Sécurité de conformité à la norme PCI

PCI signifie « Payment Card Industry » (industrie des cartes de paiement), mais signifie habituellement l’un des éléments suivants :

Le Conseil des normes de sécurité de l’industrie des cartes de paiement (Payment Card Industry Security Standards Council). Il s’agit d’un organisme de l’industrie composé d’organisations comme Visa, Mastercard, American Express et Discover. Le Conseil est le moyen par lequel ces entreprises coopèrent pour convenir d’une norme de sécurité unique et commune à laquelle les commerçants doivent répondre.

La norme de sécurité réelle établie par le Conseil, décrite dans la première définition ci-dessus. Le nom complet de cette norme est la « norme de sécurité des données de l’industrie des cartes de paiement » (Payment Card Industry Data Security Standard, PCI DSS). Les marchands doivent satisfaire à cet ensemble d’exigences de sécurité si leur entreprise accepte, transmet ou traite les cartes de paiement des clients, telles que les cartes de crédit ou de débit.

PCI DSS est l’abréviation de Payment Card Industry Data Security Standard (normes de l’industrie en sécurité des données des cartes de paiement). Il s’agit d’un vaste ensemble technique d’exigences de sécurité créées par l’industrie des cartes de paiement qui définissent ce que les commerçants doivent faire pour protéger les renseignements des clients. Le Conseil des normes de sécurité de l’industrie des cartes de paiement exige des commerçants qu’ils répondent à cette série d’exigences de sécurité si leur entreprise accepte, transmet ou traite les cartes de paiement de clients, par exemple, les cartes de crédit ou de débit. Les marchands qui ne répondent pas à ces exigences peuvent être pénalisés de différentes façons, pouvant entre autres aller jusqu’à la révocation de leurs privilèges de traitement de cartes, après quoi il leur sera impossible d’accepter les cartes de paiement des clients.

Cliquez ici pour consulter le site Web du Conseil des normes de sécurité de l’industrie des cartes de paiement et en savoir plus :

https://www.pcisecuritystandards.org/index.php

La norme PCI DSS s’applique à TOUTES les organisations et à TOUS les commerçants, peu importe leur taille, qui acceptent, transmettent ou stockent des renseignements liés aux cartes de paiement. En d’autres termes, si un client de cet organisme paie à l’aide d’une carte de crédit ou de débit, les exigences PCI DSS s’appliquent.

Pour répondre aux exigences de la PCI, un commerçant doit faire deux choses :

1. Se conformer à la norme de sécurité des données en répondant à toutes ses exigences.
2. Valider leur conformité. C’est donc dire que le commerçant doit DÉMONTRER (d’une manière adaptée à sa taille et à sa situation) qu’il est conforme à la norme de sécurité des données. Pour certains commerçants, comme ceux qui ont un volume élevé de transactions par carte, ou avec un historique de problèmes de sécurité, la validation implique des vérifications sur place par des professionnels certifiés, mais pour de nombreux commerçants, les principales exigences sont les suivantes :
   • L’achèvement et la soumission annuelle par le commerçant d’un questionnaire d’autoévaluation PCI (Self-Assessment Questionnaire, SAQ); et
   • Le cas échéant, réalisation d’une analyse trimestrielle des vulnérabilités du réseau par une société de numérisation certifiée.

Soulignons que le fait d’être conforme ne signifie PAS automatiquement que le commerçant répond à l’exigence de validation.

Le questionnaire d’autoévaluation (Self-Assessment Questionnaire, SAQ) est un formulaire que les commerçants peuvent être tenus de remplir chaque année et de soumettre à leur banque acquéreuse. Elle a été créée par le conseil PCI. Remplir un questionnaire d’autoévaluation aide les commerçants à faire deux choses:

• Vérifier leur conformité et découvrir s’ils observent la norme de sécurité des données.
• Effectuer une partie de leur validation et fournir à d’autres, comme leur banque acquéreuse, la preuve qu’ils sont conformes à la norme PCI DSS.

Depuis février 2008, il n’y a plus de questionnaire d’autoévaluation unique applicable à tous. Les marchands doivent maintenant déterminer l’une des cinq catégories de type de validation qu’ils intègrent, puis remplir le questionnaire d’auto-évaluation approprié pour leur catégorie. Pour certains commerçants, ce questionnaire d’autoévaluation est court et simple, tandis que pour d’autres, il est long et extrêmement technique. Veuillez noter que pour toutes les versions du questionnaire d’auto-évaluation, les commerçants ne seront considérés comme conformes que s’ils répondent (ou peuvent répondre « sans objet ») à TOUTES les questions du questionnaire.

Être « conforme » signifie, pour le commerçant, répondre à toutes les exigences énoncées dans la norme PCI DSS. Les exigences de conformité sont les mêmes pour TOUS les commerçants, grands ou petits. Cependant, les petits commerçants évitent généralement de nombreux problèmes de conformité auxquels sont confrontées les grandes organisations, parce que leurs systèmes et leurs réseaux sont généralement plus simples.

La validation signifie qu’un marchand peut démontrer, au moyen de documents ou de tests standards, qu’ils satisfont aux exigences PCI DSS. Différents types de commerçants doivent composer avec différentes exigences de validation, selon lequel des quatre niveaux leur est désigné.

Non, PCI n’est pas, en soi, une loi. La norme a été établie par des organisations commerciales, notamment Visa, Mastercard et les autres grandes entreprises de cartes de crédit. Les marchands qui ne respectent pas la norme PCI DSS n’enfreignent pas nécessairement à une loi, mais ils enfreignent probablement leurs modalités de service ou leur contrat avec leur banque d’acquisition et les associations de cartes. C’est donc dire que le commerçant pourrait être pénalisé ou poursuivi en justice, ou que ces entreprises pourraient refuser de travailler avec le commerçant. Cela signifie que le commerçant serait incapable de traiter les cartes de crédit ou de débit.

Bien que les entreprises ne soient pas toutes tenues d’effectuer des analyses, si nécessaire, une analyse de vulnérabilité est un processus automatisé et non intrusif qui évalue le réseau et les applications Web du commerçant à partir d’Internet (sur les adresses IP externes). L’analyse détectera les vulnérabilités ou les lacunes pouvant permettre à un utilisateur non autorisé ou malveillant d’accéder au réseau et de potentiellement compromettre les données des titulaires de carte.

Si votre entreprise ne se conforme pas aux normes de la PCI, votre entreprise pourrait être davantage exposée au risque en raison de la menace croissante d’atteinte à la protection des données de cartes de paiement et de vols de telles données, ce qui peut entraîner des pénalités substantielles (comme des amendes de la part de banques, d’organismes de réglementation et d’associations de cartes), de fraudes et des rétrofacturations, ainsi que des frais juridiques et la perte de clients. Si vous ne vous conformez pas à la norme PCI DSS ou si vous omettez de communiquer votre statut de conformité à la norme PCI DSS à un fournisseur externe de First Data, il se peut que votre fournisseur de services aux commerçants vous facture des frais mensuels de non-réception de validation de conformité jusqu’à ce que vous vous conformiez à la norme PCI DSS ou que vous communiquiez votre statut de conformité à la norme PCI DSS à First Data.

Si votre entreprise subit une atteinte à la sécurité des données, vous pourriez même perdre votre capacité à traiter les paiements par carte de crédit. Plus important encore, vous risquez de perdre des clients. Selon des recherches, 43 % des clients ayant été victimes de fraude cessent de faire affaire avec le commerçant où la fraude s’est produite.

La conformité à la norme PCI DSS n’empêche pas une violation ou un compromis de la sécurité des données, ou modifie l’allocation des risques en vertu de votre convention de marchand.