Nouvelles et événements

Questions sur la conformité PCI (industrie des cartes de paiement)

30/3/2017 | Par Helen Baginska

Le mois de mars est le Mois de la prévention de la fraude. Ce mois-ci, nous expliquons des concepts de base en matière de conformité à la norme Payment Card Industry (PCI). De plus, nous partageons notre expertise et résumons les points les plus essentiels qui vous aideront à réduire les risques d’atteinte à la protection des données.

Q : Qu’entend-on par PCI et qui agit à titre de représentant de PCI dans le monde du traitement des paiements?

R : Les Normes en matière de sécurité des données de l’industrie des cartes de paiement (PCI DSS pour Payment Card Industry Data Security Standard) désignent un ensemble de normes destinées à assurer que toutes les entreprises qui traitent, conservent et transmettent des renseignements sur les cartes de crédit maintiennent un environnement sécuritaire.

Q : L’entreprise Paiements Pivotal est-elle certifiée PCI DSS?

R : Bien sûr! La conformité de Paiements Pivotal est de niveau 1, soit la plus haute norme de certification PCI possible. Nous faisons l’objet d’audits annuels de nos procédés internes et d’une analyse de vulnérabilité périodique de nos systèmes et de nos serveurs. De plus, la société Paiements Pivotal traite uniquement avec des centres et des fournisseurs de données qui détiennent le même niveau de certification qu’elle.

Q : Que doivent faire les marchands pour être conformes à la norme PCI?

R : Chaque marchand a tout intérêt à demeurer en conformité à la norme PCI afin de réduire les risques d’atteinte à la protection des données pouvant compromettre les renseignements sensibles des titulaires de carte.

Le processus auquel doit se soumettre le marchand afin d’être conforme à la norme PCI dépend du type de connexion du système ou de l’appareil de point de vente utilisé par le marchand. Les marchands qui utilisent un accès de type commuté (dial up) doivent remplir le questionnaire d’autoévaluation (QAE). Le QAE consiste en 60 à 100 questions qui aideront le marchand à comprendre, d’un niveau intuitif, les bons processus PCI.

Par exemple :

« Est-ce que les documents papier sont déchiquetés en fragments, incinérés, ou mis en pâte à papier afin que les données du détenteur de la carte ne puissent pas être reconstruites? »

Essentiellement, cette question explique au marchand comment les documents papier doivent être éliminés conformément aux normes PCI.

Chaque question fournit une clarification et des conseils tout en aidant à créer un processus interne à l’intention des employés du marchand.

Les marchands qui utilisent une connexion IP doivent se soumettre à une détection de vulnérabilité tous les 4 mois et doivent remplir le QAE. Le portail en ligne interactif de Paiements Pivotal s’allie à des évaluateurs qualifiés en matière de sécurité approuvés par les sociétés de cartes de crédit pour effectuer ces détections. L’évaluateur de sécurité qualifié (QSA) exécute l’analyse et détecte toute source potentielle d’intrusion et crée un rapport de conformité. Tout ceci sert à protéger contre toute atteinte à la sécurité des données qui pourrait dévoiler des renseignements sensibles.

Q : Qu’entend-on par « données du détenteur de carte »?

R : Le Conseil des normes de sécurité PCI définit les données du titulaire de la carte comme étant le numéro de compte primaire au complet (PAN) ou le PAN comme tel avec l’un des éléments suivants :

• Nom du titulaire de la carte

• Date d’expiration

• Code de service

Q : Quels sont les risques encourus si le marchand n’est pas conforme aux normes PCI?

R : Advenant toute violation, les marchands qui ne se conforment pas aux PCI DSS peuvent êtes soumis à des amendes, à des coûts de remplacement de la carte, à des audits juricomptables, à des dommages à leur marque, sinon davantage. Grâce à un petit effort et un coût de départ nécessaires pour que vous soyez conforme aux normes PCI, vous contribuez grandement à réduire vos risques de faire face à ces conséquences très désagréables et très onéreuses.

Q : Quelles sont les recommandations de base pour demeurer conforme aux normes PCI?

R : Le Conseil des normes de sécurité PCI énumère quelques suggestions valides sur son site Web. Elles résument le tout assez bien.

• Créer une culture de sensibilisation et éduquer les employés sur une base continuelle. C’est une solution facile à implanter et primordiale au maintien de la sécurité de l’entreprise. Chaque personne qui interagit avec des données sensibles ou les systèmes qui les traitent doit être au courant des tactiques habituellement utilisées par les pirates informatiques pour voler des renseignements. Aussi, il est primordial que chaque employé comprenne le rôle qu’il joue dans la chaîne de traitement des données de l’entreprise.

• Nommez un champion PCI. Même si votre entreprise n’a pas de groupe TI à proprement parler, elle tirera avantage du fait que quelqu’un tient officiellement le rôle de comprendre et de surveiller les fonctions de base de sécurité. Cette affectation englobe la responsabilité de garder les systèmes de l’entreprise à jour avec les plus récents correctifs et mises à jour, de même que celle de tenir compte des répercussions de la sécurité lors des changements apportés au site Web et au système de point de vente (PDV).

• Évitez de conserver des renseignements de paiement n’importe où et n’importe quand. Que vous acceptiez des paiements de clients par téléphone, par télécopieur, en personne ou en ligne, c’est toujours une pratique exemplaire de faire disparaître toute trace comme des copies papier. Les entreprises qui conservent des renseignements de paiement, sous forme papier ou électronique, se rendent beaucoup plus vulnérables vis-à-vis de tout risque d’atteinte à la protection des données. Des solutions de cryptage et de segmentation en unités devraient aussi être utilisées pour assurer la sécurité des données actives et passives.

Plusieurs atteintes à la protection des données sont évitables; elles ont encore tendance à ne pas être trop sophistiquées et peuvent être repoussées par des pare-feu de base puissants. Commencez par effectuer un balayage de vulnérabilité, mais pensez à ajouter un test d’intrusion de réseau, et ce, dès que possible. C’est encore plus crucial si vous avez mis au point des applications Web.

Les Normes en matière de sécurité des données (PCI DSS) ont été mises au point pour encourager et améliorer la sécurité et pour faciliter à grande échelle des mesures de sécurité cohérentes et constantes à l’échelle mondiale. Elles englobent 12 éléments qui fournissent des normes mondiales pour des sujets allant de la façon de protéger les données des titulaires de cartes aux tests de réseaux.

Ressources utilisées : www.pcisecuritystandards.org

 

 

Vous voulez en savoir plus?

Notre personnel des ventes et du service à la clientèle est là pour vous aider.

Contactez-nous

ou Appelez le 1 866 693 2000