docDSOP Service Provider French 10_09.indd
download 
Plainte Transcription
DSOP Service Provider French 10_09.indd
American Express Politique de sécurité de donnéespour les Fournisseurs de service* En tant que leader en matière de protection des consommateurs, American Express s’engage depuis longtemps à protéger les informations des Titulaires de Carte, afin de garantir qu’elles sont conservées en toute sécurité. La mise en danger de la confidentialité des données a un impact négatif sur les clients, les fournisseurs de service et les émetteurs de cartes. Un incident unique peut avoir des conséquences extrêmement néfastes sur la réputation d’une entreprise et nuire gravement à ses activités. En mettant en place des politiques de sécurité afin de lutter contre ce risque, l’entreprise peut gagner la confiance de ses clients, augmenter sa rentabilité et améliorer sa réputation. Les Titulaires de Carte font confiance aux services de haute qualité et aux systèmes de protection fournis par American Express. Afin de lutter contre les risques en matière de séSection I – Normes de sécurité des données pour les Fournisseurs de service Les Fournisseurs de service doivent : (i) enregistrer les informations du Titulaire de Carte uniquement dans le but de faciliter les transactions par Carte dans le cadre de leurs accords avec American Express, et (ii) respecter la norme de sécurité des données de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard ou PCI Standard, www.pcisecuritystandards.org) en vigueur avant sa mise en œuvre effective. Les procédures de contrôle de la sécurité de données du Fournisseur de service concernant la Carte ne seront pas plus protectrices que les procédures utilisées pour les autres solutions de paiement traitées. Le Fournisseur de service est responsable de la conformité des parties assujetties à cette sous-section. Le terme « Parties assujetties » désigne l’ensemble des employés, des agents, des représentants, des sous-traitants, des préparateurs, des fournisseurs d’équipements ou de systèmes pour le point de vente et des solutions de traitement des paiements du Fournisseur de service, ainsi que toute autre partie fournissant l’accès aux informations du Titulaire de Carte conformément à son accord avec American Express. curité, nous avons mis au point la politique de sécurité des données (DSOP) et nous aidons les fournisseurs de service à instaurer les programmes de sécurité adaptés. Nous savons que ces risques vous inquiètent et nous vous demandons de respecter les dispositions concernant la sécurité des données dans le cadre de votre accord avec American Express, qui inclut la présente politique. Ces exigences s’appliquent à l’ensemble des équipements, systèmes et réseaux utilisés pour effectuer le traitement, l’enregistrement et la transmission des informations des Titulaires de Carte American Express. Section 2 – Obligation d’avertir American Express en cas de problème n cas de problème Les Fournisseurs de service doivent avertir American Express immédiatement s’ils prennent connaissance ou soupçonnent l’accès ou l’utilisation des informations d’un Titulaire de Carte sans autorisation ou à l’encontre de l’accord passé avec American Express. Les Fournisseurs de service doivent engager, à leurs frais, un contrôleur tiers qui effectuera un audit de cet incident, ou doivent fournir (et se procurer toute dérogation nécessaire à ces fins) à American Express et à ses contrôleurs, sur demande et aux frais du Fournisseur de service, l’accès aux informations permettant d’effectuer un audit exhaustif de l’incident. Les Fournisseurs de service devront immédiatement fournir à American Express tous les numéros de compte de Carte lié à l’incident, ainsi que les rapports d’audit de l’incident. Les Fournisseurs de service doivent collaborer avec American Express afin de régler tout problème lié à l’incident, et notamment faire part à American Express des communications avec les commerçants et les Titulaires de Carte concernés par l’incident. Les Fournisseurs de service doivent également fournir toutes les informations nécessaires (et se procurer toute dérogation nécessaire à ces fins) à American Express afin de vérifier son aptitude à éviter de futurs incidents conformément à l’accord passé avec American Express. Les audits doivent inclure des examens et des rapports légaux concernant la conformité et toutes les informations relatives à l’incident. Les audits doivent identifi- * Les références aux « Fournisseurs de service » dans la présente politique désignent les préparateurs autorisés, les préparateurs et tout autre fournisseur d’équipements, de logiciels, de systèmes, de solutions ou de services de traitement des paiements pour les commerçants. er la cause de l’incident et évaluer si la norme PCI a été respectée par le Fournisseur de service au moment de l’incident. Nous nous réservons le droit de contacter un consultant de sécurité tiers pour mener une enquête approfondie ou vérifier la certification du site. Contactez votre Processor Relationship Manager ou appelez le service d’assistance American Express destiné aux commerçants au +33 147 77 75 75 si vous pensez que la confidentialité des informations d’un Titulaire de Carte a été mise en danger. Veuillez vous munir de plusieurs numéros de Commerçants American Express que nous pourrons utiliser comme référence. Section 3 – Obligations d’indemnisation Les obligations d’indemnisation du Fournisseur de service envers American Express dans le cadre de l’accord passé avec American Express comprennent, sans que cela n’affecte les droits ou recours d’American Express, la responsabilité en cas de transactions frauduleuses liées à ces incidents concernant les données, ainsi que l’ensemble des coûts, frais et dépenses (notamment les réclamations de tierces parties et l’ensemble des coûts encourus par American Express liés à l’avertissement des Titulaires de Carte, l’annulation et la nouvelle émission des Cartes, la protection contre les fraudes, les frais judiciaires et les décaissements raisonnables, les frais d’enquête, de poursuite judiciaire, de règlement, de jugement, d’intérêts et de pénalités) encourus par American Express liés à ces incidents concernant les données. Et cela, à moins : (i) que le Fournisseur de service avertisse American Express conformément à cette section, (ii) que le Fournisseur de service ait respecté la politique de sécurité des données au moment de l’incident concernant les données, et (iii) que l’incident concernant les données n’est pas dû à un comportement illégal du Fournisseur de service ou d’un de ses employés ou agents. Section 4 — IMPORTANT ! JUSTIFICATION DE CONFORMITÉ À LA POLITIQUE DE SÉCURITÉ DE DONNÉES Les Fournisseurs de service doivent prendre les mesures suivantes afin de justifier leur conformité à la politique de sécurité des données. DSOP for Service Providers - France - 11/09 Page 2 sur 5 Étape 1 – Exigences à respecter en matière de validation Les Fournisseurs de service doivent prendre les mesures suivantes afin de prouver leur conformité à la politique de sécurité des données, annuellement ou trimestriellement, conformément aux instructions ci-dessous (chacune de ces périodes est appelée une période de rapport). (i) Rapport annuel d’évaluation de la sécurité sur site et (ii) Examen trimestriel du réseau. Un document de validation du rapport annuel d’évaluation de la sécurité sur site L’évaluation annuelle de la sécurité sur site est un examen détaillé sur site de l’équipement, des systèmes et des réseaux (et leurs composants) du Fournisseur de service, utilisés pour le traitement, le stockage ou la transmission des informations relatives aux Titulaires de Carte. Cet examen doit être effectué par (i) un Consultant de sécurité qualifié (QSA) figurant dans la liste ci-dessous, ou (ii) le Fournisseur de service et, certifié par le directeur général, le directeur financier ou le directeur du Fournisseur de service. Les Fournisseurs de service doivent rédiger et envoyer le résumé des résultats de cette évaluation (et les exemplaires du rapport complet, sur demande) annuellement à American Express. Pour qu’un Fournisseur de service soit en conformité avec la présente politique de sécurité des données, le résumé doit certifier la conformité du Fournisseur de service aux exigences de la norme PCI. Une liste de QSA est disponible à l’adresse www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf. Un document de validation de l’examen trimestriel du réseau L’examen trimestriel du réseau permet de tester à distance les serveurs et réseaux informatiques connectés à Internet du Fournisseur de service, afin de déceler les failles potentielles. Cet examen doit être réalisé par un Fournisseur d’examen de réseaux approuvé (ASV) figurant dans la liste ci-dessous. Les Fournisseurs de service doivent rédiger et envoyer le résumé des résultats de cet examen (et les exemplaires de l’examen complet, sur demande) tous les trimestres à American Express. Pour qu’un Fournisseur de service soit en conformité avec la présente politique de sécurité des données, le résumé doit confirmer l’absence de risques élevés. Une liste d’ASV est disponible à l’adresse www.pcisecuritystandards.org/pdfs/asv_report.html. Étape 2 – Envoi de la documentation de validation à American Express Les Fournisseurs de service doivent envoyer la documentation de validation, en crypté, sur disque compact, à American Express à l’adresse ci-dessous. American Express Payment Services Limited GNO Data Security Unit PO Box 54886 London, SW1W 0YW United Kingdom La clé de cryptage nécessaire pour décrypter la documentation de validation, ainsi que les données de sécurité du Fournisseur de service (notamment le nom, l’adresse et le numéro de téléphone) et le numéro de fournisseur de service American Express à 10 chiffres doivent être envoyés par email à l’adresse suivante : [email protected] Les frais de conformité et de validation sont à la charge du Fournisseur de service. En envoyant la documentation de validation, le Fournisseur de service garantit à American Express qu’il est autorisé à divulguer les informations contenues dans ce document et fournit le document de validation à American Express sans violer les droits de toute autre partie. Frais de non validation et résiliation de l’Accord passé avec American Express Les Fournisseurs de service devront s’acquitter de frais en cas de non validation et leurs accords passés avec American Express pourront être résiliés s’ils ne fournissent pas la documentation de validation à American Express en temps voulu. American Express informera séparément les Fournisseurs de service de la date de réception requise pour chaque période de rapport. Les Fournisseurs de service devront s’acquitter de frais de non validation si la documentation de validation n’est pas reçue en temps voulu. €19,000 Des frais de non validation supplémentaires seront facturés si la documentation de validation n’est pas reçue dans les 30 jours suivant la date prévue. €26,000 Des frais de non validation supplémentaires seront facturés si la documentation de validation n’est pas reçue dans les 60 jours suivant la date prévue. €34,000 DSOP for Service Providers - France - 11/09 Page 3 sur 5 Si American Express ne reçoit pas la documentation de validation dans une période 60 jours suivant la première date de réception requise, l’accord passé avec American Express est susceptible d’être résilié par American Express conformément à ses termes et conditions, en plus des frais de non conformité cités ci-dessus. Politique en matière de confidentialité American Express s’engage à prendre les mesures nécessaires pour assurer la conformité des rapports du Fournisseurs de service, notamment les résumés des résultats des évaluations de sécurité sur site annuelles, les questionnaires d’auto-évaluation annuels de PCI et les résumés des résultats des examens trimestriels du réseau (c’est-à-dire la Documentation de validation) en toute discrétion et de ne pas divulguer la Documentation de validation d’une tierce partie (à l’exception de ses agents, représentants, fournisseurs de service et sous-traitants) pendant une période de deux ans à compter de la date de réception. Cette confidentialité ne s’applique pas à la Documentation de validation qui : (i) a déjà été portée à la connaissance d’American Express avant leur communication par le Fournisseurs de service, (ii) est ou devient publique sans qu’American Express n’ait violé les termes du présent paragraphe, (iii) est envoyée à American Express par un tiers sans aucune clau (iv) est créée indépendamment par American Express, ou (v) doit être divulguée sur ordre d’un tribunal, d’une agence gouvernementale ou d’une administration, ou par une loi, une règle ou une règlementation, ou par une citation, une demande de remise de document, une assignation, ou toute autre procédure légale ou administrative, ou par toute enquête formelle ou informelle d’une autorité ou agence gouvernementale (notamment les régulateurs, les inspecteurs et les examinateurs, ainsi que les organismes chargés de l’application de la loi). Section 5 — Modifications La Politique de sécurité des données American Express est susceptible d’être modifiée sur délivrance d’un préavis de 90 jours. Section 6 – Clause de non-responsabilité Sauf stipulation dans la présente politique, la conformité d’un Fournisseur de service à la présente politique de sécurité des données n’annule en aucune façon ses obligations d’indemnisation envers American Express dans le cadre de l’accord passé avec American Express, et n’annule ni ne diminue ses responsabilités. Les Fournisseurs de service sont responsables de leurs dépenses liées aux mesures de protection des données qu’ils considèrent comme nécessaires pour protéger leurs données et intérêts particuliers. American Express ne garantit en aucun cas que les mesures contenues dans cet accord ou cette politique sont suffisantes ou adéquates pour protéger les données et intérêts du Fournisseur de service. Par la présente, American Express décline toute responsabilité et ne fournit aucune garantie, explicite ou implicite, obligatoire ou autre, concernant la présente politique de sécurité des données, la norme PCI, ainsi que la désignation et les performances des consultants de sécurité qualifiés (QSA) et/ou des fournisseurs d’examen de réseaux approuvés (ASV), y compris toute garantie implicite de commercialisation ou d’adaptation pour quelque usage que ce soit. DSOP for Service Providers - France - 11/09 Page 4 sur 5 Sites Web utiles American Express Data Security : www.americanexpress.com/datasecurity Société à responsabilité limitée PCI Security Standards Council pour : Les normes de sécurité des données PCI Le questionnaire d’auto-évaluation b La liste des Consultants de sécurité qualifiés b La liste des Fournisseurs d’examen de réseaux b b www.pcisecuritystandards.org Cette annexe est régie par et doit être interprétée conformément à la législation anglaise. Les deux parties acceptent, en outre, par les présentes de se soumettre à l’autorité exclusive des tribunaux anglais. Les parties ont dûment autorisé leurs représentants à appliquer le présent Accord à partir du [*****insérer la date d’entrée en vigueur]. Signé par Signé par Signature : Signature : Poste : Poste : Nom en majuscule Nom en majuscule Pour et au nom de Pour et au nom de AMERICAN EXPRESS EUROPE LIMITED [******INSERER LE NOM DE L’OPERATEUR] [ DSOP for Service Providers - France - 11/09 Page 5 sur 5
