Conformité PCI - KamilTaylan.blog
18 avril 2021 9:51

Conformité PCI

Table des matières

Développer

Qu’est-ce que la conformité PCI?

La conformité de l’industrie des cartes de paiement (PCI) est exigée par Conseil des normes de sécurité PCI.

Points clés à retenir

  • Les entreprises qui respectent et respectent les normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS) sont considérées comme conformes à la norme PCI.
  • Le Conseil des normes de sécurité PCI est responsable du développement de la norme PCI DSS.
  • PCI DSS a 12 exigences clés, 78 exigences de base et 400 procédures de test pour garantir que les organisations sont conformes à la norme PCI.
  • Être conforme à la norme PCI réduit les violations de données, protège les données des titulaires de carte, évite les amendes et améliore la réputation de la marque.
  • La conformité PCI n’est pas exigée par la loi mais est considérée comme obligatoire par un précédent judiciaire.

Comprendre la conformité PCI

La précédent judiciaire.

En général, la conformité PCI est un élément central du protocole de sécurité de toute société de cartes de crédit. Il est généralement mandaté par les sociétés de cartes de crédit et discuté dans les accords de réseau de cartes de crédit.

Le Conseil des normes PCI est responsable du développement des normes de conformité PCI. Ces normes s’appliquent au traitement des marchands et ont également été étendues pour définir les exigences relatives aux transactions Internet les autres entités clés qui sont également associées à l’établissement de normes dans le secteur des cartes de crédit, citons le Card Association Network et la National Automated Clearing House (NACHA).

Exigences pour la conformité PCI

Les normes de conformité PCI imposent aux commerçants et aux autres entreprises de traiter les informations de carte de crédit de manière sécurisée, ce qui contribue à réduire la probabilité que les titulaires de carte se voient voler des informations de compte financier sensibles. Si les commerçants ne traitent pas les informations de carte de crédit conformément aux normes PCI, les informations de la carte pourraient être piratées et utilisées pour une multitude d’actions frauduleuses. En outre, des informations sensibles sur le titulaire de la carte pourraient être utilisées dans le cadre d’  une fraude d’identité.

Être conforme à la norme PCI signifie adhérer systématiquement à un ensemble de directives définies par le Conseil des normes PCI. La conformité PCI est régie par le PCI Standards Council, une organisation créée en 2006 dans le but de gérer la sécurité des cartes de crédit.

Les exigences élaborées par le Conseil sont connues sous le nom de normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS). PCI DSS a 12 exigences clés, 78 exigences de base et plus de 400 procédures de test. Les directives sont également considérées comme des meilleures pratiques de sécurité. Ses 12 principales exigences sont les suivantes:

  1. Mettre en place des pare-feu pour protéger les données
  2. Protection par mot de passe appropriée
  3. Protéger les données des titulaires de carte
  4. Cryptage des données de titulaires de carte transmises
  5. Utiliser un logiciel antivirus
  6. Mettre à jour le logiciel et maintenir les systèmes de sécurité
  7. Restreindre l’accès aux données des titulaires de carte
  8. Identifiants uniques attribués à ceux qui ont accès aux données
  9. Restreindre l’accès physique aux données
  10. Créer et surveiller les journaux d’accès
  11. Tester régulièrement les systèmes de sécurité
  12. Créer une politique qui est documentée et qui peut être suivie

La version la plus récente de PCI DSS a été publiée en mai 2018 et est appelée version 3.2.1. Dans l’ensemble, les six objectifs et 12 exigences décrivent une série d’étapes que les processeurs de cartes de crédit doivent suivre en permanence. Les entreprises sont d’abord invitées à évaluer leurs réseaux et systèmes, qui impliquent une infrastructure de technologie de l’information, des processus commerciaux et des procédures de traitement des cartes de crédit.

Avantages de la conformité PCI

Une maintenance et une évaluation constantes de toute lacune en matière de sécurité sont également très importantes pour éviter le vol d’informations sensibles des titulaires de carte, telles que  la sécurité sociale  et les numéros de permis de conduire, dans la mesure du possible.

Les entreprises sont tenues de fournir régulièrement des rapports de conformité dans le cadre de leurs accords de traitement des cartes. La surveillance, les évaluations et les audits des normes de sécurité des données de l’industrie des cartes de paiement sont tous une partie importante du service de sécurité d’une entreprise.

Toutes les entreprises qui traitent les informations de carte de crédit sont tenues de maintenir la conformité PCI comme indiqué dans leurs accords de traitement de carte. La conformité PCI est la norme de l’industrie et les affaires sans elle peuvent entraîner des amendes substantielles pour les violations des accords et la négligence. Sans la conformité PCI, les entreprises sont également très vulnérables au vol, à la fraude et aux violations de données.

95%

Le pourcentage deviolationsde cybersécurité causées par une erreur humaine.

Les avantages de la conformité comprennent la réduction du risque de violation de données, la protection des données des titulaires de carte, évitant ainsi les risques de vol d’identité. Les entreprises doivent se conformer aux bonnes pratiques, car cela réduit les amendes liées aux violations de données, contribue à la réputation de la marque d’une entreprise, garde les clients heureux et confiants qu’ils font affaire avec une entreprise responsable, ce qui les fidélise.

Au premier semestre 2020, 36 milliards d’enregistrements ont été exposés à la suite de violations de données. Quatre-vingt-six pour cent des violations étaient motivées par des raisons financières et, le marché mondial de la sécurité de l’information devant atteindre 170 milliards de dollars en 2020, le risque financier est encore plus élevé. La protection des données des titulaires de carte est non seulement bonne pour les affaires, mais aussi la bonne chose à faire, en veillant à ce que les gens ne subissent pas de préjudice ou ne subissent aucune perte financière.

Conformité PCI et violations de données

La conformité PCI permet d’éviter les activités frauduleuses et d’atténuer les violations de données. Verizon fournit une évaluation annuelle de la sécurité des paiements dans son «rapport sur la sécurité des paiements Verizon». Le rapport 2019 consacre une section entière à la norme PCI DSS, intitulée «L’état de la conformité PCI DSS, 2019: et 12 exigences clés». Certains points saillants de la norme PCI DSS du «Rapport sur la sécurité des paiements Verizon 2019» sont les suivants:

  • 36,7% des organisations maintenaient activement les programmes PCI DSS en 2018.
  • La région Asie-Pacifique a surpassé les Amériques, l’Europe, le Moyen-Orient et l’Afrique.
  • Du point de vue de l’industrie, l’hôtellerie est quelque peu en retard par rapport aux autres secteurs.

FAQ sur la conformité PCI

Que signifie conforme PCI?

Conformité PCI signifie que toute entreprise ou organisation qui accepte, transmet ou stocke les données privées des titulaires de carte est conforme aux diverses mesures de sécurité décrites par le Conseil des normes de sécurité PCI pour garantir que les données sont conservées en sécurité et privées.

La conformité PCI est-elle requise par la loi?

Il n’y a pas de mandat réglementaire qui exige la conformité PCI, mais il est considéré comme obligatoire par un précédent judiciaire.

Comment obtenir la conformité PCI?

Pour devenir conforme PCI, vous devez d’abord déterminer quel questionnaire d’auto-évaluation vous devez suivre pour devenir conforme. Une fois que vous avez terminé le questionnaire, vous devez remplir et conserver la preuve d’une analyse de vulnérabilité réussie avec un fournisseur d’analyse approuvé PCI SSC. La numérisation ne s’applique qu’à certains marchands. Vous devrez ensuite remplir l’attestation de conformité. La dernière étape consistera à soumettre toutes les informations ci-dessus.

Qui doit être conforme PCI?

Toute entreprise ou organisation qui accepte, transmet ou stocke les données privées des titulaires de carte.

La ligne de fond

La conformité PCI fait référence aux normes techniques et opérationnelles définies par le Conseil des normes de sécurité PCI que les organisations doivent mettre en œuvre et maintenir. L’objectif de la conformité PCI est de protéger les données des titulaires de carte et s’applique à toute organisation qui accepte, transmet ou stocke ces données. Être conforme à la norme PCI est une bonne pratique commerciale en ce sens que cela donne la priorité à la sécurité des données des consommateurs et profite également à une organisation grâce à une réputation de marque positive.