Recours à des tiers par les marchands

Saviez-vous que le plus souvent, dans les cas de manquement à la sécurité sur carte de paiement, la responsabilité d’un tiers est en cause?

Apprenez à protéger votre organisation et à veiller au respect des Normes relatives à la sécurité des données de l’industrie des cartes de paiement dans le cadre de votre travail avec des tiers.

Dans plus de la moitié des enquêtes TrustWave sur les manquements à la sécurité sur carte de paiement, on constate qu’un tiers est en cause car il a exposé le marchand touché au risque. Ce fait plutôt inquiétant prouve que le marchant ne peut s’arrêter à son propre réseau informatique pour le respect des Normes relatives à la sécurité des données de l’industrie des cartes de paiement ainsi que pour la protection des données du titulaire de carte.

Si vous utilisez un produit pour PC ou un système intégré d’un fournisseur tiers pour assurer le traitement de vos opérations, alors il vous incombe de prendre des mesures pertinentes et raisonnables afin de protéger les renseignements du titulaire de compte. Il est essentiel que tous les marchands veillent à ce que les fournisseurs en général, entreprises de traitement, fabricants de logiciels, passerelles de paiement ou autres fournisseurs de services se conforment aux mêmes exigences de sécurité.

Les marchands faisant appel à un tiers doivent vérifier si les données relatives aux comptes sont transférées ou stockées sur leurs propres systèmes internes, sur ceux du fournisseur tiers ou encore sur ces deux types de systèmes. En outre, les marchands Internet faisant appel à un logiciel de panier d’achat recevant et transmettant des renseignements sur le titulaire de carte sont tenus de protéger de telles données; ils doivent également mettre en évidence le recours à un logiciel de panier d’achat relevant d’un tiers, auprès de l’organisation d’acquisition ou de traitement.

En cas de manquement à la sécurité, les associations d’émetteurs de cartes jugeront que le marchand touché est responsable, sans égard pour la participation d’un tiers. Par conséquent, le marchant doit exiger par contrat que toutes les organisations lui fournissant un service quel qu’il soit visant la conservation, le traitement ou la transmission de données de titulaires de cartes respectent les exigences des normes relatives à la sécurité des données de l’ICP. N’oubliez pas qu’il peut s’agir aussi d’entreprises informatiques ou de toute organisation reliée à l’environnement de la société concernée, même si les services n’ont aucun rapport avec les données de titulaires de cartes.

En travaillant avec des tierces parties, vous pouvez gérer votre entreprise de façon plus efficace et concentrer vos efforts sur vos objectifs d’affaires essentiels. Les suggestions et liens qui suivent peuvent vous aider à profiter d’une collaboration avec des tiers tout en assurant la sécurité de vos activités.

Apprendre à connaître les tiers

Pour commencer, vous devez vérifier quels sont les tiers qui vous fournissent des services et connaître la nature de ces derniers. Pour chaque tierce partie avec qui vous établissez un contrat, recueillez ce type d’information :

  • Nom du fournisseur ainsi que date de début et de fin du contrat
  • Services et produits fournis
  • Méthode de connexion entre ces organisations et votre environnement
  • Le type d’accès qu’ils ont au réseau informatique
    • De combien d’accès ont-ils besoin?
    • État de conformité des tiers aux Normes relatives à la sécurité des données de l’ICP
      • Plans de maintien de la conformité des tiers aux Normes relatives à la sécurité des données de l’ICP
      • Présence ou absence de clause sur la conformité aux Normes relatives à la sécurité des données de l’ICP dans le contrat

Applications de paiement

Parmi les manquements à la sécurité étudiés par la division SpiderLabsMS de TrustWave, 72 % sont associés aux faiblesses du logiciel de point de vente. De ce nombre, aucun logiciel ne respectait les pratiques exemplaires en matière d’applications de paiement établies par VISA (Payment Application Best Practices – PABP) – un ensemble de directives mis sur pied pour aider les fournisseurs d’applications de paiement à élaborer des systèmes de paiement sécurisés.

Le marchand doit respecter l’ensemble des exigences des normes relatives à la sécurité des données de l’ICP, mais pour se protéger, la première chose à faire (et sans doute la plus importante) est d’utiliser une application de paiement conforme aux critères PABP. VISA tient à jour une liste des applications respectant la norme PABP.

Pour toutes les applications de paiement, les marchands doivent :

  • s’assurer que leur application de paiement figure sur la liste de VISA (notamment en vérifiant le numéro de version du logiciel);
  • confirmer que l’application de paiement qu’ils utilisent a été mise en œuvre conformément aux exigences des normes relatives à la sécurité des données de l’ICP;
  • installer régulièrement tous les correctifs établis par le fournisseur pour l’application de paiement en question.

Fournisseurs de service de traitement de paiement par carte

Selon les associations d’émetteurs de cartes, l’expression « fournisseur de service » désigne toute organisation qui traite, conserve ou transmet des données de titulaires de cartes au nom d’un membre d’une association d’émetteurs de cartes, de marchands ou d’autres fournisseurs de services. Une mesure clé que vous pouvez prendre pour protéger votre entreprise est de faire appel à un fournisseur de services qui respecte les exigences des normes relatives à la sécurité des données de l’ICP. Quand vous faites affaire avec des fournisseurs de services, prenez ces précautions :

  • Choisissez un fournisseur qui est mentionné sur la liste des fournisseurs de services respectant les exigences des normes relatives à la sécurité des données de l’ICP de VISA ou de MasterCard.
    • Visa
    • MasterCard (anglais)
    • Avant de signer un contrat avec un tiers, exigez qu’il présente une preuve de conformité aux Normes relatives à la sécurité des données de l’ICP.
    • Tout contrat doit :
      • stipuler que le tiers est chargé d’assurer la sécurité de toutes les données de titulaire de carte qu’il traite, transmet ou conserve;
      • préciser que le tiers sera tenu responsable de tout manquement à la sécurité;
      • exiger la transmission d’un avis si un changement au réseau informatique du tiers a des répercussions sur la conformité aux Normes relatives à la sécurité des données de l’ICP.

Diligence raisonnable des tierces parties

Même si un tiers connecté à votre réseau ne traite pas directement des données de titulaire de carte, il peut tout de même vous exposer à des risques. Si le tiers a besoin d’accéder à votre réseau (par exemple, pour assurer la prise en charge d’un dispositif), même si l’élément visé n’a aucun rapport avec le traitement, la conservation ou la transmission de données de titulaire de carte, envisagez de prendre les mesures suivantes :

  • Si possible, déplacez le dispositif visé à un segment du réseau sans aucun contact avec les données de titulaire de carte.
  • Si c’est impossible :
    • Assurez le chiffrement de toute séance entre vous et le fournisseur avec les protocoles Secure Shell (SSH), Secure Socket Layer (SSL), réseau privé virtuel (RPV), Transport Layer Security (TLS) ou toute combinaison de ces méthodes.
    • Exigez un code d’identification et un mot de passe uniques pour chaque tiers.
    • Limitez les permissions accordées à ce fournisseur (en autorisant uniquement l’accès aux éléments nécessaires).Only allow traffic through the firewall from a trusted vendor location (and do not leave that access open at all times—require the vendor to call-in before the connection is enabled)
    • Autorisez uniquement le trafic par le coupe-feu à partir d’un site de fournisseur de confiance (et évitez de laisser l’accès ouvert en tout temps; demandez au fournisseur de vous prévenir avant d’activer la connexion).

Les marchands doivent tenir à jour une liste de ce type de fournisseurs et faire en sorte que leurs autorisations, codes d’identification et mots de passe expirent à la fin du contrat.

L’intégration des mesures ci-dessus à votre politique de sécurité des données ne garantira pas forcément votre conformité aux Normes relatives à la sécurité des données de l’ICP. Il s’agit simplement d’un survol général des sujets à envisager quand vous faites appel à des tiers.

Marchands faisant appel à un fournisseur tiers qui conserve des données

  • Le marchand doit préciser si les données de titulaires de cartes sont conservées sur les systèmes internes d’un agent auprès des marchands ou auprès d’une tierce partie. REMARQUE : Sur votre demande de marchand, vous devez indiquer quels sont les logiciels et les fournisseurs auxquels vous faites appel.
  • Le marchand doit nous prévenir (dans un délai de trois jours) en cas de changement ou d’ajout de tiers.
  • Le marchand doit exclusivement faire appel à des agents auprès des marchands ou auprès d’une tierce partie qui figurent sur la liste VISA CISP (Cardholder Information Security Program) ou sur toute liste ICP comparable.
  • Le marchand doit exclusivement faire appel à des agents auprès des marchands ou auprès d’une tierce partie inscrits à la banque d’acquisition.
  • Le marchand doit établir un contrat avec le ou les tiers.
  • Le marchand doit conserver le droit de propriété des données s’il fait appel à un tiers.
  • Le marchand doit prévenir Global Payments si un marchand ou un tiers est touché par un manquement à la sécurité.

La demande du marchand sera restructurée pour faciliter la collecte et le suivi des renseignements sur les établissements où sont conservées des données de titulaires de cartes, afin de veiller à la conformité de la part des marchands comme des fournisseurs. De plus, les bases de données de tiers préciseront si le fournisseur d’application accrédité conserve ou non les données sur les opérations. Comme nous l’avons précisé ci-dessus, les agents auprès des marchands ou auprès d’une tierce partie doivent respecter les exigences VISA CISP et être inscrits auprès de la banque d’acquisition. Si la base de données de tiers indique que le fournisseur d’application accrédité entrepose des données, alors un nouveau champ réservé à l’inscription doit indiquer « Oui » pour qu’un nouveau marchand puisse recourir à un tel fournisseur à compter du 30 septembre 2004.

Pour plus d’information, cliquez sur Données sur les tiers – fournisseurs d’applications accrédités.