Commerce électronique
La norme PCI DSS est un sujet intimidant et déroutant. Pour vous aider à vous y retrouver, nous avons créé un guide qui vous aidera à comprendre de quoi il s'agit et comment PCI DSS s'applique à votre entreprise.Modifier Modifier la date et l'heure
À moins d'avoir une entreprise qui n'accepte que les espèces et les bitcoins, vous allez devoir comprendre comment vous conformer aux réglementations relatives à l'acceptation des cartes de crédit comme moyen de paiement. Ce guide s'adresse aux entreprises qui traitent les cartes de crédit et qui savent à quel point la sécurité des données est essentielle pour garantir la sécurité des achats à l'époque où nous vivons.
Les gens perdent généralement la tête lorsque les informations relatives à leur carte de crédit sont volées, d'autant plus que les entreprises qui acceptent/traitent les cartes de crédit sont tenues par la loi de veiller à ce que tous les fichiers qu'elles touchent soient sécurisés.
Les normes PCI DSS (Payment Card Industry Data Security Standard) sont un ensemble de normes qui aident les petites et moyennes entreprises à se tenir au courant des normes de sécurité.
En septembre 2006, cinq grandes sociétés de cartes de crédit (MasterCard, Visa International, JCB, American Express et Discover) se sont réunies pour former le PCI SSC (Payment Card Industry Security Standards Council).
Le conseil est un organe indépendant chargé de superviser l'amélioration de la norme PCI DSS tout en maintenant des niveaux de sécurité élevés dans chaque segment d'un processus de transaction.
Les entreprises qui acceptent des transactions par carte de crédit sont responsables devant les institutions financières et la société émettrice de la carte de crédit qui gère les fonds, et non devant le conseil municipal.
Toutefois, le Conseil veille à ce que les systèmes soient responsables et évalue les tendances et les faiblesses technologiques afin de maintenir des niveaux de sécurité élevés.
Toute entreprise, institution ou entité acceptant, transmettant et stockant des informations sur les titulaires de cartes est tenue de respecter les règles et réglementations de la norme PCI DSS. PCI définit les informations relatives aux titulaires de cartes comme le PAN (Primary Account Number). Le PAN contient les informations suivantes
La norme PCI DSS demande aux entreprises de protéger les données suivantes :
Un système applicable quel que soit le volume ou le nombre de transactions. La manière dont chaque entreprise traite les données des titulaires de cartes est classée dans l'un des quatre niveaux créés par Visa.
Le niveau est déterminé par le nombre de transactions Visa effectuées par le commerçant DBA (Doing Business As) au cours d'une période de douze mois. Dans les cas où des entreprises ont plusieurs commerçants DBA, le total des transactions de l'entreprise est évalué.
Dans les entités où les entreprises n'interagissent pas avec les données au nom de leurs commerçants, les DBA individuels sont évalués pour déterminer leur niveau.
La norme PCI DSS définit le détaillant comme toute entité acceptant des paiements par cartes portant les logos des cinq principales sociétés de cartes de crédit mentionnées au début de cet article.
Un commerçant peut également être un prestataire de services. Les niveaux sont déterminés comme suit :
Niveau 1 : Opérateurs traitant plus de six millions de transactions Visa par an par courrier, en personne, par commerce électronique ou par téléphone).
Niveau 2 : Commerçants traitant un à six millions de transactions Visa par an par le biais de tous les canaux d'acceptation.
Niveau 3 : Commerçants traitant annuellement de 20 000 à 1 million de transactions Visa de commerce électronique.
Niveau 4 : Commerçants réalisant annuellement 20 000 ventes Visa e-Commerce ou moins par l'intermédiaire de tous les canaux d'acceptation.
Pour se conformer aux règles et aux normes établies, les commerçants doivent suivre une série d'étapes. Tout d'abord, chaque commerçant est tenu de remplir un questionnaire d'auto-évaluation (SAQ) afin de déterminer comment il se mettra en conformité.
Après avoir rempli le questionnaire, les commerçants sont chargés de remplir et de rassembler les preuves d'un passage ainsi que d'une analyse de vulnérabilité effectuée par un ASV (PCI SSC Approved Scanning Vendor). Les entreprises qui utilisent une méthode d'acceptation unique doivent se conformer entièrement aux normes PCI DSS, tout comme les commerçants qui utilisent des processeurs tiers.
Les entreprises possédant plusieurs sites sont tenues de valider une fois par an pour toutes les zones si elles utilisent le même numéro d'identification fiscale. Toutes les entreprises qui traitent des données de cartes de débit ou de crédit doivent se conformer aux normes PCI, mais les entreprises qui ne stockent pas de données ont plus de facilité à gérer le processus de mise en conformité.
Certaines entreprises sont tenues d'effectuer des analyses de vulnérabilité trimestrielles. Un ASV (Approved Scanning Vendor) agréé est chargé d'analyser diverses applications web et réseaux d'adresses IP qui lui sont fournis par le prestataire de services ou le commerçant.
L'analyse cible et expose toutes les vulnérabilités des services, des systèmes d'exploitation et des appareils de l'entreprise que les pirates peuvent utiliser pour accéder au réseau privé de l'opérateur.
Lorsqu'un ASV procède à l'analyse, aucun logiciel ne doit être installé et les analyses sont effectuées tous les 90 jours, les commerçants étant invités à soumettre des rapports de conformité selon le calendrier établi par l'acquéreur.
Certains commerçants envisagent de travailler avec des prestataires de services. Une entité distincte des cinq principales sociétés de cartes de crédit impliquées dans le stockage, le traitement et la transmission des informations relatives aux titulaires de cartes.
Les prestataires de services bénéficient d'une voie de conformité "unique" et il est essentiel qu'ils la suivent scrupuleusement. Les entreprises qui remplissent les conditions requises pour être prestataires de services doivent suivre un cours qui les aide à comprendre clairement leur mandat.
Les applications de paiement sont considérées comme des aspects qui transmettent, stockent ou traitent les informations relatives aux titulaires de cartes. Les applications de paiement sont des processus qui vont des systèmes d'encaissement dans les restaurants aux logiciels utilisés dans les paniers d'achat du commerce électronique.
La norme PA-DSS (Payment Application Data Security Standard) est gérée et maintenue par le PCI SSC. La norme PA-DSS vise à garantir que tous les fournisseurs d'applications de paiement conformes aux normes PCI DSS ne conservent pas les données des titulaires de cartes.
Une passerelle de paiement relie les commerçants à un processeur ou à une banque acquéreuse qui les relie à l'émetteur de la carte. Ils se connectent au processeur ou à l'institution financière par le biais d'une connexion Internet ou d'une ligne commutée.
Dans la plupart des cas, les commerçants apprécient de pouvoir conserver les informations relatives aux titulaires de cartes, ce qui permet aux clients d'effectuer plus facilement des transactions répétées. Le partenariat avec un fournisseur tiers est le moyen le plus détendu et le plus simple de stocker les informations en toute sécurité.
Les informations relatives au titulaire de la carte ne sont plus en possession du commerçant et un tiers spécialisé dans la protection des données traite les données pour le compte du commerçant.
Les commerçants qui choisissent de conserver les données des titulaires de cartes sont soumis à un processus rigoureux par un évaluateur de sécurité qualifié qui se rend sur place pour effectuer un audit confirmant que le commerçant répond aux normes PCI DSS.
Les normes PCI conseillent d'imprimer les six premiers ou les quatre derniers chiffres du PAN sur la copie du reçu de la transaction. Cela permet d'éviter que le numéro complet ne soit affiché.
Les normes sont mises en place pour la sécurité des consommateurs. Lorsque les commerçants ne respectent pas les normes PCI DSS, ils subissent de nombreuses conséquences.
La plupart du temps, ils se voient infliger de lourdes amendes allant de 5000 à 100 000 dollars par mois.
La marque de paiement facture les frais à la banque acquéreuse, qui les répercute sur le commerçant. Dans la plupart des cas, l'institution financière met fin à la relation avec le commerçant ou augmente fortement les frais de transaction.
Ces sanctions peuvent ruiner les petites et moyennes entreprises et il est important que les commerçants respectent toutes les règles sans les contourner.
Même si la norme PCI n'est pas une loi, les commerçants qui refusent de s'y conformer sont soumis à des amendes, des coûts de remplacement des cartes, des dommages à la marque, des audits médico-légaux coûteux et diverses conséquences en cas d'infraction, et sont tenus de les absorber.
Les efforts initiaux et les coûts réalisés après la mise en conformité avec la norme PCI DSS évitent aux commerçants de devoir dépenser plus d'argent et de temps pour faire face à des conséquences graves, coûteuses, compliquées et dévastatrices.
Félicitations pour la création d'une petite et moyenne entreprise, Veillez à ce que toutes les transactions soient conformes aux mesures d'intégrité et de sécurité. Maîtrisez les tenants et les aboutissants de la conformité et protégez votre entreprise des pirates informatiques qui deviennent de plus en plus sophistiqués.
"Les champs obligatoires sont indiqués par un astérisque(*)
"Les champs obligatoires sont indiqués par un astérisque(*)
"Les champs obligatoires sont indiqués par un astérisque(*)
Vous devez être connecté pour poster un commentaire.
