– PCI DSS

PCI compliance ou comment être PCI Compliance ?

PCI DSS (Paiement Card Industry Data Security Standard) où l’on vous parle d’être PCI Compliance.

La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) a été créée par les principales entreprises de production de cartes de crédit du monde pour protéger les données des clients. Le principal objectif de PCI DSS est la protection des données des cartes de crédit par la réduction des fraudes et des vols. PCI DSS exige que tout marchand ou fournisseur de services (ce peut être votre agence web ou intégrateur, votre passerelle de paiement, votre banque) manipulant, transmettant, stockant ou traitant des informations concernant les cartes de crédit de vos clients soit contraint de respecter les standards PCI, sous peine de pénalités et/ou d’exclusion par les entreprises de production de cartes de crédit, cela signifie tout simplement que Visa/Mastercard peut vous retirer l’autorisation d’utilisation de leurs cartes bancaires. PCI DSS est une norme de sécurité proactive qui définit les exigences en termes de gestion de la sécurité, de règles de sécurité, de procédures, d’architecture réseau, de conception de logiciels et d’autres mesures de sécurité. Il existe des sociétés de services pouvant vous aider à satisfaire, les exigences PCI DSS en proposant des solutions de sécurité.

Six domaines principaux sont couverts par PCI DSS, divisés en 12 exigences.

1. Concevoir et assurer la maintenance d’un réseau sécurisé.
Exigence 1 : Installer et gérer une configuration de pare-feu pour protéger les données de titulaires de cartes.
Exigence 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur.

2. Protection des données des titulaires de cartes bancaires.
Exigence 3 : Protéger les données de titulaire de carte stockées.
Exigence 4 : Crypter la transmission des données de titulaire de carte sur les réseaux publics ouverts.

3. Maintenir un programme de gestion de la vulnérabilité.
Exigence 5 : Utiliser des logiciels antivirus et les mettre à jour régulièrement.
Exigence 6 : Développer et gérer des systèmes et des applications sécurisés.

4. Mise en œuvre de mesures de contrôle d’accès efficaces.
Exigence 7 : Restreindre l’accès aux données de titulaire de carte aux seuls individus qui doivent les connaître.
Exigence 8 : Attribuer un ID unique à chaque utilisateur d’ordinateur.
Exigence 9 : Restreindre l’accès physique aux données de titulaire de carte.

5. Surveiller et tester régulièrement la sécurité des réseaux.
Exigence 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données de titulaire de carte.
Exigence 11 : Tester régulièrement les processus et les systèmes de sécurité.

6. Etablir une politique de sécurité de l’information.
Exigence 12 : Respecter les lignes directrices concernant la sécurité de l’information pour les employés et sous-traitants.

Les exigences définies par la norme varient proportionnellement à la taille et au nombre de transactions à traiter, avec une classification à 4 niveaux.

Classification des commerces.

  • Niveau 1 du marchand : Commerces totalisant plus de 6 millions de transactions par an avec Visa et MasterCard (toutes transactions confondues).
  • Niveau 2 du marchand : Commerces totalisant entre 1 million et 6 millions de transactions par an avec Visa et MasterCard (toutes transactions confondues).
  • Niveau 3 du marchand : Commerces totalisant entre 20 000 et 1 million de transaction par an avec Visa et MasterCard.
  • Niveau 4 du marchand : Commerces totalisant moins de 20 000 transactions par an, et ceux qui effectuent moins de 1 millions de transactions (toutes transactions confondues) avec Visa et MasterCard.