La mise en conformité PCI DSS : Normes et exigences
Si votre entreprise gère les transactions par carte de crédit, vous avez probablement rencontré la norme PCI DSS (Payment Card Industry Data Security Standard) !
Une norme cruciale, non seulement pour protéger les données de paiement de vos clients, mais aussi pour sauvegarder votre entreprise contre les conséquences graves d'une violation de données.
Les 5 dernières années, les fraudes par carte de crédit ont connu une hausse de plus de 50% ; un montant qui dépasse les 1.5 milliard d'euros.
La sécurité des données des détenteurs de cartes n'a jamais été aussi critique, et la norme PCI DSS fournit un cadre pour maintenir les mesures de sécurité nécessaires à cette protection. L’enquête de Jban d’aujourd’hui détaille la conformité à cette norme et explique son fonctionnement, à qui elle s'applique et les actions à entreprendre pour respecter ses exigences.
Définition de la conformité PCI ?
Vous dirigez ou possédez une entreprise qui manipule des données de paiement sensibles, vous êtes probablement familier avec le Payment Card Industry Data Security Standard (PCI DSS), qui vise à sécuriser les informations de carte bancaire. Votre responsabilité est de protéger vos clients contre toute utilisation frauduleuse de leurs moyens de paiement. En respectant le PCI et ses exigences détaillées, vous renforcez la sécurité des données de vos clients et sécurisez le traitement des paiements. En garantissant la conformité à cette norme, vous assurez une meilleure protection des données de carte de vos clients et renforcez la sécurité de vos processus de paiement.
Le PCI DSS s'adresse à toutes les organisations manipulant des paiements par carte de crédit et a été instauré en 2007 par le PCI SSC (PCI Security Standards Council). Son objectif est d'assurer la sécurité des transactions par carte de paiement dans tout le réseau d'infrastructure.
Qui est concerné par la norme de sécurité PCI ?
La norme PCI DSS s'applique à toute organisation manipulant des données de titulaires de cartes. Le PCI SSC a établi un système de quatre niveaux pour déterminer les exigences de conformité, basé sur le volume des transactions et le niveau de risque :
Niveau 1 : Commerçants qui traitent plus de 6 millions de transactions annuelles ou ayant subi une compromission antérieure des données.
Niveau 2 : Commerçants qui traitent des transactions annuelles comprises entre 1 et 6 millions en nombre d’opérations.
Niveau 3 : Commerçants qui traitent des transactions annuelles comprises entre 20 000 et 1 million en nombre d’opérations.
Niveau 4 : Commerçants qui traitent de transactions annuelles ne dépassant pas les 20 000 opérations.
Quant aux exigences, elles restent les mêmes pour tous les secteurs d'activité !
Quelles sont les exigences à respecter pour être à la norme PCI DSS ?
Nous vous présentons les exigences principales et secondaires en matière de sécurité. Ces derniers sont résumés en 12 points cruciaux :
1. Configurer et maintenir un pare-feu pour sécuriser les données des cartes :
Le pare-feu est un dispositif de sécurité réseau qui surveille et contrôle le trafic entrant et sortant, décidant de bloquer ou autoriser en fonction de règles prédéfinies. C'est la première ligne de défense contre les menaces et nécessite des tests, une gestion et des mises à jour régulières.
2. Éviter les identifiants par défaut fournis par les fournisseurs :
Les pirates informatiques exploitent fréquemment les mots de passe et les configurations par défaut pour compromettre les systèmes. Il est crucial de changer immédiatement les identifiants par défaut avant d'intégrer de nouveaux systèmes dans votre réseau.
3. Sécuriser les données des détenteurs de cartes :
Protéger les données des détenteurs de cartes est crucial pour respecter la norme PCI DSS. Les cybercriminels visent souvent ces données stockées pour des transactions frauduleuses. Lorsqu'il est nécessaire de conserver ces informations, des mesures de sécurité adéquates doivent être mises en place pour répondre aux exigences légales et réglementaires.
4. Chiffrer la transmission des données des détenteurs de cartes :
Pour sécuriser les données des titulaires de cartes lors de leur transmission sur des réseaux ouverts, il est crucial de les chiffrer. Les cybercriminels peuvent essayer de les intercepter facilement. Pour ce faire, un cryptage robuste est nécessaire, impliquant l'utilisation de protocoles de sécurité comme Secure Shell (SSH), IPSec, et Transport Layer Security (TLS).
5. Employer et actualiser régulièrement un programme antivirus :
Pour prévenir l'infiltration de logiciels malveillants dans votre réseau, il est impératif d'installer un antivirus sur tous les systèmes commerciaux critiques. Cela garantit la sécurité des données des titulaires de cartes et offre une défense renforcée contre les virus émergents grâce à des mises à jour régulières.
6. Créer et entretenir des systèmes et applications sécurisés :
Les cybercriminels exploitent fréquemment les failles de sécurité de votre système pour accéder aux données sensibles des titulaires de cartes. Les fournisseurs de réseaux publient régulièrement des correctifs pour remédier à ces vulnérabilités. Il est donc crucial de les appliquer immédiatement après leur publication. Ces correctifs sont indispensables pour maintenir les systèmes à jour, stables, et protégés contre les logiciels malveillants et autres menaces.
7. Limiter l'accès aux données des titulaires de cartes professionnellement nécessaires :
L'accès aux données des titulaires de cartes doit être strictement basé sur la nécessité. Les erreurs des employés demeurent la principale cause des violations de données. Ainsi, des contrôles d'accès stricts sont essentiels pour garantir que seuls les employés nécessitant un accès pour effectuer des transactions y sont autorisés.
8. Identifier et authentifier l'accès aux éléments du système :
Chaque employé ayant accès à des données sensibles doit recevoir un identifiant unique. Cela permet de tracer les accès aux systèmes spécifiques et de connaître l'identité de l'utilisateur ainsi que le moment de l'accès.
9. Contrôler l'accès physique aux informations des détenteurs de cartes :
Seuls les membres du personnel autorisés doivent avoir accès physique aux systèmes informatiques contenant les informations des titulaires de cartes. Cette restriction empêchera toute personne non autorisée d'accéder physiquement aux systèmes ou de faire des copies papier des données sensibles.
10. Surveiller tous les accès aux données des titulaires de cartes et aux ressources réseaux :
La surveillance étroite de l'accès aux ressources réseau et aux données des titulaires de cartes, avec enregistrement de toute activité, permet de détecter les comportements malveillants et de repérer les violations éventuelles grâce à une piste d'audit.
11. Effectuer des tests périodiques sur les systèmes et processus de sécurité :
Étant donné l'émergence constante de nouvelles vulnérabilités, il est crucial de tester régulièrement vos systèmes et processus afin de maintenir leur sécurité. La norme PCI DSS préconise également des tests de pénétration périodiques ainsi que l'adoption de systèmes de détection et de prévention des intrusions pour assurer la sécurité des données des titulaires de cartes.
12. Établir une politique de sécurité de l'information pour tout le personnel :
Il est essentiel de déployer une politique de sécurité robuste conforme à la norme PCI DSS à travers toute l'entreprise. Cette politique définit les attentes en matière de sécurité pour le personnel et met en évidence l'importance de la protection des données au sein de l'organisation.
De quelle manière les données des détenteurs de cartes peuvent-elles être exposées ?
Les cybercriminels chercheront à exploiter les vulnérabilités de vos systèmes et appareils d'exploitation pour accéder aux données sensibles des titulaires de cartes. Cela inclut :
- Portail en ligne
- Réseau sans fil
- Dossier papier
- Base de données du système de paiement
- Réseau de stockage
- Lecteur de cartes
- Système de point de vente
Pour plus de sécurité dans vos transactions, découvrez les Packs de votre prestataire de paiement en ligne : Jban.fr !