PCI DSS: La sécurité des cartes de crédit

PCI DSS
La sécurité des cartes de crédit
sans les maux de tête
Janvier 2017
Afin de permettre une procédure unifiée lors de l’application des exigences de sécurité,
les organismes de cartes de crédit VISA et Mastercard ont développé des normes
de sécurité communes.
Les serveurs et les composants de réseaux insuffisamment entretenus, les applications web mal programmées,
le tout combiné à une banque de données de cartes de crédit sauvegardée localement, c’est exactement ce qui
peut constituer des objectifs d’attaque profitables pour les pirates informatiques. L'objectif d'une telle attaque est
l'obtention de données de cartes de crédit, qui peuvent être revendues et utilisées frauduleusement.
C’est pour combattre cet abus que les organismes de cartes ont introduit les normes de securité PCI. Le respect
de cette norme vis-à-vis des organismes de cartes de crédit doit être vérifié par l’institut financier correspondant
(acquéreur). Les commerçants sont dans l’obligation de justifier leur conformité (compliance) avec la norme PCI
en remplissant un questionnaire d’auto-évaluation („Self Assessment Questionnaire“; questionnaire standardisé
d’auto-évaluation). Dans la mesure où chaque commerçant dispose d’une infrastructure IT différente, il existe
donc plusieurs questionnaires dont le nombre de questions diffère également. Le questionnaire doit être rempli
tous les ans.
Les normes PCI DSS sont obligatoires pour tous les points d’acceptation de cartes de crédit – donc aussi pour
votre boutique. Elles sont non seulement valables pour les boutiques en ligne et les centres d’appel mais aussi pour
tous les commerçants qui offrent à leurs clients les modes de paiement par cartes de crédit. Les directives PCI DSS
concernent aussi bien les données sous forme digitale que celles présentées physiquement au commerçant. Les
organismes de cartes de crédit exigent une certification PCI de toute personne acceptant, transmettant ou
sauvegardant des données de cartes de crédit. En plus de la certification, des scans externes des points faibles
des systèmes doivent être régulièrement effectués avec succès.
C’est la raison pour laquelle une certification PCI DSS est non seulement très coûteuse mais également très
complexe. Les transactions de cartes de crédit effectuées sans certification peuvent entraîner le paiement
de fortes amendes et même la résiliation du contrat d’acceptation des cartes de crédit.
* (PCI DSS = Payment Card Industry Data Security Standard)
Datatrans AG, Kreuzbühlstrasse 26, CH - 8008 Zürich, Tel. +41 44 256 81 91, Fax +41 44 256 81 98, www.datatrans.ch
Qu’est-ce que cela signifie pour vous en tant que client de Datatrans?
Nous vous offrons des solutions intelligentes qui vous permettent de satisfaire entièrement à toutes les normes –
également si vous voulez enregistrer en tant que commerçant des informations de paiement afin de pouvoir offrir
à vos clients le „One-Click Checkout“ ou si vous désirez effectuer périodiquement des débits récurrents (voir les
Alias de carte de crédit de Datatrans et Datatrans PCI Proxy).
La collaboration avec Datatrans ne délie cependant pas les commerçants de leur obligation de maintenir les directives PCI pour le fonctionnement de leur propre infrastructure et de suivre les prescriptions de leur institut financier.
Datatrans n’est pas responsable des dommages éventuels dus au fonctionnement non conforme aux normes PCI
de l’infrastructure.
Pour pouvoir travailler en tant que commerçant avec votre solution en conformité avec la norme PCI, veuillez
observer les points suivants:
– Respectez très précisément nos spécifications d’implémentation.
– Informez vos collaborateurs/collaboratrices au sujet des normes PCI: Exigez qu’aucun document électronique
ne mentionne ni ne sauvegarde des données de cartes de crédit; si un numéro de carte de crédit devait
cependant être tout de même être noté, qu’il le soit sur un papier qui sera aussitôt détruit comme il se doit
après utilisation.
– Définissez le respect des directives PCI dans votre commande de développement comme faisant partie intégrante
de la commande de projet et exigez des corrections gratuites si ce point n’était pas respecté.
Conformité PCI
Datatrans SA remplit l’ensemble des directives PCI depuis le 06.06.06 et est officiellement certifié par VISA et
Mastercard en tant que Payment Service Provider (renouvellement annuel). Cette certification nous permet
d’attester la sécurité technique comme la sécurité organisationnelle.
La certification PCI de Datatrans vous protège, vous et vos clients, contre les attaques de criminels. Vos clients
ont ainsi la certitude de pouvoir payer sans danger et dans le plus grand confort par carte de crédit – ce qui est
un argument important lors des achats sur Internet.
2/2