Il faudrait près de dix ans pour que le monde reconnaisse que, alors qu’Internet évoluait à la fin des années 90, la fraude aux paiements en ligne évoluait également.
Par conséquent, les leaders de l’industrie des cartes de crédit ont développé un ensemble de normes de sécurité des paiements. En décembre 2004, American Express, Discover Financial Services, JCB International, Mastercard et Visa se sont associés pour introduire PCI DSS 1.0 .
Avance rapide jusqu’à aujourd’hui, et les fraudeurs de cartes et les pirates de réseau doivent faire face à la version 4.0 avancée de la norme PCI DSS.
Ne laissez pas votre entreprise devenir complaisante, cependant. Même les systèmes de point de vente leaders de l’industrie sont toujours exposés à une violation de la sécurité des données de carte, il est donc préférable de prendre des précautions et de se conformer à la norme PCI. Fin 2020, Forbes a fait état de deux géants de la fabrication de terminaux de paiement qui ont involontairement facilité le piratage des données de carte de crédit des clients.
De nos jours, un organisme indépendant, créé par les membres fondateurs de PCI DSS (à savoir le Conseil des normes de sécurité PCI (PCI SSC)), gère et administre la norme PCI DSS. Dans cette lecture rapide, nous explorerons la définition de PCI, les avantages commerciaux, les implications en cas de non-respect et comment rester conforme peut renforcer la confiance des clients.
Sommaire
Qu’est-ce que la conformité PCI DSS ?
La norme de sécurité des données de l’industrie des cartes de paiement, ou PCI DSS, est une norme de sécurité des données qui protège les transactions effectuées en espèces ou les cartes de débit et de crédit de marque des principaux fournisseurs.
Comment PCI DSS protège-t-il mes clients ?
Il protège les acheteurs contre l’utilisation abusive de leurs informations de paiement et personnelles. Se conformer à la norme PCI DSS est également susceptible de renforcer la confiance dans les relations entre vous et vos clients, car ils sont conscients que votre entreprise se conforme à une norme de sécurité de l’information reconnue à l’échelle mondiale. Ce faisant, leurs données sont moins susceptibles d’être violées.
Les violations de données risquent de lourdes sanctions en vertu du règlement : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, selon le montant le plus élevé.
Gouvernance informatique
Comment PCI DSS protège-t-il mon entreprise ?
PCI DSS peut aider votre organisation à bien des égards. Il garantit que vous acceptez, stockez et traitez les données de paiement de la manière la plus sécurisée possible. Il peut également vous aider, vous ou les organisations de paiement avec lesquelles vous travaillez, à vous préparer et à vous défendre contre les attaques réseau des pirates cherchant à récupérer les données des cartes.
En plus de la protection, cela peut également renforcer la réputation de votre marque. Donner la priorité à la sécurité des clients est une caractéristique attrayante dans toute entreprise, après tout.
Pourquoi PCI DSS et la sécurité sont-ils importants ?
Au fil des années, PCI DSS continue de développer ses directives pour mieux protéger les commerçants et les consommateurs contre le vol de données de carte de crédit.
La conformité à la norme PCI DSS doit être une priorité absolue pour vous en tant que commerçant, car la sécurisation du processus de paiement des clients peut conduire à une réussite dans les ventes des clients.
La conformité PCI est-elle requise par la loi ?
Non, la conformité PCI DSS est une norme réglementaire, pas une loi.
Cependant, les ramifications juridiques et les sanctions financières en cas de non-respect de la norme, notamment en cas de violation de données, peuvent être lourdes.
rapport sur la gouvernance des TI qui, sous RGPD de l’UE les sociétés d’avocats non conformes font face à « jusqu’à 20 millions d’euros ou 4 % des [your business’] chiffre d’affaires global annuel – selon le plus élevé des deux » en cas de vol ou de violation du réseau.
Que se passe-t-il si mon entreprise n’est pas conforme à la norme PCI ? Mon entreprise doit-elle être conforme à la norme PCI ?
Si une entreprise n’est pas conforme à la norme PCI DSS, elle est responsable de toute fraude qui a lieu dans son organisation. Les commerçants pourraient finir par payer des milliers d’amendes s’il y a une brèche dans la sécurité et risquer de fidéliser les consommateurs.
Les passifs supplémentaires peuvent inclure :
- Amendes allant jusqu’à 100 000,00 $ par mois jusqu’à ce que le commerçant se conforme
- Toutes les pertes de fraude des comptes compromis
- Frais de surveillance du crédit, poursuites judiciaires et plus encore des gouvernements étatiques et fédéraux
- Frais de réémission de cartes volées
- Coûts des futures mesures de prévention
- Et plus…
PCI DSS fournit des directives détaillées aux commerçants pour rendre le processus de conformité gérable et réussi. Initialement, les commerçants doivent remplir un questionnaire d’auto-évaluation PCI annuel.
Votre niveau de responsabilité dépendra du nombre brut de transactions Visa, Mastercard ou Discover traitées dans votre compte marchand.
Les questions pour l’évaluation peuvent inclure : Que faites-vous des reçus ? Conservez-vous les données de la carte de quelque manière que ce soit – et si oui, sont-elles écrites sur papier ou stockées électroniquement ? Et d’autres pour établir le niveau approprié pour le commerçant. En règle générale, un conseiller en traitement des paiements est affecté au commerçant pour répondre à toute question ou préoccupation.
Quelles sont les exigences PCI ?
Il existe 12 exigences PCI DSS officielles. Nous les avons condensés en six points, chacun listé ci-dessous.
Exigences de sécurité PCI condensées
1. Construisez et maintenez un réseau sécurisé en utilisant un pare-feu et des mots de passe réfléchis
2. Protégez les données des titulaires de carte dans un endroit sûr, cryptez les données sur les réseaux ouverts
3. Intégrez un logiciel antivirus et développez des systèmes sécurisés pour vous protéger contre les vulnérabilités
4. Autoriser uniquement des parties de confiance limitées à accéder aux données des titulaires de carte, attribuer des identifiants uniques aux personnes ayant accès et restreindre l’accès physique aux données
5. Mettre en œuvre des tests système et réseau réguliers et modifier fréquemment les mots de passe
6. Établir une politique de sécurité pour les employés et les partenaires
Quel niveau PCI s’applique à mon entreprise ?
Le type de conformité PCI avec lequel vous vous engagez dépend uniquement du nombre de transactions que vous traitez.
Vous saurez alors si vous devez vous conformer aux niveaux 1, 2, 3 ou 4 de la conformité PCI DSS. Cela, que vous soyez un détaillant en ligne ou que vous ayez une vitrine physique. Nous examinons de plus près les différents niveaux ci-dessous.
| Conformité PCI niveau 1 | Conformité PCI niveau 2 | Conformité PCI niveau 3 | Conformité PCI de niveau 4 | |
|---|---|---|---|---|
| Applicable si vous traitez : | Plus de 6 millions de transactions par carte par an | 1 à 6 millions de transactions par an | 20 000 à 1 million de transactions par an | Moins de 20 000 transactions par an |
| Les mesures à prendre | L’auditeur externe doit procéder à une évaluation de l’activité | Remplir un questionnaire d’auto-évaluation (SAQ) | Remplir un questionnaire d’auto-évaluation (SAQ) | Remplir un questionnaire d’auto-évaluation (SAQ) |
Si votre entreprise effectue plus de six millions de transactions par an, un auditeur externe doit procéder à une évaluation de l’entreprise. Il s’agit de soutenir l’entreprise, d’offrir des conseils et de voir dans quelle mesure elle respecte les normes de conformité PCI. L’auditeur soumet un rapport de conformité (RDC).
Les mythes PCI DSS démystifiés
Le Conseil des normes de sécurité PCI a dressé une liste fantastique de mythes sur PCI DSS qui ont tendance à dissuader les entreprises. Un populaire est qu’il est trop difficile à configurer. Au-delà de cela, nous avons référencé d’autres mythes ci-dessous, afin que vous puissiez annuler les potins de l’industrie et devenir conforme à la norme PCI sans aucun doute.
Glissez simplement à travers le jeu de diapositives, en utilisant les flèches de chaque côté de la diapositive.
Quelle est la relation entre la conformité PCI DSS et EMV ?
PCI DSS est un ensemble de normes de sécurité à mettre en œuvre parallèlement à la technologie EMV. Pendant ce temps, EMV est incorporé pour empêcher la fraude. Lisez notre guide complet pour Qu’est-ce qu’EMV ?
Dernières pensées
Bien que la conformité PCI permette aux commerçants de prendre les bonnes mesures pour protéger leur entreprise et leurs clients contre la fraude, elle n’est pas à l’épreuve du piratage. Les propriétaires d’entreprise doivent veiller à rechercher d’autres couches de sécurité qui protègent les données des clients.
Si l’on examine les années passées, les domaines les plus problématiques des commerçants en matière d’exigences incluent les processus et les tests des systèmes de sécurité, les politiques et la gestion de la sécurité et la maintenance des systèmes sécurisés.
En fin de compte, les propriétaires d’entreprise doivent prendre des mesures et doivent penser à l’avenir. En tant que société, notre empreinte numérique n’en est qu’à ses balbutiements et à mesure que la technologie évolue, la sécurité doit en faire de même pour protéger les commerçants et les consommateurs. Les solutions peuvent faire toute la différence lorsque des processus et des stratégies intelligents sont mis en œuvre conjointement.
