PCI DSS : Prenez-vous la sécurité des paiements au sérieux ?
Qu’est-ce que PCI DSS ?
Si votre entreprise accepte les paiements par carte de crédit ou de débit, et ce quelle que soit sa taille, vous devrez vous conformer au PCI DSS (Payment Card Industry Data Security Standard). Les règlementations sont là pour protéger votre entreprise ainsi que vos clients.
PCI DSS a été développé dans le but d’encourager et d’améliorer la sécurité des données bancaire et de faciliter l’adoption de mesures consistantes de sécurité des données au niveau international. En règle générale, tout commerçant ou fournisseur de service conservant, traitant ou transmettant les données de titulaires de carte doit se conformer à la norme. Les organisations non-conformes obtiendront des accords commerciaux moins intéressant (et peuvent se voir refuser certains services), et celles victimes de violations de données et n’étant pas conformes pourraient se voir imposer des amendes significatives.
Vous souhaitez obtenir des conseils sur PCI DSS ou en savoir plus sur nos solutions ? Contactez l’un de nos experts dès aujourd’hui.
Discuter avec un expert
Pourquoi la conformité est-elle importante ?
Le Règlement Général Européen sur la Protection des Données (RGPD) affectant toute entreprise exerçant leurs activités en Europe, les sanctions concernant les précautions inadéquates de sécurité de données bancaires sont plus sérieuses.
Bien que la conformité au PCI DSS s’améliore, la recherche montre que même au sein des entreprises réussissant la validation, près de la moitié ne sont plus conformes dans l’année qui suit. Cela peut être causé par l’un (ou plusieurs) des points ci-dessous :
- Un changement de PCI DSS (la dernière version est 3.2), ou de l’interprétation de PCI DSS
- Un nouveau logiciel/technologie n’ayant pas été mis en place selon les contrôles PCI DSS
- Un processus ou une politique ayant besoin d’être modifié
- Des changements au niveau de l’organisation, du personnel ou du fournisseur
- Un système non testé durant l’analyse précédente
Lorsqu’elle est mise en place correctement, la norme PCI DSS peut aider les entreprises à sécuriser les données des titulaires de carte. Elle fournit un ensemble d’exigences de sécurité permettant aux organisations de décider des mesures à prendre. L’un des bénéfices clés de PCI DSS est de fournir un plan d’actions détaillé pouvant être appliqué aux entreprises de tout type ou de toute taille, traitant ou conservant des données bancaires.
Sanctions de non-conformité avec PCI DSS
La violation de données de cartes bancaires affecte la confiance des consommateurs et peut engendrer une perte d’activité. Tout commerçant allant à l’encontre de PCI DSS pourrait faire face à de sérieuses conséquences, y compris des amendes, procès et dommages à leur réputation. Les implications peuvent être considérables et comprennent :
- Les pertes dues aux fraudes
- La perte de la confiance des consommateurs
- La diminution des ventes
- Le coût de réémission de cartes de paiement
- Les coûts ultérieurs de conformité plus importants
- Les frais légaux, règlements et jugements
- Les amendes et sanctions
- La résiliation de la capacité à accepter les cartes de paiement
- Les emplois perdus
Données de paiement – cibles d’attaques
Les données de cartes de paiement sont la cible principale des attaques contre les environnements commerciaux.
En effet, le 2018 Trustwave Global Security Report montre que les acteurs de menace ciblent, dans la plupart des cas, les données de carte de paiement. Les données de piste de carte (piste magnétique) représentent environ 23% des évènements et les données CNP (transactions sans carte), principalement utilisées lors de transactions e-commerce, constituent environ 20%.
Les pirates informatiques souhaitent obtenir leurs données de cartes bancaires. En obtenant le PAN (numéro du compte principal) et les données d’authentification sensibles, un attaquant peut usurper l’identité du titulaire de la carte, utiliser la carte et voler l’identité du titulaire de la carte. Suivre les directives PCI DSS vous aide à renforcer vos cyberdéfenses contre les attaques ayant pour but de voler les données de cartes bancaires.
Le PCI DSS
La sécurité des paiements est importante pour tous les commerçants, les institutions financières et autres organisations conservant, traitant et transmettant des donnés de cartes bancaires.
Le PCI DSS énonce 12 exigences organisées en si objectifs de contrôles.
Objectifs
Construire et entretenir un réseau sécurisé
Exigences PCI DSS
- Installer et entretenir une configuration de pare-feu afin de protéger les données de carte bancaire
- N’utilisez pas les informations par défaut proposées par le fournisseur pour les mots de passe des systèmes et autres paramètres de sécurité
Protéger les données de cartes bancaires
- Protéger les données de carte bancaire conservées
- Chiffrer les transmissions de données de carte bancaire via les réseaux publics et ouverts
Maintenir un programme de gestion de vulnérabilités
- Utiliser et mettre à jour les programmes et logiciels anti-virus de manière régulière
- Développer et entretenir des applications et systèmes sécurisés
Mettre en place des mesures fortes de contrôle des accès
- Limiter l’accès aux données de carte bancaire en fonction du « besoin de savoir »
- Assigner un identifiant unique à chaque personne ayant un accès ordinateur
- Limiter l’accès physique aux données de carte bancaire
Contrôler et tester les réseaux régulièrement
- Suivre et contrôler tous les accès aux ressources réseau et données de cartes bancaires
- Tester régulièrement les processus et systèmes de sécurité
Entretenir une politique de sécurité de l'information
- Maintenir une politique sur la sécurité de l'information pour les employés et les contracteurs
Les exigences de conformité PCI DSS varient selon le nombre annuel de transactions par carte traitées par votre organisation.
Vous souhaitez en savoir plus sur les exigences PCI DSS ? Consultez notre page dédiée sur les 12 exigences PCI DSS
Pour les organisations traitant plus de six millions de transactions par carte par an
Les grandes organisations doivent faire effectuer un audit externe par un QSA (évaluateur de sécurité qualifié) et présenter un RoC (rapport de conformité) à leurs institutions financières chaque année afin de démontrer leur conformité. Votre responsable d’audit :
- Validera la portée de l’analyse ;
- Révisera toutes les documentations et informations techniques fournies ;
- Déterminera si la norme a été respectée ;
- Fournira soutien et conseils durant le processus de mise en conformité ;
- Sera sur-site pour la durée de l’analyse ;
- Adhérera aux procédures d’analyse PCI DSS ;
- Evaluera les contrôles correctifs ; et
- Rédigera le rapport final de conformité (RoC).
Pour les organisations traitant moins de six millions de transactions par carte par an
La plupart des petits commerçants peuvent utiliser un outil d’auto validation afin d’évaluer le niveau de sécurité de vos données de carte bancaire.
Le SAQ (questionnaire d’auto évaluation) comprend une série de questions en « oui » ou « non » pour chaque exigence PCI DSS applicable. Il existe neuf questionnaires disponibles afin de répondre aux différents environnements des commerçants.
Quel que soit le nombre de transactions que vous traitez, vous devrez également effectuer des analyses externes et internes des faiblesses réseaux trimestrielles et suivant chaque changement important au niveau des réseaux.
Découvrez notre gamme de produits et services PCI DSS
IT Governance propose des services pour chaque étape de votre projet de mise en conformité avec la norme PCI DSS. Que vous souhaitiez mener une analyse des écarts, limiter la portée de votre environnement de données de cartes bancaires, effectuer une évaluation des risques ou tester la sécurité de vos systèmes et processus, nous sommes là pour vous aider. Consultez notre gamme de produits et services afin d’en savoir plus sur nos solutions.
Produits et services PCI DSS
Discuter avec un expert
Vous souhaitez obtenir plus d’informations sur le norme PCI DSS et ce que vous devez faire afin de vous y conformer ? Contactez l’un de nos experts dès aujourd’hui.