L’adoption des services managés AWS pour obtenir la certification a permis à Treezor d’améliorer la sécurité de sa plateforme tout en maintenant une agilité et une évolutivité optimales. En 15 mois, Treezor a pu mettre en place une infrastructure conforme à la norme PCI DSS, un processus qui prend généralement 18 à 24 mois dans un environnement sur site.

Avec une infrastructure 100 % serverless et des services managés, Treezor a réduit sa surface d’attaque et optimisé ses coûts et ses opérations. Cette certification n’est pas seulement un sceau de confiance pour leurs clients, mais elle permet également à Treezor de proposer des solutions innovantes et sécurisées qui améliorent l’expérience utilisateur, démontrant que la sécurité et l’innovation peuvent aller de pair pour fournir le meilleur service possible.

Conclusion

La certification PCI DSS est essentielle pour les entreprises du secteur bancaire et financier qui traitent des données de cartes de paiement. Grâce à l’utilisation judicieuse des services managés AWS, Treezor a réussi à obtenir cette certification en seulement 15 mois, un délai beaucoup plus court que la moyenne de 18 à 24 mois dans un environnement sur site.

Cette approche cloud a permis à Treezor de mettre en place une infrastructure sécurisée et conforme aux exigences PCI DSS, tout en bénéficiant d’une grande agilité et évolutivité. Les solutions techniques mises en place, comme l’utilisation d’Amazon API Gateway, AWS Lambda et Amazon DynamoDB, démontrent que la sécurité et l’innovation peuvent effectivement aller de pair pour offrir la meilleure expérience utilisateur possible.

Cette réussite est un excellent exemple de la façon dont les services managés AWS peuvent aider les entreprises réglementées à relever les défis de la conformité tout en s’appuyant sur une infrastructure cloud agile et évolutive. La certification PCI DSS obtenue par Treezor est un gage de confiance pour ses clients et lui permet de se positionner comme un acteur de référence dans le secteur bancaire et des services financiers.

Afin d’en savoir plus

• sur l’intégration du service Lambda pour le secteur de la finance : https://aws.amazon.com/blogs/industries/fsi-services-spotlight-featuring-aws-lambda/
• sur la certification PCI DSS : https://aws.amazon.com/fr/compliance/pci-dss-level-1-faqs/