CARTES DE PAIEMENT (PCI DSS) POUR LES MARCHANDS

QU’EST-CE QUE LA CONFORMITÉ PCI DSS?

Les normes relatives à la sécurité des données de l’industrie des cartes de paiement (PCI DSS) sont un ensemble de normes ou de meilleures pratiques qui servent à la sécurisation des données confidentielles. Ces normes ont été établies par les cinq grandes[C1]  marques mondiales de paiement : American ExpressMD, DiscoverMD, MasterCardMD, JCBMD et VisaMD. La conformité PCI DSS comprend 12 exigences; des mesures sensées qui reflètent les meilleures pratiques de sécurité et fournissent un cadre pour l’établissement d’un environnement de paiement sûr. La validation de la conformité PCI DSS est obligatoire pour toutes les entreprises qui stockent, traitent ou transmettent des données de cartes de paiement, peu importe leur taille ou leur solution de point de vente (PDV). Le volume, les pratiques et l’environnement de traitement du marchand déterminent quelles exigences PCI DSS s’appliquent à son entreprise.


PCI DSS MERCHANT CATEGORIES

CATÉGORIE DESCRIPTION

Niveau 1

Marchand (peu importe le canal d’acceptation) qui traite plus de 6 000 000 d’opérations Visa ou MasterCard par année

Marchand qui a été victime de piratage causant la compromission de données

Marchand que Visa ou MasterCard juge, à sa seule discrétion, qu’il doit répondre aux exigences de niveau 1, afin de réduire le risque encouru par le système

Niveau 2

Marchand (peu importe le canal d’acceptation) qui traite entre

1000000 et 6000000 d’opérations Visa ou MasterCard par année

Niveau 3

Marchand qui traite entre 20000 et 1000000 d’opérations de commerce électronique Visa ou MasterCard par année

Niveau 4

Marchand qui traite moins de 20000 opérations de commerce électronique Visa ou MasterCard par année, et marchand (peu importe le canal d’acceptation) qui traite jusqu’à 1000000 d’opérations Visa ou MasterCard par année

EXIGENCES DE CONFORMITÉ PCI DSS

OBJECTIFS EXIGENCES PCI DSS

Créer et maintenir un réseau sécurisé

1. Installer et maintenir un pare-feu afin de protéger les données des détenteurs

2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur

Protéger les données des détenteurs de cartes

3. Protéger les données de détenteurs stockées

4. Crypter la transmission des données des détenteurs sur des réseaux publics ouverts

Maintenir un programme de gestion de la vulnérabilité

5. Utiliser des logiciels ou des programmes antivirus et les mettre à jour de façon régulière

6. Créer et maintenir des systèmes et des applications sécurisés

Mettre en œuvre des mesures de contrôle d’accès rigoureuses

7. Restreindre l’accès aux données des détenteurs à un nombre limité de personnes

8. Attribuer un ID unique à chaque utilisateur d’ordinateur

9. Restreindre l’accès physique aux données des détenteurs

Vérifier et tester les réseaux de façon régulière

10. Surveiller toutes les voies d’accès aux ressources réseau et aux données des détenteurs de cartes

11. Tester les systèmes et processus de sécurité de façon régulière

Établir une politique de sécurité des données

12. Maintenir une politique sur la sécurité des données destinée à tous les membres du personnel

POURQUOI OBTENIR LA CONFORMITÉ

La conformité PCI DSS est un élément essentiel de la sécurisation des données des cartes de paiement de vos clients et de la protection de votre entreprise. La conformité vous aide à maintenir une image favorable et à accroître la confiance des clients. La non-conformité peut se traduire par des amendes, l’annulation de comptes et une atteinte à la réputation de votre entreprise.

COMMENT OBTENIR LA CONFORMITÉ

Pour obtenir la conformité, vous devez recourir aux services d’un évaluateur de sécurité qualifié (QSA). Un QSA est une entreprise de sécurité des données qui a été formée et certifiée par le Conseil sur les normes de sécurité PCI pour évaluer la conformité PCI DSS. Dans le but de vous venir en aide, Global Payments a établi un partenariat avec SecurityMetrics afin qu’elle puisse vous fournir des services de conformité PCI.

Control Scan possède une vaste expérience en conformité PCI. Depuis 2001, cette entreprise a aidé plus d’un million de marchands, et a conçu des méthodes et des outils spécialisés en vue de simplifier la conformité PCI. En tant que QSA et fournisseur de services d'analyse qualifié (ASV), Control Scan aide les marchands à valider leur conformité et à mettre en œuvre les normes relatives à la sécurité des données PCI. Control Scan effectue des analyses PCI, des audits des lieux, des vérifications des applications de paiement, des audits de sécurité des terminaux de point de vente, des tests de pénétration et des enquêtes informatiques, pour prévenir et évaluer les violations de données. Dans un contexte où la technologie et le traitement des données sont en constant changement, Control Scan peut aider les marchands à acquérir et à maintenir la conformité PCI.

DES QUESTIONS?

Si vous avez des questions à propos des exigences PCI DSS ou du processus de conformité, n’hésitez pas à communiquer avec un représentant de Global Payments au 1 800 361-8170, un membre de l’équipe de la conformité canadienne de Global Payments à cdn.pcicompliance@globalpay.com ou ControlScan au 1 800-530-9648.

Pour de plus amples renseignements sur la conformité PCI DSS, veuillez consulter les ressources suivantes :

Conseil sur les normes de sécurité de l’industrie des cartes de paiement (PCI SSC)

Guide de référence rapide PCI

Entreprises et fournisseurs approuvés