dotsha logo
Démonstration
Sandbox gratuite

Conformité PCI-DSS : Pourquoi est-ce important ?

photo auteur emmanuel pasquet

EMMANUEL PASQUET

Durée de lecture : environ 5 min

Normalisation PCI-DSS:
se protéger, ainsi que ses clients, contre la fraude bancaire !

La fraude par carte de crédit est l’un des plus gros problèmes du commerce électronique aujourd’hui. Pour lutter contre ce problème, l’industrie a soutenu un ensemble de normes conçues pour protéger les données des consommateurs contre les fraudeurs.

La norme PCI-DSS de sécurité des données de l’industrie des cartes de paiement s’applique à toutes les organisations qui traitent les cartes de crédit des principaux réseaux de cartes et fournit des directives sur la façon de traiter en toute sécurité les informations des titulaires de carte afin de réduire la fraude et le vol de données.

Le respect des normes PCI-DSS n’est pas seulement une question de pratique interne. La conformité à la norme PCI-DSS est certifiée par le Conseil des normes de sécurité PCI. La certification de conformité PCI-DSS est un moyen important de communiquer à ses clients et partenaires que la sécurité des données est prise au sérieux et que toutes les mesures nécessaires ont été prises pour protéger les données bancaires sensibles.

La fraude en ligne est en constante évolution et s’adapte aux mesures et pratiques conçues pour la contrecarrer, il n’y aura donc jamais un ensemble de normes offrant une protection parfaite et infaillible contre les violations de données et la fraude par carte de paiement.

Cela dit, la conformité à la norme PCI-DSS garantit qu’un commerçant ou un agent de service de paiements suit les meilleures recommandations du secteur, les plus à jour, pour protéger ses données et assurer la sécurité de ses clients.

Qui maintient les normes et certifie la conformité
PCI-DSS ?

Le PCI-DSS est supervisé par le Conseil des normes de sécurité PCI, qui a été établi conjointement en 2006 par Visa, Mastercard, American Express, Discover et JCB International. Leur mission: fournir des normes obligatoires qui augmenteraient la sécurité des données des titulaires de carte afin de les protéger de la fraude.

À l’origine, chaque réseau de cartes maintenait son propre ensemble de normes. Reconnaissant la menace croissante de fraude et la difficulté à se conformer à plusieurs ensembles de normes qui se chevauchent, ils ont commencé à travailler ensemble pour former un ensemble mondial unique de normes efficaces, qui est devenu PCI-DSS.

Des informations supplémentaires et des directives sont publiées régulièrement pour clarifier les aspects de la PCI-DSS si nécessaire, et le conseil certifie les organisations et peut auditer les commerçants pour valider la conformité de leurs pratiques et solutions de gestion.

Les commerçants qui ne respectent pas la norme PCI-DSS peuvent être soumis à des amendes et autres sanctions imposées par les réseaux de cartes concernés.

Quelles sont les exigences PCI-DSS ?

PCI-DSS organise ses exigences en six catégories appelées objectifs de contrôle, chacune contenant des exigences particulières. Ces objectifs de contrôle sont les suivants:

1- Construire et maintenir un réseau et des systèmes sécurisés

  • Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de carte. Le pare-feu doit analyser tout le trafic réseau entrant et empêcher les réseaux non approuvés d'accéder à vos systèmes.
  • Modifier les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité. Les mots de passe par défaut sont les premiers qu'un fraudeur essaiera - vous devez utiliser des mots de passe forts et uniques pour protéger vos systèmes.

2- Protéger les données des titulaires de carte

  • Protéger les données de titulaires de carte stockées avec le cryptage, le hachage, le masquage, la troncature et d'autres méthodes recommandées.
  • Crypter les transmissions des données des titulaires de carte sur des réseaux publics ouverts. Un cryptage fort est préférable.

3- Mettre en place un programme de gestion des vulnérabilités

  • Protéger les systèmes contre les logiciels malveillants et effectuer des mises à jour régulières des logiciels antivirus.
  • Développer et maintenir des systèmes et des applications sécurisés. Les logiciels vulnérables doivent être corrigés immédiatement lorsque des failles de sécurité sont découvertes.

4- Mettre en œuvre des mesures de contrôle d'accès strictes

  • Restreindre l'accès aux données de titulaires de carte au personnel autorisé uniquement et sur la base du strict «besoin d'en connaître».
  • Identifier et authentifier les utilisateurs qui accèdent aux composants du système. Chaque utilisateur doit se voir attribuer un identifiant unique afin de rendre des comptes lors de l'accès aux données des titulaires de carte.
  • Restreindre l'accès physique aux systèmes qui stockent les données des titulaires de carte.

5- Surveiller et tester régulièrement les réseaux

  • Suivre et surveiller tous les accès aux données des titulaires de carte et aux ressources du réseau. Des mécanismes de journalisation doivent être en place pour les activités des utilisateurs susceptibles d'affecter les données des titulaires de carte.
  • Tester régulièrement les systèmes et processus de sécurité afin d'identifier les nouvelles vulnérabilités qui pourraient être exploitées.

6- Maintenir une politique de sécurité de l'information

  • Maintenir une politique de sécurité de l'information solide pour tout le personnel. Sensibiliser les employés et les contractuels à l'importance de protéger les données sensibles des titulaires de carte.

Les fournisseurs de services marchands (les fournisseurs qui fournissent l’hébergement Web, les logiciels de commerce électronique, les outils anti-fraude et la gestion des facturations récurrentes avec paiements) doivent également maintenir la conformité PCI-DSS, sans quoi les marchands qui utilisent leurs services peuvent être responsables des violations de données quel que soit leur statut de conformité .

Pour les fournisseurs de services marchands, la conformité de niveau un nécessite un audit sur site par un évaluateur de sécurité qualifié approuvé par le conseil PCI.

e-commerçants et éditeurs du SaaS, équipez-vous de solutions certifiées !

Seulement 27.9% des entreprises du SaaS et du e-commerce utilisent une solution certifiée PCI-DSS en Europe en 2020

Verizon – PAyment Security Report 2020 !

Si vous êtes un e-commerçant qui effectue des transactions en ligne de paiements via Carte Bleue ou tout autre moyen de paiement, vous ne devez surtout pas prendre à la légère le risque que vous encourez si vos partenaires ou votre solution de gestion ne sont pas certifiés PCI-DSS.

En cas de fraude ou en cas de litige avec un client, vous pourriez avoir à subir de très lourdes amendes ainsi qu’une possible interdiction de percevoir des paiements.

A propos de dotsha

Dotsha propose la première infrastructure de gestion qui unifie Front & Back-end afin d’ automatiser la gestion des modèles basés sur la souscription depuis l’abonnement jusqu’à l’encaissement. Elle est conçue pour mettre sur pilote automatique toutes les entreprises basées sur l’abonnement ou l’usage !

Votre entreprise peut évoluer à toute vitesse sans compromettre l’efficacité et l’intégrité de son back-office !

Votre croissance peut accélérer … nous assurons vos arrières !

L’infrastructure de gestion de Dotsha est facile à utiliser et rapidement mise en œuvre avec un maximum de capacités d’intégration. Elle augmente votre système d’information existant avec des API robustes afin de fournir une automatisation optimale pour un minimum de code. Vous oublierez que nous sommes là !

photo auteur emmanuel pasquet

EMMANUEL PASQUET

Durée de lecture : environ 5 min

Gardez votre esprit en éveil grâce à de nouvelles perspectives et de nouvelles idées pour gérer l’avenir de votre entreprise. Notre contenu vous aidera à explorer de nouveaux territoires de bonnes pratiques. Rejoignez notre communauté de lecteurs, c’est gratuit !

Que recevrez-vous dans votre boîte de réception ?

  • Sondage, recherches et idées que vous pouvez explorer librement et à votre rythme
  • Bonnes pratiques, exemples et témoignages d'expériences en entreprise
  • Des outils qui vous donneront la capacité de reconsidérer le statu quo, de voir les choses différemment
  • Parfois un peu de ce que nous faisons

LANGUES

PlatEformE

RESSOURCES

ASSISTANCE

DOTSHA

connectONS NOUS