Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)

Nous sommes tous responsables de sécuriser et de protéger les données des titulaires de carte.

PCI DSS et les programmes de conformité du réseau de cartes de paiement


Les marchands et les fournisseurs de services qui sauvegardent, traitent ou transmettent les données de titulaires de carte doivent se conformer à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) ainsi qu’aux programmes de conformité au réseau de cartes de paiement. La PCI DSS est appliquée par les réseaux de cartes de paiement (Visa International, MasterCard Worldwide, American Express, Discover Financial Services et JCB). Même si les exigences de certification varient d’une entreprise à l’autre et dépendent de votre « niveau de marchand » ou de votre « niveau de fournisseur de services », le refus de se conformer à la PCI DSS ainsi qu’aux programmes de conformité au réseau de cartes de paiement peut mener à l’imposition d’amendes ou de frais au marchand, ou encore à l’annulation de ses services de traitement.Le Conseil des normes de sécurité PCI

Le Conseil des normes de sécurité PCI

Le Conseil des normes de sécurité PCI (PCI SSC) est un forum mondial pour l’élaboration, l’amélioration, le stockage, la diffusion et l’application continus de normes de sécurité en vue d’assurer la protection des données de comptes. Il s’agit d’un organisme indépendant fondé en septembre 2006 par les cinq grands réseaux de cartes de crédit : American Express, Discover Financial, JCB, MasterCard Worldwide et Visa International.

Le PCI SCC s’occupe actuellement des normes de sécurité suivantes :

  • Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)
  • Programme encadrant les appareils de saisie de NIP de l’industrie des cartes de paiement (PCI PED)
  • Norme de sécurité des données de l’application de paiement de l’industrie des cartes de paiement (PCI PA-DSS)

Le PCI SSC est également responsable de former des évaluateurs et des fournisseurs de services qualifiés en matière de sécurité, lesquels valideront la conformité des marchands et des fournisseurs de services par rapport à ces normes. Il n’est pas responsable de faire appliquer ces normes. L’application de ces normes est gérée de manière indépendante par les réseaux de cartes de paiement.

Visitez l’adresse www.pcisecuritystandards.org pour obtenir plus de renseignements.

 

Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)

La PCI DSS consiste en une vaste série technique d’exigences de sécurité créées par l’industrie des cartes de paiement et exposant les mesures à prendre par les marchands pour protéger les renseignements du client. Le Conseil des normes de sécurité PCI exige des marchands qu’ils répondent à cette série d’exigences de sécurité si leur entreprise accepte, transmet ou traite les cartes de paiement de clients (p. ex., cartes de crédit ou cartes de débit). Les marchands qui ne répondent pas à ces exigences peuvent être pénalisés de différentes façons, pouvant entre autres aller jusqu’à la révocation de leurs privilèges de traitement de cartes, après quoi il leur sera impossible d’accepter les cartes de paiement des clients.

Visitez l’adresse www.pcisecuritystandards.org pour obtenir plus de renseignements.

 

Importance de la conformité ou de la certification à la PCI DSS

Il est obligatoire de se conformer à la PCI DSS. First Data souhaite s’assurer que tous les marchands adhèrent à cette norme et y demeurent conformes. Si un marchand ne se conforme pas à la PCI DSS, les réseaux de cartes de paiement pourraient imposer des amendes et des frais supplémentaires et le marchand pourrait ne plus être en mesure de traiter des transactions de cartes de crédit.

Pour être jugé conforme, un marchand doit répondre à l’ensemble des exigences de la PCI DSS. Pour obtenir la certification, vous devez faire appel aux services d’un évaluateur de sécurité qualifié ,lequel validera que vous êtes conforme à la PCI DSS. L’évaluateur de sécurité qualifié tâchera de relever les problèmes de non-conformité. Chaque problème de non-conformité devra ensuite être résolu. Lorsque tous les problèmes de non-conformité auront été résolus, l’évaluateur de sécurité qualifié procédera à une nouvelle évaluation et confirmera que vous êtes conforme. Si un marchand choisit de suivre le processus de certification à la PCI DSS, celui-ci est à ses frais.

 

Douze exigences principales de la PCI DSS

La PCI DSS prévoit des exigences liées à la gestion de la sécurité, aux politiques, aux procédures, à l’architecture de réseau, à la conception de logiciels, ainsi que d’autres mesures de protection essentielles visant à aider les organisations à protéger préventivement les données de comptes de clients.

Un marchand qui ne répond pas aux 12 exigences de la PCI DSS s’expose à des amendes ou à l’annulation de ses privilèges de traitement de cartes de crédit. Voici les 12 exigences principales de la PCI DSS:

1.     Installer un pare-feu et gérer sa configuration afin de protéger les données des titulaires de carte.

2.     Ne pas utiliser les valeurs par défaut du fournisseur pour les mots de passe et les autres paramètres de sécurité du système.

3.     Protéger les données des titulaires de carte qui sont stockées.

4.     Crypter la transmission des données des titulaires de carte sur les réseaux publics et ouverts.

5.     Utiliser un antivirus et mettre celui-ci à jour régulièrement.

6.     Créer et utiliser des systèmes et des applications sécurisés.

7.     Restreindre l’accès aux données des titulaires de carte selon le principe du besoin de connaître de l’entreprise.

8.     Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur.

9.     Restreindre l’accès physique aux données des titulaires de carte.

10.  Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte.

11.  Tester régulièrement les systèmes et les processus de sécurité.

12.  Mettre en place une politique de sécurité de l’information.

Des renseignements sur la PCI DSS et des documents justificatifs se trouvent à l’adresse www.pcisecuritystandards.org.

Niveaux de marchand et exigences en matière de validation

Tous les marchands doivent se conformer à la PCI DSS, peu importe le volume de transactions traitées ou la méthode de traitement des transactions. Cela dit, les exigences de certification varient d’une entreprise à l’autre et dépendent du "niveau de marchand".

 

NIVEAUX DE MARCHAND 1

Tout marchand, sans égard au réseau d’acceptation, traitant annuellement plus de 6 000 000 de transactions Visa ou MasterCard.

Tout marchand ayant subi un acte de piratage ou une attaque qui a compromis les données d’un compte.

Tout marchand qui, selon un réseau de cartes de paiement et à l’unique discrétion de celui-ci, doit répondre aux exigences applicables aux marchands de niveau 1.

 

NIVEAUX DE MARCHAND 2

Tout marchand traitant annuellement entre 1 000 000 et 6 000 000 de transactions Visa ou MasterCard, pour l’un des programmes

 

NIVEAUX DE MARCHAND 3

Tout marchand traitant annuellement entre 20 000 et 1 000 000 de transactions électroniques Visa ou MasterCard.

 

NIVEAUX DE MARCHAND 4

Tout marchand électronique traitant annuellement moins de 20 000 transactions électroniques Visa ou MasterCard.

Tout marchand (sans égard au réseau d’acceptation) traitant annuellement moins de 1 000 000 de transactions Visa ou MasterCard.

 

Liens supplémentaires

Pour obtenir plus de renseignements sur les normes de sécurité PCI et les programmes de conformité au réseau de cartes de paiement, veuillez consulter les sites Web suivants:

https://www.pcisecuritystandards.org/

https://www.visa.ca/en_CA/run-your-business/merchant-resources/merchant-security.html

https://www.mastercard.us/en-us/business/overview.html

https://www.pcisecuritystandards.org/document_library

https://www.pcisecuritystandards.org/assessors_and_solutions/give_assessor_feedback

https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors