Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)

Les marchands et les fournisseurs de services qui sauvegardent, traitent ou transmettent les données de titulaires de carte doivent se conformer à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) ainsi qu’aux programmes de conformité au réseau de cartes de paiement. 

La PCI DSS est appliquée par les réseaux de cartes de paiement (Visa International, MasterCard Worldwide, American Express, Discover Financial Services et JCB). Même si les exigences de certification varient d’une entreprise à l’autre et dépendent de votre « niveau de marchand » ou de votre « niveau de fournisseur de services », le refus de se conformer à la PCI DSS ainsi qu’aux programmes de conformité au réseau de cartes de paiement peut mener à l’imposition d’amendes ou de frais au marchand, ou encore à l’annulation de ses services de traitement.

First Data souhaite s’assurer que tous ses marchands se conforment à la norme ainsi qu’à ses programmes. Vous trouverez dans ce document des renseignements et des liens sur la sécurité des données, lesquels vous permettront d’évaluer les mesures à prendre par votre entreprise pour s’assurer de demeurer conforme.

Le Conseil des normes de sécurité PCI (PCI SSC) est un forum mondial pour l’élaboration, l’amélioration, le stockage, la diffusion et l’application continus de normes de sécurité en vue d’assurer la protection des données de comptes. Il s’agit d’un organisme indépendant fondé en septembre 2006 par les cinq grands réseaux de cartes de crédit : American Express, Discover Financial, JCB, MasterCard Worldwide et Visa International.

Le PCI SCC s’occupe actuellement des normes de sécurité suivantes :

• Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)
• Programme encadrant les appareils de saisie de NIP de l’industrie des cartes de paiement (PCI PED)
• Norme de sécurité des données de l’application de paiement de l’industrie des cartes de paiement (PCI PA-DSS)

Le PCI SSC est également responsable de former des évaluateurs et des fournisseurs de services qualifiés en matière de sécurité, lesquels valideront la conformité des marchands et des fournisseurs de services par rapport à ces normes. Il n’est pas responsable de faire appliquer ces normes. L’application de ces normes est gérée de manière indépendante par les réseaux de cartes de paiement.

Visitez l’adresse www.pcisecuritystandards.org pour obtenir plus de renseignements.

La PCI DSS consiste en une vaste série technique d’exigences de sécurité créées par l’industrie des cartes de paiement et exposant les mesures à prendre par les marchands pour protéger les renseignements du client. Le Conseil des normes de sécurité PCI exige des marchands qu’ils répondent à cette série d’exigences de sécurité si leur entreprise accepte, transmet ou traite les cartes de paiement de clients (p. ex., cartes de crédit ou cartes de débit). Les marchands qui ne répondent pas à ces exigences peuvent être pénalisés de différentes façons, pouvant entre autres aller jusqu’à la révocation de leurs privilèges de traitement de cartes, après quoi il leur sera impossible d’accepter les cartes de paiement des clients.

Visitez l’adresse www.pcisecuritystandards.org pour obtenir plus de renseignements.

Il est obligatoire de se conformer à la PCI DSS. First Data souhaite s’assurer que tous les marchands adhèrent à cette norme et y demeurent conformes. Si un marchand ne se conforme pas à la PCI DSS, les réseaux de cartes de paiement pourraient imposer des amendes et des frais supplémentaires et le marchand pourrait ne plus être en mesure de traiter des transactions de cartes de crédit.

Pour être jugé conforme, un marchand doit répondre à l’ensemble des exigences de la PCI DSS. Pour obtenir la certification, vous devez faire appel aux services d’un évaluateur de sécurité qualifié ,lequel validera que vous êtes conforme à la PCI DSS. L’évaluateur de sécurité qualifié tâchera de relever les problèmes de non-conformité. Chaque problème de non-conformité devra ensuite être résolu. Lorsque tous les problèmes de non-conformité auront été résolus, l’évaluateur de sécurité qualifié procédera à une nouvelle évaluation et confirmera que vous êtes conforme. Si un marchand choisit de suivre le processus de certification à la PCI DSS, celui-ci est à ses frais.

La PCI DSS prévoit des exigences liées à la gestion de la sécurité, aux politiques, aux procédures, à l’architecture de réseau, à la conception de logiciels, ainsi que d’autres mesures de protection essentielles visant à aider les organisations à protéger préventivement les données de comptes de clients.

Un marchand qui ne répond pas aux 12 exigences de la PCI DSS s’expose à des amendes ou à l’annulation de ses privilèges de traitement de cartes de crédit. Voici les 12 exigences principales de la PCI DSS:

1. Installer un pare-feu et gérer sa configuration afin de protéger les données des titulaires de carte.
2. Ne pas utiliser les valeurs par défaut du fournisseur pour les mots de passe et les autres paramètres de sécurité du système.
3. Protéger les données des titulaires de carte qui sont stockées.
4. Crypter la transmission des données des titulaires de carte sur les réseaux publics et ouverts.
5. Utiliser un antivirus et mettre celui-ci à jour régulièrement.
6. Créer et utiliser des systèmes et des applications sécurisés.
7. Restreindre l’accès aux données des titulaires de carte selon le principe du besoin de connaître de l’entreprise.
8. Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur.
9. Restreindre l’accès physique aux données des titulaires de carte.
10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte.
11. Tester régulièrement les systèmes et les processus de sécurité.
12. Mettre en place une politique de sécurité de l’information.

Des renseignements sur la PCI DSS et des documents justificatifs se trouvent à l’adresse www.pcisecuritystandards.org.