Lorsqu'il effectue un achat avec une carte de crédit ou de débit, en ligne ou en personne, un consommateur s'attend à ce que toutes les parties prennent soin de protéger les informations de sa carte. Si les données sont volées, cela pourrait entraîner des transactions frauduleuses et/ou un vol d'identité. 

L'industrie des cartes de paiement dispose d'un ensemble de normes pour protéger les données des cartes des clients, connues sous le nom de PCI DSS - Norme de sécurité des données de l'industrie des cartes de paiement. La conformité PCI fait référence aux exigences techniques et opérationnelles de conservation des données de carte fournies par les titulaires de carte aux fins de la sécurité des transactions. La norme est le résultat d'une collaboration entre de grandes marques de cartes telles que Visa, Mastercard et American Express, entre autres. 

Hormis le client, tous les acteurs d'une transaction par carte de paiement doivent être conformes à la norme PCI DSS. Cela inclut le commerçant, la banque, le processeur de paiement et la passerelle de paiement.

Certaines juridictions peuvent avoir des lois ou des réglementations concernant la sécurité des données, mais dans l'ensemble, la conformité PCI est imposée par l'industrie elle-même. Le non-respect des normes peut entraîner des amendes imposées par les marques de cartes de paiement et peut également interdire au commerçant ou au fournisseur de traiter les transactions par carte. Les lois locales peuvent également s'appliquer aux violations de données et pourraient avoir de graves conséquences pour la partie non conforme. 

Lorsqu'une entreprise s'inscrit pour un compte marchand ou pour des services rendus par un partenaire de paiement, la conformité PCI sera l'une des exigences pour conserver le service.

Il existe 12 exigences majeures ou clés pour la conformité PCI DSS :

  1. Mettre en place et maintenir des pare-feux pour protéger les données
  2. Avoir des protections de mot de passe appropriées sur les systèmes
  3. Protégez les données des titulaires de carte
  4. Crypter les données de titulaire de carte transmises
  5. Utiliser et mettre à jour le logiciel antivirus
  6. Mettre à jour les logiciels et maintenir les systèmes de sécurité
  7. Restreindre l'accès aux données du titulaire de la carte
  8. Utiliser des identifiants uniques pour l'accès des utilisateurs aux systèmes contenant les données des titulaires de carte
  9. Restreindre l'accès physique aux données
  10. Créer et surveiller les journaux d'accès
  11. Testez régulièrement les systèmes de sécurité
  12. Disposer d'une documentation sur les politiques et les processus facilement compréhensible 

Au-delà de ces principes de base, il existe d'autres exigences et procédures d'essai. 

Il existe 4 niveaux, ou paliers comme on les appelle parfois, de conformité et les exigences de conformité sont différentes pour chaque niveau. Les niveaux ne sont pas basés sur la valeur monétaire, mais sur le nombre de transactions par an.

Niveau 1 – Commerçants qui traitent plus de 6 millions de transactions par carte par an 

Niveau 2 – Commerçants qui traitent entre 1 et 6 millions de transactions par an

Niveau 3 – Commerçants qui traitent entre 20,000 et 1 millions de transactions par an

Niveau 4 – Commerçants qui traitent moins de 20,000 XNUMX transactions par an

Cela signifie que même si vous traitez 1 transaction par an, vos fournisseurs de services vous demanderont d'être conforme à la norme PCI. La plupart des petites entreprises appartiennent à la catégorie de niveau 4 et devront remplir un questionnaire d'auto-évaluation. L'évaluation exposera les failles dans la sécurité de l'entreprise et fournira des mesures pour les corriger. Il existe différents types d'évaluations pour différents types de configurations de paiement, et vous serez guidé par le fournisseur de services pour déterminer celui qui convient à votre entreprise. Même si vous utilisez les services d'un agrégateur de paiement  et externalisez essentiellement tout le traitement de vos paiements, l'agrégateur vous demandera toujours de respecter certains critères si vous souhaitez faire affaire avec lui. 

Les grandes entreprises et organisations de niveau supérieur peuvent avoir des départements entiers dédiés à la norme PCI DSS, ainsi que des auditeurs externes et d'autres partenaires et fournisseurs.  

Les petites entreprises qui entrent pour la première fois dans l'arène du commerce électronique sont souvent décontenancées par cette exigence PCI DSS et la trouvent extrêmement intimidante. Après tout, les propriétaires d'entreprise sont des experts de leurs produits et services, pas de la cybersécurité. Cependant, une fois la panique initiale passée, l'entreprise se rendra compte que la plupart d'entre elles sont relativement simples et pleines de bon sens. Il n'est pas difficile, par exemple, de s'assurer que les ordinateurs de l'entreprise ont des mots de passe forts. Un autre exemple est le logiciel antivirus - il existe de nombreuses marques fiables qui sont simples à installer et qui se mettent à jour elles-mêmes. 

Il existe toute une industrie qui se consacre à aider les petites entreprises à se conformer à la norme PCI. Et très souvent, le fournisseur de services tel que la banque ou le processeur de paiement peut inclure des services pour maintenir la conformité du commerçant. La conformité PCI n'est pas non plus ponctuelle, elle doit être mise à jour chaque année.

Y a-t-il des coûts pour PCI DSS ? Oui bien sûr il y en a. Vous devrez payer des frais de conformité à vos fournisseurs. Et il peut y avoir des frais de non-conformité. Les éléments logiciels tels que les pare-feu et les logiciels antivirus peuvent entraîner des frais d'abonnement. Les consultants et les fournisseurs qui aident à rendre les entreprises conformes à la norme PCI facturent leurs services. Si vous ne vous conformez pas, vous encourez des amendes de la part des marques de cartes ou d'autres fournisseurs, et vos installations peuvent être résiliées. 

La conformité PCI est conçue pour renforcer la confiance dans l'industrie. Les entreprises ne doivent pas y voir un obstacle impossible, mais plutôt une opportunité de mettre en place d'excellents systèmes qui profitent au client. Et les entreprises doivent s'assurer que leurs fournisseurs sont également conformes. 

At Crête de Baer nous prenons PCI DSS très au sérieux et nous travaillons uniquement avec des partenaires offrant une excellente sécurité. Contactez-nous sur les solutions de paiement sécurisées pour votre entreprise.