La norme PCI DSS apparaît comme un sujet intimidant et déroutant. Pour vous aider à aborder le sujet en toute simplicité, nous avons créé un guide qui vous aide à comprendre de quoi il s’agit et comment la norme PCI DSS s’applique à votre entreprise. Modifier Modifier la date et l’heure
À moins que vous n’ayez l’une de ces entreprises qui n’accepte que l’argent liquide et bitcoin Vous allez devoir comprendre comment vous conformer à la réglementation concernant l’acceptation des cartes de crédit comme mode de paiement. Ce guide s’adresse aux entreprises qui s’occupent du traitement des cartes de crédit et qui réalisent à quel point la sécurité des données est vitale pour une expérience d’achat sûre à l’époque dans laquelle nous vivons.
Les gens perdent généralement la tête lorsque les informations de leur carte de crédit sont volées, plus encore, les entreprises acceptant/traitant les cartes de crédit sont tenues par la loi de s’assurer que tous les fichiers qu’elles touchent sont sécurisés.
PCI DSS (Payment Card Industry Data Security Standard) est l’ensemble des normes qui aident les propriétaires de petites et moyennes entreprises à se tenir au courant des normes de sécurité.
En septembre 2006, cinq grandes sociétés de cartes de crédit (MasterCard, Visa International, JCB, American Express et Discover) se sont regroupées pour former le PCI SSC (Conseil des normes de sécurité de l’industrie des cartes de paiement).
Le conseil est un organisme indépendant chargé de superviser l’amélioration de la norme PCI DSS tout en maintenant des niveaux de sécurité élevés dans chaque segment d’un processus de transaction.
Les entreprises qui acceptent les transactions par carte de crédit doivent rendre des comptes aux institutions financières et à la société émettrice de la carte de crédit qui gère les fonds, et non au conseil.
Cependant, le conseil s’assure qu’il y a une responsabilité dans les systèmes et ils évaluent les tendances et les faiblesses technologiques pour maintenir des niveaux élevés de sécurité.
Toute entreprise, institution et toute entité acceptant, transmettant et stockant des informations sur les titulaires de carte est tenue de respecter les règles et réglementations PCI DSS. La norme PCI définit les informations du titulaire de la carte comme un PAN (numéro de compte principal). PAN détient les informations suivantes :
La norme PCI DSS demande aux entreprises de protéger les données suivantes :
Un système qui s’applique quel que soit l’importance ou le nombre de transactions. La façon dont chaque entreprise traite les données des titulaires de carte est classée dans l’un des quatre niveaux créés par Visa.
Le niveau est déterminé par le nombre de transactions Visa effectuées par le DBA du commerçant (qui est « Doing Business As ») sur une période de douze mois. Dans les cas où les entités d’entreprise ont plusieurs DBA marchands, le total des transactions de l’entreprise est évalué.
Dans les entités où les entreprises n’interagissent pas avec les données pour le compte de leurs commerçants, les DBA individuels sont évalués pour déterminer leurs niveaux.
Définition PCI DSS d’un détaillant comme toute entité acceptant des paiements à partir de cartes portant les logos des cinq principales sociétés de cartes de crédit mentionnées au début de cet article.
Un commerçant peut aussi bien être un prestataire de services. Les teneurs sont déterminées comme suit :
Niveau 1 : Les commerçants traitent plus de six millions de transactions Visa par an par la poste, en personne, par commerce électronique ou par téléphone.
Niveau 2 : Les commerçants traitent de 1 à 6 millions de transactions Visa par an par tous les canaux d’acceptation.
Niveau 3 : Les commerçants traitent de 20 000 à 1 million de transactions de commerce électronique Visa par an.
Niveau 4 : Les commerçants traitent chaque année 20 000 ventes en ligne Visa et moins via tous les canaux d’acceptation.
Pour répondre aux règles et aux normes établies, les commerçants sont guidés à travers une série d’étapes. Tout d’abord, chaque commerçant est tenu de remplir un SAQ (questionnaire d’auto-évaluation) afin de déterminer à quoi ressemblera sa conformité.
Après avoir rempli le questionnaire, les commerçants sont chargés de remplir et de recueillir des preuves d’un passage ainsi qu’une analyse de vulnérabilité d’un ASV (PCI SSC Approved Scanning Vendor). Les entreprises utilisant une seule méthode d’acceptation sont tenues de se conformer pleinement aux normes PCI DSS, tout comme les commerçants utilisant des processeurs tiers.
Pour les entreprises ayant plusieurs sites, elles sont tenues de valider une fois par an pour toutes les zones si elles utilisent le même numéro d’identification fiscale. Autant toutes les entreprises traitant des données de carte de débit ou de crédit sont invitées à se conformer aux normes PCI, autant les entreprises qui ne stockent pas de données ont plus de facilité à gérer le processus de conformité.
Certaines entreprises individuelles doivent effectuer des analyses de vulnérabilité trimestrielles. Un ASV (Approved Scanning Vendor) agréé est chargé d’effectuer un balayage de diverses applications Web et réseaux d’adresses IP qui leur sont fournis par le fournisseur de services ou le commerçant.
L’analyse cible et expose toutes les vulnérabilités dans les services, les systèmes d’exploitation et les appareils de l’entreprise que les pirates peuvent utiliser pour accéder au réseau privé du trader.
Lorsqu’un ASV entreprend l’analyse, aucun logiciel ne nécessite d’installation et des analyses sont effectuées tous les 90 jours, car les commerçants sont invités à soumettre des rapports de conformité selon le calendrier établi par l’acquéreur.
Certains traders envisagent de travailler avec des prestataires de services. Une entité distincte des cinq principales sociétés de cartes de crédit impliquées dans le stockage, le traitement et la transmission des informations sur les titulaires de carte.
Les fournisseurs de services disposent d’une voie de conformité « unique », et il est essentiel qu’ils la suivent attentivement. Les entreprises qui se qualifient pour être des fournisseurs de services doivent suivre un cours qui les aide à bien comprendre leur mandat.
Les applications de paiement sont considérées comme des aspects qui transmettent, stockent ou traitent les informations du titulaire de la carte. Les applications de paiement sont des processus qui vont des systèmes de balayage dans les restaurants aux logiciels utilisés dans les paniers d’achat du commerce électronique.
PA-DSS (Payment Application Data Security Standard) est exécuté et maintenu par le PCI SSC. PA-DSS existe pour s’assurer que tous les fournisseurs fournissant des applications de paiement conformes aux normes PCI DSS ne préservent pas les données des titulaires de cartes.
Une passerelle de paiement connecte les commerçants à un processeur ou à une banque acquéreuse qui les connecte à l’émetteur de la carte. Ils se connectent au processeur ou à l’institution financière par le biais d’une connexion Web ou d’une connexion commutée.
Dans la plupart des cas, les commerçants apprécient d’avoir la possibilité de conserver les informations du titulaire de la carte, ce qui permet aux clients d’effectuer plus facilement des transactions répétées. Le partenariat avec un fournisseur tiers est le moyen le plus détendu et le plus simple de stocker des informations en toute sécurité.
Les informations du titulaire de la carte sont retirées de la possession du commerçant et un tiers spécialisé dans la protection des données traite les données pour le compte du commerçant.
Les concessionnaires qui choisissent de conserver les données du titulaire de la carte sont soumis à un processus rigoureux par un évaluateur de sécurité qualifié qui se rend sur le site pour effectuer un audit confirmant que le commerçant répond aux normes PCI DSS.
Les normes PCI conseillent d’imprimer les six premiers ou les quatre derniers chiffres du PAN sur une copie du reçu de transaction. Cela permet d’éviter que le numéro complet ne soit affiché.
Des normes sont mises en place pour assurer la sécurité des consommateurs. Lorsque les traders ne respectent pas les normes PCI DSS, ils s’exposent à de nombreuses conséquences.
La majorité du temps, ils sont frappés de lourdes amendes allant de 5000 $ à 100 000 $ par mois.
La marque de paiement facture directement à la banque acquéreuse qui répercute les coûts sur l’entreprise. Dans la plupart des cas, l’institution financière met fin à la relation avec le commerçant ou augmente considérablement les frais de transaction.
Ce sont des pénalités qui peuvent ruiner les petites et moyennes entreprises et il est important que les commerçants suivent toutes les règles sans les contourner.
Même si la norme PCI n’est pas une loi, les commerçants qui refusent de s’y conformer sont soumis et sont responsables de l’absorption des coûts engendrés par les amendes, les coûts de remplacement des cartes, les dommages à la marque, les audits judiciaires coûteux et diverses conséquences en cas d’infraction.
Efforts initiaux et coûts réalisés après conforme à la norme PCI DSS Évitez aux commerçants d’avoir à dépenser plus d’argent et de temps à faire face à des conséquences graves, coûteuses, compliquées et dévastatrices.
Félicitations pour le démarrage d’une petite et moyenne entreprise, assurez-vous que toutes les transactions sont conformes aux mesures d’intégrité et de sécurité. Naviguez dans les tenants et aboutissants de la conformité et protégez votre entreprise des pirates informatiques qui deviennent de plus en plus sophistiqués de jour en jour.
"*" indique les champs obligatoires
"*" indique les champs obligatoires
"*" indique les champs obligatoires
Laisser un commentaire
Tu dois être connecté pour poster un commentaire.