Email & Conformité PCI : Comment éviter les violations coûteuses
Si votre entreprise envoie ou reçoit des informations de carte de crédit par e-mail, votre e-mail doit-il être conforme à la PCI? Nous avons examiné les exigences de la PCI pour répondre à cette question.
Un e-mail peut-il être conforme à la PCI? Oui, un e-mail peut être conforme à la PCI si l’e-mail est chiffré. Cependant, la plupart des e-mails ne sont pas chiffrés ou protégés, ce qui rend l’envoi ou le stockage d’informations de carte de crédit par e-mail non conforme. Malheureusement, les violations de la conformité à la PCI peuvent être coûteuses.
Connaissez-vous les exigences de conformité PCI pour le partage sécurisé de fichiers?
Qu’est-ce que la conformité PCI et qu’est-ce que cela signifie pour les e-mails?
La PCI est un cadre de conformité pour les processeurs de paiement, les détaillants, les commerçants ou toute organisation acceptant les cartes de crédit ou de débit pour le paiement. Il y a un total de 12 exigences de la PCI dans le cadre de la PCI que les entreprises doivent respecter :
- Utiliser des pare-feu pour protéger les données des titulaires de carte
- Utiliser des configurations et des mots de passe uniques pour les systèmes de sécurité
- Protéger les données des titulaires de carte
- Chiffrer les transmissions de données sur les réseaux publics
- Utiliser un logiciel anti-malware à jour
- Développer et maintenir des systèmes et des applications sécurisés
- Restreindre l’accès aux données privées
- Attribuer un identifiant unique à chaque utilisateur accédant à vos systèmes
- Restreindre l’accès physique aux données des titulaires de carte
- Surveiller et suivre l’accès des utilisateurs aux ressources réseau
- Effectuer des tests réguliers sur les systèmes de sécurité
- Maintenir une politique de sécurité de l’information et du personnel
Ces exigences de la PCI s’appliquent à tous les systèmes, départements et technologies par lesquels passent les informations financières personnelles. Cela inclut tout système qui a des numéros de carte de crédit, des PIN, des noms et adresses de clients, ou des données de bande magnétique/puce EMV.
Les numéros de carte de crédit envoyés par e-mail sont-ils dans le champ d’application de la conformité PCI?
Selon les exigences de la PCI, les informations de carte de crédit ne doivent pas être capturées, transmises ou stockées via des serveurs non protégés et du courrier électronique. C’est parce que ces systèmes et protocoles stockent et transmettent traditionnellement les informations en clair, c’est-à-dire des données non chiffrées qui peuvent être lues par n’importe qui, y compris des employés non autorisés, des pirates, des cybercriminels et des voleurs d’identité.
De plus, même avec des données chiffrées, vous n’avez aucune garantie que la personne avec laquelle vous partagez les données de la carte de crédit chiffre les données ou garde ces messages privés. Partager des données sensibles par e-mail crée donc un risque significatif.
Pourquoi maintenir la conformité PCI?
En bref, la conformité à la PCI est une partie nécessaire de l’acceptation des paiements par carte de crédit de la part des clients. La PCI n’est pas mandatée ou imposée par le gouvernement (comme c’est le cas pour les cadres dans des industries comme la fabrication, la défense ou les soins de santé). Au lieu de cela, elle est définie par les processeurs de cartes de crédit comme Visa, Mastercard et American Express. De plus, la plupart des contrats dans lesquels vous ou un fournisseur acceptez de traiter les paiements incluront des stipulations pour la conformité à la PCI.
Le maintien de la conformité à la PCI est important pour quelques raisons de base :
- Éviter les pénalités coûteuses associées aux violations de la conformité à la PCI, y compris les amendes des processeurs de cartes de crédit pouvant aller jusqu’à 100 000 $ par mois.
- Atténuer les rétrofacturations et les cas de fraude dus à un laxisme en matière de sécurité.
- Maintenir votre compte marchand (nécessaire pour traiter les paiements) en respectant la conformité et en gardant un faible taux de rétrofacturation ou de fraude.
- Protéger les informations de vos clients, maintenir votre marque et servir votre marché de manière éthique et responsable.
Le besoin de conformité PCI découle du partage non sécurisé par les détaillants des informations des clients, ce qui a conduit à des violations de données coûteuses.
Difficultés Posées par la Non-conformité PCI
Le non-respect de la conformité PCI peut présenter des difficultés significatives pour les organisations. Ces difficultés peuvent inclure des amendes lourdes, des dommages à la réputation et des litiges. De plus, les organisations peuvent devoir investir davantage de ressources dans les systèmes et le personnel de sécurité pour s’assurer que leurs systèmes sont conformes aux normes PCI, ce qui peut engendrer des coûts financiers significatifs sous forme de formation, de matériel et de mises à niveau logicielles.
La non-conformité peut également créer des difficultés techniques importantes, car les organisations peuvent être incapables d’utiliser certains matériels ou logiciels qui ne sont pas conformes aux normes PCI. En conséquence, les organisations doivent constamment surveiller la manière dont elles partagent les données réglementées par le PCI ainsi que les pratiques de sécurité des données et les solutions matérielles/logicielles en place pour protéger ces données, dans le but de s’assurer qu’elles restent conformes ou risquent les problèmes graves associés à la non-conformité.
Quels sont les niveaux de conformité PCI et comment sont-ils déterminés ?
La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) a quatre niveaux de conformité déterminés par le nombre de transactions par carte de crédit qu’une entreprise traite chaque année.
Niveau 1 – plus de 6 millions de transactions par an
Niveau 2 – de 1 million à 6 millions de transactions par an
Niveau 3 – de 20 000 à 1 million de transactions par an
Niveau 4 – moins de 20 000 transactions par an
Les organisations qui traitent, stockent ou transmettent des données de carte de crédit doivent se conformer aux exigences spécifiées à chaque niveau. Plus le niveau de conformité est élevé, plus les exigences sont strictes. Par exemple, une organisation de niveau 1 doit subir un audit sur site annuel par un évaluateur de sécurité qualifié, tandis qu’une organisation de niveau 4 peut être en mesure de s’auto-évaluer.
Les cinq principaux types de violations de la conformité PCI
Les organisations qui violent la conformité PCI DSS le font généralement pour les raisons suivantes :
- Échec de la mise en œuvre des mises à jour de sécurité requises : Cela comprend le non-installation des correctifs de sécurité et des mises à jour sur les systèmes conformément aux normes PCI, ce qui peut entraîner des vulnérabilités que les attaquants peuvent exploiter.
- Mots de passe faibles : L’utilisation de mots de passe faibles ou la réutilisation de mots de passe sur plusieurs comptes peut créer une vulnérabilité dans votre système si un attaquant parvenait à accéder à l’un des comptes.
- Réseaux Wi-Fi non sécurisés : Les réseaux sans fil ne sont pas aussi sécurisés que les systèmes câblés et peuvent être facilement violés s’ils ne sont pas correctement sécurisés.
- Contrôles d’accès insuffisants : Le fait de ne pas mettre en œuvre et/ou de maintenir des contrôles pour limiter l’accès aux données confidentielles peut conduire au vol de données ou à d’autres activités malveillantes.
- Non surveillance des événements de sécurité : Le fait de ne pas mettre en place ou de maintenir un système pour surveiller et répondre aux événements de sécurité peut conduire à la détection et à l’exploitation de vulnérabilités de sécurité. Cela peut inclure le non-enregistrement de certaines activités, telles que les connexions au système et les modifications, qui peuvent être utiles pour détecter des comptes compromis.
Points clés
-
Chiffrement des e-mails pour la conformité PCI
Comme les systèmes d’e-mail standards manquent souvent des mesures de sécurité nécessaires, assurez-vous que votre solution d’e-mail inclut des capacités de chiffrement robustes, ce qui est crucial pour la conformité PCI.
-
Risques et conséquences de la non-conformité
Sans les précautions appropriées, l’envoi d’informations de carte de crédit par e-mail peut conduire à un accès non autorisé, des violations de données et du vol d’identité.
-
Principales exigences de la norme PCI DSS
Les entreprises doivent se conformer à 12 exigences spécifiques de la norme PCI DSS, incluant l’utilisation de pare-feu, de chiffrement, de logiciels anti-malware, et d’identifiants utilisateur uniques, entre autres.
-
Comprendre les niveaux de conformité PCI
Il existe quatre niveaux de conformité PCI basés sur le nombre de transactions par carte de crédit traitées annuellement. Les exigences de conformité deviennent plus strictes aux niveaux supérieurs.
-
Meilleures pratiques pour les communications sécurisées par e-mail
Utilisez des plateformes d’e-mail sécurisées, collaborez avec des fournisseurs de technologie qui donnent la priorité à la protection des données, formez les employés sur les pratiques de sécurité, et évitez d’envoyer des informations de carte de crédit par courrier.
Comment puis-je utiliser l’email de manière conforme à la PCI ?
Si vous ne pouvez pas utiliser l’email standard pour être conforme à la PCI, comment menez-vous efficacement vos affaires ?
Vous pouvez en fait adopter des technologies qui restent conformes à la PCI tout en exploitant les technologies Internet traditionnelles. Votre objectif est de créer un Environnement de Données de Titulaire de Carte Sécurisé (CDE) où les données des clients ne sont pas compromises. Cela est réalisé à la fois par des pratiques internes conformes et des partenariats soigneux avec les fournisseurs de technologie. Ces pratiques comprennent :
- Ne pas envoyer d’informations de carte de crédit par courrier. C’est évident, mais il est important de répéter que vous ne devez jamais inclure d’informations financières ou de paiement du client dans une lettre, y compris une facture contenant des informations détaillées sur le client.
- Utilisez la messagerie sécurisée par courrier électronique si nécessaire, surtout lorsque les données des clients ou les informations de paiement sont impliquées. Cela comprend l’envoi de liens sécurisés qui amènent les utilisateurs à des serveurs conformes qui utilisent le chiffrement et les contrôles d’accès des utilisateurs.
- Adoptez des technologies qui supportent la fonctionnalité de l’entreprise. Bien que vous ne soyez pas en train d’envoyer des données de clients, vous aurez besoin de les transmettre pour diverses raisons. L’utilisation d’une plateforme de transfert sécurisé de fichiers (MFT) pour le partage sécurisé de fichiers conforme à la PCI, la gouvernance de l’information et la gestion des données peut soutenir la conformité avec plusieurs exigences de la PCI.
- Partenaire avec des fournisseurs de technologie qui soutiennent la sécurité. Si vous travaillez avec un fournisseur de cloud ou de SaaS, assurez-vous qu’ils incluent ou soutiennent des fonctionnalités de sécurité clés telles que le SFTP conforme à la PCI (avec le dernier chiffrement), les services SIEM, l’authentification multifactorielle, le pare-feu et le logiciel anti-malware.
- Formez vos employés. Cela comprend une formation périodique, et la documentation de cette formation, sur la façon d’utiliser les nouvelles technologies et les plateformes existantes de manière sécurisée qui sera conforme aux exigences de la PCI.
- Exploitez les technologies avec des pistes d’audit immuables. La journalisation et les audits sont essentiels pour la conformité PCI, alors utilisez des plateformes qui fournissent des chaînes ininterrompues de preuves pour tous les événements de sécurité et d’accès aux données.
Protégez les données de carte de crédit, évitez les amendes coûteuses et atteignez la conformité PCI avec Kiteworks
Avec des contrôles stricts requis pour transmettre les données de carte de crédit par email, il est crucial que vous utilisiez des outils sécurisés pour le faire. Kiteworks fournit des serveurs conformes à la PCI qui protègent les données des clients pour les transferts de fichiers et les emails. C’est parce que la plateforme Kiteworks contient des capacités critiques, notamment :
- Email sécurisé : Envoyez des liens sécurisés qui dirigent les destinataires vers un serveur chiffré pour lire les messages et télécharger les fichiers. Les données sensibles de carte de crédit restent sécurisées et conformes à la PCI sans sacrifier la fonctionnalité.
- Serveurs conformes : Nos serveurs cloud et sur site sont 100% conformes à la PCI, en utilisant les contrôles appropriés pour l’accès des utilisateurs, le chiffrement et plus encore qui répondent aux 12 exigences du cadre PCI. Cela comprend le chiffrement AES-256 pour les données au repos et TLS 1.2 ou supérieur pour les données en transit.
- Visibilité des données d’entreprise : Notre tableau de bord CISO fournit la visibilité et les rapports nécessaires pour suivre chaque fichier qui entre ou sort de votre organisation, y compris qui l’a envoyé et l’a reçu et quel canal a été utilisé (email, MFT, SFTP, etc.) pour démontrer la conformité avec la PCI et d’autres réglementations sur la confidentialité des données comme le RGPD, HIPAA, CCPA, etc.
Apprenez-en plus sur comment Kiteworks peut sécuriser votre email, planifiez une démonstration personnalisée de Kiteworks aujourd’hui.
Ressources supplémentaires
- Article Aperçu de la conformité PCI : Exigences, normes et solutions
- Blog Post Envoyer des PII par email : Considérations de sécurité et de conformité
- Article L’importance de la gestion des risques de tiers
- Article Qu’est-ce que la gestion des risques intégrée ? IRM vs. GRC vs. ERM
- Blog Post Quels sont les normes de conformité des données ?