Cartes de paiement à l'intention des fournisseurs de services

VISA et MasterCard ont travaillé en collaboration afin de créer des exigences de sécurité normalisées relatives à l’industrie des cartes de paiement. L’objectif était également d’aligner les programmes « Cardholder Information Security Program » (CISP) de VISA USA et « Site Data Protection » (SDP) de MasterCard aux États-Unis, ainsi que les programmes SDP et « Sécurité de l’information concernant les comptes » (SIC) de VISA hors des États-Unis. En décembre 2004, VISA USA et MasterCard ont annoncé l’alignement de leurs programmes, sous la nouvelle bannière des normes relatives à la sécurité des données de l’industrie des cartes de paiement.

Toutes les tierces parties (fournisseurs tiers de services de traitement) et toutes les entités DSE (Data Storage Entities) disposant de systèmes internes de stockage, de traitement ou de transmission de données de titulaires de cartes au nom de marchands sont collectivement dénommées « fournisseurs de services ». Les fournisseurs de services doivent se conformer aux normes relatives à la sécurité des données de l’industrie des cartes de paiement. La validation de la conformité est obligatoire pour toutes les tierces parties qui stockent, traitent ou transmettent des données de titulaires de cartes au nom de marchands et d’institutions financières membres du réseau. La validation nécessite des contrôles réguliers du réseau ainsi qu’une validation annuelle des politiques et procédures. Tous les fournisseurs de services doivent faire appel à un évaluateur de sécurité qualifié afin de valider la conformité.

L’une de ces mesures de validation consiste à contrôler le réseau chaque trimestre. Les outils de contrôle comparent la configuration du site Web à une base de données contenant plus de 1 200 vulnérabilités connues. Le contrôle du réseau peut également comprendre des services de détection d’intrusions, la surveillance du pare-feu et d’autres vérifications Web. Ces contrôles doivent être effectués par un spécialiste en analyse qualifié indépendant.

Le groupe de fournisseurs de services de niveau 1 inclut tous les fournisseurs tiers de services de traitement connectés aux réseaux VisaNet et MasterCard. Global Payments respecte les normes de l’industrie des cartes de paiement depuis 2005. Le groupe de fournisseurs de services de niveau 1 inclut toutes les passerelles de paiement entre le marchand et Global Payments ou entre le marchand et d’autres fournisseurs de services de traitement.

Le groupe de fournisseurs de services de niveau 1 inclut tous les fournisseurs tiers de services de traitement connectés aux réseaux VisaNet et MasterCard. Global Payments respecte les normes de l’industrie des cartes de paiement depuis 2005. Le groupe de fournisseurs de services de niveau 1 inclut toutes les passerelles de paiement entre le marchand et Global Payments ou entre le marchand et d’autres fournisseurs de services de traitement.

Le groupe des fournisseurs de services des niveaux 2 et 3 englobe tous les fournisseurs de services tiers qui ne font pas partie du niveau 1 et qui stockent, traitent ou transmettent des données d’opération. Il peut s’agir notamment d’agents auprès d’une tierce partie, d’organisations commerciales indépendantes, de fournisseurs de marchands, de fournisseurs de services d’hébergement Web, de gestion des paniers d’achat et d’archivage des supports de stockage, de gestionnaires de programmes de fidélisation, de fournisseurs de services de gestion du risque ou de débits compensatoires et d’agences d’évaluation du crédit. Le nombre d’opérations est établi en fonction du nombre brut d’opérations VISA stockées, traitées ou transmises non seulement pour le marchand ou le membre, mais également pour toutes les entités prises en charge par un fournisseur de services. Le groupe des fournisseurs de services des niveaux 2 et 3 englobe également les entités DSE tierces qui stockent des données au nom de marchands de niveau 3 (entre 20 000 et 150 000 opérations de commerce électronique) ou de niveau 4 (tous les autres marchands, indépendamment du mode d’acceptation).

VISA exige que les fournisseurs de services produisent directement les résultats de la validation de la conformité à VISA. Une fois que le fournisseur de services de niveau 1, 2 ou 3 a produit la documentation attestant qu’il se conforme entièrement aux règles de VISA Inc. et de MasterCard Worldwide, il est ajouté à la liste des fournisseurs de services en conformité.

Pour consulter la liste VISA actuelle, cliquez ici.

Pour consulter la liste MasterCard actuelle, cliquez ici.(anglais)

Les tierces parties qui reçoivent, transmettent et stockent des données au nom de marchands doivent avoir passé des accords avec lesdits marchands.

Voici un résumé des étapes de validation de la conformité requises pour les tierces parties qui stockent des données de titulaires de cartes (organisations commerciales indépendantes, gestionnaires de programmes de fidélisation, etc.).

Niveau CRITÈRES DU FOURNISSEUR DE SERVICES EXIGENCES DATE LIMITE DE LA VALIDATION DE LA CONFORMITÉ

Niveau 1

Tous les fournisseurs tiers de services de traitement MasterCard

Tous les fournisseurs VisaNet

All VisaNet Processors (VNPs)

Toute passerelle de paiement (entité liée au fournisseur de services de traitement) qui traite, transmet ou stocke des opérations VISA, indépendamment du volume

All Data Storage Entities (DSEs) that store, transmit, or process greater than 1,000,000 total combined MasterCard and Maestro

par année

Évaluation annuelle sur place de la sécurité des données de l’industrie des cartes de paiement [Rapport annuel de conformité (ROC)], effectuée par un évaluateur de sécurité qualifié

Contrôle trimestriel du réseau effectué par un prestataire d’analyses qualifié

Le 31 décembre 2005, puis une fois par année

Niveau 2

Tout fournisseur de services VISA ne faisant pas partie du niveau 1 et qui traite, transmet ou stocke plus d’un million d’opérations ou comptes VISA par année.

Évaluation annuelle sur place de la sécurité des données de l’industrie des cartes de paiement, effectuée par un évaluateur de sécurité qualifié

Contrôle trimestriel du réseau effectué par un prestataire d’analysesqualifié

Le 31 décembre 2005, puis une fois par an

Niveau 2

Toute entité DSE qui stocke, transmet ou traite moins d’un total combiné d’un million d’opérations MasterCard et Maestro par année

Évaluation annuelle sur place de la sécurité des données de l’industrie des cartes de paiement, effectuée par un évaluateur de sécurité qualifié

Contrôle trimestriel du réseau effectué par un prestataire d’analyses qualifié

Le 31 décembre 2005, puis une fois par an

Niveau 3

Tout fournisseur de services VISA ne faisant pas partie du niveau 1 et qui traite, transmet ou stocke moins d’un million d’opérations ou comptes VISA par année

Évaluation annuelle sur place de la sécurité des données de l’industrie des cartes de paiement, effectuée par un évaluateur de sécurité qualifié

Contrôle trimestriel du réseau effectué par un prestataire d’analyses qualifié

Le 31 décembre 2005, puis une fois par année

Définitions

Questionnaire d’auto-évaluation annuel sur la sécurité des données de l’industrie des cartes de paiement :

Questionnaire de conformité que doivent remplir les tierces parties de niveau 3 (ainsi que les marchands des niveaux 2 et 3) afin d’attester leur conformité aux exigences Digital Dozen. Les marchands et tierces parties doivent également se soumettre au moins une fois par trimestre à un contrôle de périmètre système effectué par un évaluateur de sécurité accrédité par l’industrie des cartes de paiement.

Rapport annuel de conformité sur place (ROC) : Document produit par l’évaluateur en sécurité indépendant accrédité par l’industrie des cartes de paiement et chargé de vérifier une fois par année, chez la tierce partie de niveau 1 ou 2, si cette dernière satisfait aux exigences Digital Dozen. La liste des évaluateurs accrédités se trouve sur les sites Web des sociétés émettrices de cartes (voir liens ci-après). Pour l’obtenir, vous pouvez aussi communiquer avec votre directeur, Relation client avec Global Payments. Également obligatoire pour les marchands de niveau 1.

Stockage des données : Conservation à titre temporaire ou permanent des données de comptes MasterCard, quelle qu’en soit la forme (journaux compris) à des fins de traitement, d’extraction ou d’autre usage ultérieur.

Stockage des données : Conservation à titre temporaire ou permanent des données de comptes MasterCard, quelle qu’en soit la forme (journaux compris) à des fins de traitement, d’extraction ou d’autre usage ultérieur.

Entité DSE (Data Storage Entity) : Toute entité autre que le membre, le marchand ou le fournisseur tiers de services de traitement qui stocke des données de comptes MasterCard au nom d’un marchand, d’un fournisseur de services d’hébergement Web ou de passerelles de paiement. Cela peut comprendre les programmes pilotes ou les processeurs des terminaux. Le stockage peut être temporaire ou permanent et s’effectuer sous n’importe quelle forme (y compris sous celle de journaux).

Agents auprès des marchands Au sein du réseau VISA, ces intervenants comprennent les non-membres (autres que les marchands et les fournisseurs de services de traitement) qui reçoivent, transmettent ou stockent des données d’opération dans leurs propres systèmes au nom du marchand. Cela inclut les agents auprès des tierces parties et les fournisseurs de services d’hébergement Web, de gestion des paniers d’achat et d’archivage des supports de stockage. Les banques membres doivent enregistrer ces agents auprès de VISA.

Contrôle de périmètre système : Opération menée au moins une fois par trimestre par un évaluateur de sécurité indépendant accrédité par l’industrie des cartes de paiement. Elle consiste à vérifier, à l’aide d’un outil automatisé, si le système de la tierce partie est parfaitement protégé. La procédure est applicable à tous les marchands et tierces parties disposant d’adresses IP (Internet Protocol) externes. Même si la tierce partie ou le marchand ne propose pas les transactions par Internet, certains de ses services (notamment le courrier électronique ou l’accès à Internet pour les employés) rendent possible l’accès à son réseau à partir du Web. L’outil analyse à distance et de manière non intrusive les réseaux et les applications Web qui font appel aux adresses IP externes indiquées par la tierce partie. Ce contrôle est obligatoire dans le cas des marchands et des tierces parties des niveaux 1, 2 et 3.

Fournisseur tiers de services de traitement : Fournisseur tiers de services de traitement MasterCard. Doit s’enregistrer directement auprès de MasterCard s’il veut offrir des services aux institutions financières membres de ce réseau.

Agent auprès d’une tierce partie : Au sein du réseau VISA, ces intervenants comprennent les non-membres (autres que les marchands et les fournisseurs de services de traitement) qui reçoivent, transmettent ou stockent des données d’opération dans leurs propres systèmes au nom du membre, du marchand ou d’une autre tierce partie.

Ces agents incluent les fournisseurs des marchands (y compris les fournisseurs de services d’hébergement Web, de gestion des paniers d’achat et d’archivage des supports de stockage), c’est-à-dire les « agents auprès des marchands ». On y regroupe également les organisations commerciales indépendantes, les gestionnaires de programmes de fidélisation, les fournisseurs de services de gestion du risque ou de débits compensatoires, ainsi que les agences d’évaluation du crédit qui desservent l’institution financière membre ou ses marchands. Chaque banque membre doit enregistrer ses agents auprès de VISA USA. VISA USA facturera ses frais d’adhésion et de renouvellement annuel directement aux agents auprès d’une tierce partie, et non aux membres.

Fournisseur de services de traitement VisaNet : Fournisseur de services de traitement, institution financière membre ou marchand relié directement au réseau exclusif de VISA afin d’autoriser des opérations. VISA exige l’enregistrement des fournisseurs de services de traitement VisaNet non membres et la désignation des fournisseurs de services de traitement des institutions financières membres.

Pour en savoir plus sur le programme de sécurité des données de Global Payments, veuillez communiquer avec votre directeur, Relation client ou des ventes.