PCI DSS: La sécurité des cartes de crédit
Transcription
PCI DSS: La sécurité des cartes de crédit
PCI DSS La sécurité des cartes de crédit sans les maux de tête Janvier 2017 Afin de permettre une procédure unifiée lors de l’application des exigences de sécurité, les organismes de cartes de crédit VISA et Mastercard ont développé des normes de sécurité communes. Les serveurs et les composants de réseaux insuffisamment entretenus, les applications web mal programmées, le tout combiné à une banque de données de cartes de crédit sauvegardée localement, c’est exactement ce qui peut constituer des objectifs d’attaque profitables pour les pirates informatiques. L'objectif d'une telle attaque est l'obtention de données de cartes de crédit, qui peuvent être revendues et utilisées frauduleusement. C’est pour combattre cet abus que les organismes de cartes ont introduit les normes de securité PCI. Le respect de cette norme vis-à-vis des organismes de cartes de crédit doit être vérifié par l’institut financier correspondant (acquéreur). Les commerçants sont dans l’obligation de justifier leur conformité (compliance) avec la norme PCI en remplissant un questionnaire d’auto-évaluation („Self Assessment Questionnaire“; questionnaire standardisé d’auto-évaluation). Dans la mesure où chaque commerçant dispose d’une infrastructure IT différente, il existe donc plusieurs questionnaires dont le nombre de questions diffère également. Le questionnaire doit être rempli tous les ans. Les normes PCI DSS sont obligatoires pour tous les points d’acceptation de cartes de crédit – donc aussi pour votre boutique. Elles sont non seulement valables pour les boutiques en ligne et les centres d’appel mais aussi pour tous les commerçants qui offrent à leurs clients les modes de paiement par cartes de crédit. Les directives PCI DSS concernent aussi bien les données sous forme digitale que celles présentées physiquement au commerçant. Les organismes de cartes de crédit exigent une certification PCI de toute personne acceptant, transmettant ou sauvegardant des données de cartes de crédit. En plus de la certification, des scans externes des points faibles des systèmes doivent être régulièrement effectués avec succès. C’est la raison pour laquelle une certification PCI DSS est non seulement très coûteuse mais également très complexe. Les transactions de cartes de crédit effectuées sans certification peuvent entraîner le paiement de fortes amendes et même la résiliation du contrat d’acceptation des cartes de crédit. * (PCI DSS = Payment Card Industry Data Security Standard) Datatrans AG, Kreuzbühlstrasse 26, CH - 8008 Zürich, Tel. +41 44 256 81 91, Fax +41 44 256 81 98, www.datatrans.ch Qu’est-ce que cela signifie pour vous en tant que client de Datatrans? Nous vous offrons des solutions intelligentes qui vous permettent de satisfaire entièrement à toutes les normes – également si vous voulez enregistrer en tant que commerçant des informations de paiement afin de pouvoir offrir à vos clients le „One-Click Checkout“ ou si vous désirez effectuer périodiquement des débits récurrents (voir les Alias de carte de crédit de Datatrans et Datatrans PCI Proxy). La collaboration avec Datatrans ne délie cependant pas les commerçants de leur obligation de maintenir les directives PCI pour le fonctionnement de leur propre infrastructure et de suivre les prescriptions de leur institut financier. Datatrans n’est pas responsable des dommages éventuels dus au fonctionnement non conforme aux normes PCI de l’infrastructure. Pour pouvoir travailler en tant que commerçant avec votre solution en conformité avec la norme PCI, veuillez observer les points suivants: – Respectez très précisément nos spécifications d’implémentation. – Informez vos collaborateurs/collaboratrices au sujet des normes PCI: Exigez qu’aucun document électronique ne mentionne ni ne sauvegarde des données de cartes de crédit; si un numéro de carte de crédit devait cependant être tout de même être noté, qu’il le soit sur un papier qui sera aussitôt détruit comme il se doit après utilisation. – Définissez le respect des directives PCI dans votre commande de développement comme faisant partie intégrante de la commande de projet et exigez des corrections gratuites si ce point n’était pas respecté. Conformité PCI Datatrans SA remplit l’ensemble des directives PCI depuis le 06.06.06 et est officiellement certifié par VISA et Mastercard en tant que Payment Service Provider (renouvellement annuel). Cette certification nous permet d’attester la sécurité technique comme la sécurité organisationnelle. La certification PCI de Datatrans vous protège, vous et vos clients, contre les attaques de criminels. Vos clients ont ainsi la certitude de pouvoir payer sans danger et dans le plus grand confort par carte de crédit – ce qui est un argument important lors des achats sur Internet. 2/2