PCI DSS : Conformité des cartes de crédit
Si votre entreprise gère des transactions par carte de crédit et n’est pas conforme au PCI DSS, vous devez continuer à lire pour éviter d’éventuelles conséquences juridiques.
À quoi fait référence PCI DSS ? PCI DSS est la norme de sécurité des données de l’industrie des cartes de paiement. Elle protège les utilisateurs de cartes de crédit en exigeant que les commerçants répondent à certains critères pour gérer les transactions par carte de crédit dans leur entreprise.
Qu’est-ce que la conformité PCI DSS ?
La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est un cadre de sécurité de l’information élaboré, publié et géré par le Conseil des normes de sécurité de l’industrie des cartes de paiement. Le PCI DSS régit spécifiquement la sécurité autour des transactions par carte de crédit et d’autres formes de paiements basés sur des cartes (cartes de débit adossées à un crédit, achats en ligne, etc.).
Le Conseil PCI, formé par American Express, Discover Financial Services, JCB International, Visa et Mastercard, gère la sécurité de l’information dans l’industrie évolutive du traitement des paiements.
Depuis que les paiements par carte de crédit et en ligne sont devenus la norme au cours des dernières décennies, le Conseil PCI a été formé pour répondre aux mesures de sécurité techniques et de conformité que les commerçants et les processeurs de paiement peuvent mettre en place pour protéger les données des clients, prévenir le vol et la fraude, et maintenir la confiance des consommateurs dans le traitement des paiements par carte de crédit.
Plus important encore, ces entreprises ont réalisé l’importance de l’interopérabilité et ont reconnu leur pouvoir dans le secteur privé pour mettre en œuvre des contrôles de sécurité importants qui profitent aux entreprises et aux consommateurs. Alors que chaque membre avait, à un moment ou à un autre, tenté de proposer une approche plus globale de la sécurité du traitement des paiements, ces efforts combinés se sont finalement traduits par la première édition du PCI DSS, version 1.0, publiée en décembre 2004.
Le PCI DSS n’est pas une exigence légale pour traiter les paiements. Au lieu de cela, il est institué par le Conseil PCI à la demande des principaux fournisseurs de cartes de crédit. Ces fournisseurs contrôlent les réseaux de paiement et ont autorité sur les exigences qu’un commerçant ou un processeur de paiement doit respecter pour utiliser ces réseaux. Les commerçants ou autres processeurs qui ne suivent pas le PCI DSS peuvent faire face à des pénalités de plus en plus punitives ou même perdre complètement leur capacité à accepter les cartes de crédit comme paiements.
La dernière version du PCI DSS est la version 3.2.1 (communément appelée “trois-deux-un”). Mise en œuvre en mai 2018, cette version a abordé l’augmentation de la popularité des achats en ligne et les escroqueries sophistiquées au vol de cartes de crédit. Cependant, il existe certaines limitations à l’applicabilité des normes en fonction des nouvelles technologies comme les appareils mobiles et les portefeuilles numériques.
La nouvelle version de PCI, la version 4.0, devrait être publiée au premier trimestre 2022.
Quels sont les niveaux PCI et comment impactent-ils les audits ?
Tous les commerçants ou processeurs de paiement qui s’attendent à accepter des paiements par carte de crédit doivent avoir un Rapport de conformité démontrant la conformité. Le Rapport de conformité est requis annuellement via des audits de conformité. Les audits sont des enquêtes réalisées soit en interne, soit par un Évaluateur de sécurité qualifié (QSA) enregistré et certifié par le Conseil PCI. Le fait qu’une entreprise doive subir un audit tiers par rapport à un audit interne dépend de la classification de l’organisation selon les métriques PCI.
Les quatre niveaux de conformité sont basés sur le volume de transactions publié annuellement et sont les suivants :
- Niveau 4 : Le niveau le plus bas, les commerçants de niveau 4 ne traitent que moins de 20 000 transactions par an.
- Niveau 3 : À ce stade, les commerçants traitent entre 20 000 et 1 million de transactions.
- Niveau 2 : Au niveau 2, les commerçants traitent entre 1 et 6 millions de transactions par an.
- Niveau 1 : Les plus grands détaillants et commerçants, le niveau 1 s’applique aux commerçants traitant plus de 6 millions de transactions par an.
Les commerçants de niveau 1 sont tenus de subir des évaluations par des tiers de la part des QSAs. Cependant, ceux des niveaux 2, 3 et 4 peuvent compléter une auto-évaluation, ainsi qu’un Questionnaire d’auto-évaluation. Les commerçants des niveaux 3 et supérieurs qui subissent une violation de la sécurité peuvent être tenus de répondre aux exigences des niveaux supérieurs pendant une période intérimaire.
Quels sont les 12 exigences du PCI DSS ?
Le cœur de la conformité réside dans le respect de 12 exigences principales. Ces exigences sont les suivantes :
- Utiliser des pare-feu : Un périmètre informatique doit disposer d’un pare-feu de sécurité approprié pour se protéger contre les accès non autorisés. La conformité exige que les commerçants et les processeurs mettent en œuvre et maintiennent des pare-feu.
- Protection des mots de passe : Les organisations doivent disposer d’une gestion d’identité et d’accès sécurisée et conforme et/ou d’outils d’accès sécurisés pour contrôler la manière dont les utilisateurs interagissent avec leur infrastructure. Cela inclut la protection des mots de passe et la mise en place d’un contrôle d’accès basé sur les rôles formels.
- Protéger les données du titulaire de carte : Les organisations doivent utiliser le chiffrement et la cryptographie pour protéger les données des utilisateurs en transit et au repos.
- Chiffrer les données transmises : Plus précisément, les commerçants doivent chiffrer toutes les informations de paiement transmises sur les réseaux, et les données ne doivent jamais être envoyées vers un emplacement inconnu.
- Utiliser un logiciel anti-malware : Bien que l’utilisation d’un logiciel anti-malware soit recommandée dans tous les cas, le PCI DSS exige un anti-malware sur les appareils de paiement, les systèmes de point de vente (POS) ou toute infrastructure contenant des informations de paiement ou de clients.
- Logiciels correctement mis à jour : Les pare-feu, les anti-malwares et tout autre logiciel système ou firmware doivent être régulièrement mis à jour.
- Restreindre l’accès aux données : Les commerçants doivent avoir des restrictions logiques contre l’accès non autorisé aux données. Cela inclut un accès restreint de l’extérieur de l’organisation à un accès segmenté en interne.
- Identifiants d’accès uniques : Tout utilisateur accédant aux informations de paiement doit disposer d’un identifiant unique et sécurisé utilisé pour l’authentification, l’autorisation et le suivi.
- Restreindre l’accès physique : En plus de l’accès numérique restreint, la conformité attend également des commerçants qu’ils surveillent et restreignent l’accès physique aux systèmes contenant des informations de paiement. Cela signifie sécuriser les centres de données et les postes de travail, surveiller l’accès sur tous les appareils et utiliser des caméras et des claviers de sécurité pour maintenir la responsabilité.
- Maintenir des journaux d’accès : Toute interaction avec les informations de paiement doit inclure une autorisation du système ou d’un supérieur. Cependant, le PCI DSS exige que les entreprises mettent en place des outils de journalisation pour suivre tous les événements utilisateurs, y compris l’accès aux données.
- Mettre en œuvre des analyses de vulnérabilité et des tests d’intrusion : La conformité comprend des analyses de vulnérabilité et des tests d’intrusion réguliers pour débusquer les faiblesses.
- Utiliser une documentation : Bien qu’une entreprise conforme puisse avoir des outils de journalisation en place, elle doit également disposer de politiques de documentation. Cela inclut la documentation des politiques et procédures autour de la conformité, des mises à niveau et des dysfonctionnements.
Quelles sont les pénalités en cas de non-conformité à la norme PCI DSS ?
Il est important de noter que la norme PCI DSS n’est pas une exigence légale pour faire des affaires. Cependant, elle est une exigence pour accepter les paiements par carte de crédit.
Les pénalités PCI DSS ne sont pas publiées ni rendues publiques, mais le non-respect de la norme (en particulier les violations résultant du non-respect) peut entraîner de lourdes amendes.
Les pénalités peuvent inclure ce qui suit :
- Des amendes allant de 5 000 à 100 000 dollars par mois pour des violations répétées. Les commerçants de niveau 1, plus importants, avec des problèmes significatifs peuvent faire l’objet d’une surveillance accrue et de pénalités plus élevées.
- Dommages au compte marchand. Une entreprise peut trouver difficile ou coûteux de continuer à accepter les paiements par carte de crédit en raison de frais plus élevés ou d’un profil de risque problématique.
- Suspension ou perte du traitement des paiements. Les compagnies de cartes peuvent décider que la violation des réglementations est suffisamment grave pour justifier la perte complète des privilèges.
Quels sont les avantages et les meilleures pratiques pour la conformité PCI DSS ?
Les commerçants travaillant à atteindre ou à maintenir leur conformité peuvent suivre quelques bonnes pratiques :
- Utiliser un prestataire de traitement des paiements conforme à PCI : Lorsqu’une entreprise ne gère pas elle-même son traitement pour vendre des biens ou des services, la meilleure première étape est de travailler avec un fournisseur conforme. Des fournisseurs comme Square ou PayPal peuvent offrir aux petites entreprises un traitement des paiements simple et sécurisé.
- Utiliser le partage sécurisé de fichiers et le stockage conformes à PCI : Les entreprises qui gèrent elles-mêmes leur traitement des paiements sont conseillées d’utiliser des services de partage de fichiers conformes. Les fournisseurs offrant des services de gestion de documents conformes, des fonctionnalités de transfert de fichiers comme le transfert sécurisé de fichiers géré conforme à PCI ou le protocole de transfert de fichiers sécurisé, et la messagerie électronique sécurisée peuvent simplifier la conformité et permettre aux dirigeants d’entreprise et aux responsables informatiques de se concentrer sur des choses plus importantes.
- Inclure la formation et l’éducation sur la conformité : Malheureusement, le maillon le plus faible de la plupart des systèmes de sécurité et de conformité est le facteur humain, et cela est dû en grande partie à un manque de compréhension des protocoles. Une entreprise conforme doit avoir des programmes d’éducation complets, exhaustifs et évolutifs pour soutenir les membres de l’équipe et leur apprendre comment maintenir l’organisation dans les réglementations.
- Maintenir des tests de sécurité réguliers et une surveillance : Toute entreprise traitant des données de carte de crédit des clients, que ce soit pour le stockage ou le traitement, doit également avoir un programme de tests réguliers. Cela inclut la surveillance continue, l’analyse des vulnérabilités et les tests d’intrusion. Des tests annuels, au minimum, peuvent soutenir la conformité.
Anticiper la conformité PCI DSS
Alors que de nombreuses organisations ne pensent pas être responsables de la conformité, l’essor des achats en ligne et du commerce électronique, où les paiements par carte de crédit sont prédominants, pousse de plus en plus d’organisations à se renseigner sur les exigences PCI.
Si vous souhaitez en savoir plus sur la norme PCI DSS et comment la technologie cloud peut soutenir la conformité, consultez nos blogs sur le sujet de la Conformité PCI. Ou, inscrivez-vous simplement à une courte démonstration de la plateforme Kiteworks pour apprendre comment elle unifie, suit, contrôle et sécurise toutes vos communications de contenu.