Saviez-vous que le plus souvent, dans les cas de manquement à la sécurité sur carte de paiement, la responsabilité d’un tiers est en cause?
Apprenez à protéger votre organisation et à veiller au respect des Normes relatives à la sécurité des données de l’industrie des cartes de paiement dans le cadre de votre travail avec des tiers.
Dans plus de la moitié des enquêtes TrustWave sur les manquements à la sécurité sur carte de paiement, on constate qu’un tiers est en cause car il a exposé le marchand touché au risque. Ce fait plutôt inquiétant prouve que le marchant ne peut s’arrêter à son propre réseau informatique pour le respect des Normes relatives à la sécurité des données de l’industrie des cartes de paiement ainsi que pour la protection des données du titulaire de carte.
Si vous utilisez un produit pour PC ou un système intégré d’un fournisseur tiers pour assurer le traitement de vos opérations, alors il vous incombe de prendre des mesures pertinentes et raisonnables afin de protéger les renseignements du titulaire de compte. Il est essentiel que tous les marchands veillent à ce que les fournisseurs en général, entreprises de traitement, fabricants de logiciels, passerelles de paiement ou autres fournisseurs de services se conforment aux mêmes exigences de sécurité.
Les marchands faisant appel à un tiers doivent vérifier si les données relatives aux comptes sont transférées ou stockées sur leurs propres systèmes internes, sur ceux du fournisseur tiers ou encore sur ces deux types de systèmes. En outre, les marchands Internet faisant appel à un logiciel de panier d’achat recevant et transmettant des renseignements sur le titulaire de carte sont tenus de protéger de telles données; ils doivent également mettre en évidence le recours à un logiciel de panier d’achat relevant d’un tiers, auprès de l’organisation d’acquisition ou de traitement.
En cas de manquement à la sécurité, les associations d’émetteurs de cartes jugeront que le marchand touché est responsable, sans égard pour la participation d’un tiers. Par conséquent, le marchant doit exiger par contrat que toutes les organisations lui fournissant un service quel qu’il soit visant la conservation, le traitement ou la transmission de données de titulaires de cartes respectent les exigences des normes relatives à la sécurité des données de l’ICP. N’oubliez pas qu’il peut s’agir aussi d’entreprises informatiques ou de toute organisation reliée à l’environnement de la société concernée, même si les services n’ont aucun rapport avec les données de titulaires de cartes.
En travaillant avec des tierces parties, vous pouvez gérer votre entreprise de façon plus efficace et concentrer vos efforts sur vos objectifs d’affaires essentiels. Les suggestions et liens qui suivent peuvent vous aider à profiter d’une collaboration avec des tiers tout en assurant la sécurité de vos activités.
Apprendre à connaître les tiers
Pour commencer, vous devez vérifier quels sont les tiers qui vous fournissent des services et connaître la nature de ces derniers. Pour chaque tierce partie avec qui vous établissez un contrat, recueillez ce type d’information :
Applications de paiement
Parmi les manquements à la sécurité étudiés par la division SpiderLabsMS de TrustWave, 72 % sont associés aux faiblesses du logiciel de point de vente. De ce nombre, aucun logiciel ne respectait les pratiques exemplaires en matière d’applications de paiement établies par VISA (Payment Application Best Practices – PABP) – un ensemble de directives mis sur pied pour aider les fournisseurs d’applications de paiement à élaborer des systèmes de paiement sécurisés.
Le marchand doit respecter l’ensemble des exigences des normes relatives à la sécurité des données de l’ICP, mais pour se protéger, la première chose à faire (et sans doute la plus importante) est d’utiliser une application de paiement conforme aux critères PABP. VISA tient à jour une liste des applications respectant la norme PABP.
Pour toutes les applications de paiement, les marchands doivent :
Fournisseurs de service de traitement de paiement par carte
Selon les associations d’émetteurs de cartes, l’expression « fournisseur de service » désigne toute organisation qui traite, conserve ou transmet des données de titulaires de cartes au nom d’un membre d’une association d’émetteurs de cartes, de marchands ou d’autres fournisseurs de services. Une mesure clé que vous pouvez prendre pour protéger votre entreprise est de faire appel à un fournisseur de services qui respecte les exigences des normes relatives à la sécurité des données de l’ICP. Quand vous faites affaire avec des fournisseurs de services, prenez ces précautions :
Diligence raisonnable des tierces parties
Même si un tiers connecté à votre réseau ne traite pas directement des données de titulaire de carte, il peut tout de même vous exposer à des risques. Si le tiers a besoin d’accéder à votre réseau (par exemple, pour assurer la prise en charge d’un dispositif), même si l’élément visé n’a aucun rapport avec le traitement, la conservation ou la transmission de données de titulaire de carte, envisagez de prendre les mesures suivantes :
Les marchands doivent tenir à jour une liste de ce type de fournisseurs et faire en sorte que leurs autorisations, codes d’identification et mots de passe expirent à la fin du contrat.
L’intégration des mesures ci-dessus à votre politique de sécurité des données ne garantira pas forcément votre conformité aux Normes relatives à la sécurité des données de l’ICP. Il s’agit simplement d’un survol général des sujets à envisager quand vous faites appel à des tiers.
Marchands faisant appel à un fournisseur tiers qui conserve des données
La demande du marchand sera restructurée pour faciliter la collecte et le suivi des renseignements sur les établissements où sont conservées des données de titulaires de cartes, afin de veiller à la conformité de la part des marchands comme des fournisseurs. De plus, les bases de données de tiers préciseront si le fournisseur d’application accrédité conserve ou non les données sur les opérations. Comme nous l’avons précisé ci-dessus, les agents auprès des marchands ou auprès d’une tierce partie doivent respecter les exigences VISA CISP et être inscrits auprès de la banque d’acquisition. Si la base de données de tiers indique que le fournisseur d’application accrédité entrepose des données, alors un nouveau champ réservé à l’inscription doit indiquer « Oui » pour qu’un nouveau marchand puisse recourir à un tel fournisseur à compter du 30 septembre 2004.
Pour plus d’information, cliquez sur Données sur les tiers – fournisseurs d’applications accrédités.