Article

Qu’est-ce que la conformité PCI ? Normes et bonnes pratiques

À propos de Article

Pour réussir, les marques doivent se focaliser sur la protection et la sécurité des informations confidentielles de leurs clients. Surtout si elles possèdent un site web de e-commerce et acceptent les paiements en ligne. La conformité PCI répond aux problématiques de sécurité liées aux paiements en ligne en imposant certaines normes que les entreprises doivent respecter pour accepter les paiements par carte bancaire.

Qu’est-ce que la conformité PCI ?

La conformité PCI (Payment Card Industry) obligent les entreprises qui acceptent, traitent, stockent ou transmettent des informations de carte bancaire à respecter un ensemble de normes de sécurité. La conformité PCI permet aux entreprises de toutes tailles de prévenir les fraudes et de limiter les piratages de données tout en protégeant les informations de paiement sensibles de leurs clients.

La norme de sécurité de l’industrie des cartes de paiement (PCI DSS, Payment Card Industry Data Security Standard) vise à sécuriser les numéros de carte bancaire. Le Conseil des normes de sécurité PCI, une co-entreprise réunissant les cinq principaux réseaux de cartes de paiement (American Express, Discover, JCB, MasterCard et Visa) administre la norme PCI DSS. Depuis 2006, le Conseil des normes de sécurité PCI poursuit sa mission qui consiste à « renforcer la sécurité des données sur les comptes de paiement internationaux ».

La norme PCI DSS s’applique aux prestataires de services et aux commerçants. Un prestataire de services est une entreprise qui traite, stocke ou transmet les données des titulaires de cartes pour le compte d’une autre entreprise. Un commerçant est une entreprise qui accepte les paiements par carte de crédit pour des biens ou des services vendus en ligne.

Si, pour quelque raison que ce soit, votre entreprise traite des transactions par carte bancaire, il est important que vous maîtrisiez la norme PCI DSS et que vous vous y conformiez.

Normes de conformité PCI

La norme PCI DSS comprend 12 conditions pour six objectifs. En voici une brève description.

Objectif 1 : Création et gestion d’un réseau sécurisé

Condition 1 : Installer et gérer une configuration de pare-feu pour protéger les données de titulaires de cartes
Votre entreprise doit utiliser une configuration de pare-feu pour protéger les données des titulaires de cartes et créer un réseau sécurisé. Un pare-feu contrôle votre trafic réseau et bloque toutes les transmissions qui ne remplissent pas vos critères de sécurité particuliers.

Condition 2 : Ne pas utiliser les configurations par défaut du fournisseur pour les mots de passe système et autres paramètres de sécurité
Votre entreprise ne doit pas utiliser le mot de passe défini par l’éditeur de logiciels lors de l’achat de votre solution. Définissez plutôt vos propres mots de passe système uniques et sécurisés.

Objectif 2 : Protection des données des titulaires de cartes

Condition 4 : Crypter la transmission des données de titulaires de carte sur les réseaux publics ouverts
Si vous stockez les données des titulaires de cartes, vous risquez d’être confronté à une faille de sécurité des données. Faites appel à un prestataire de services d’hébergement conforme PCI DSS pour mettre en place plusieurs couches de protection des données via des méthodes virtuelles et physiques. Les méthodes virtuelles incluent les mots de passe et l’authentification, tandis que les méthodes physiques comprennent les restrictions d’accès et les verrous des armoires de stockage.

Requirement 4 – Encrypt transmission of cardholder data across open, public networks 
Le cryptage doit être appliqué avant la transmission des données d’un point A à un point B. Votre entreprise doit implémenter des protocoles de cryptage fort et configurer ses réseaux de manière à ce que les utilisateurs ne puissent pas accéder aux données des titulaires de cartes.

Objectif 3 : Gestion d’un programme de gestion des vulnérabilités

Condition 5 : Utiliser des logiciels ou des programmes antivirus et les mettre à jour régulièrement
Les logiciels antivirus sont indispensables pour protéger votre entreprise contre les programmes malveillants. Si vous hébergez vos données sur des serveurs externalisés, assurez-vous que votre prestataire de services gérés administre, lui aussi, un environnement sécurisé.

Condition 6 : Développer et gérer des systèmes et des applications sécurisés 
Si votre prestataire de services d’hébergement est conforme PCI DSS, vous pouvez compter sur lui pour surveiller et mettre à jour ses systèmes, afin d’éliminer les éventuelles vulnérabilités.

Objectif 4 : Mise en œuvre de mesures de contrôle d’accès strictes

Condition 7 : Restreindre l’accès aux données des titulaires de carte aux seuls individus qui doivent les connaître 
N’autorisez pas l’ensemble de vos collaborateurs à accéder aux données des titulaires de cartes. Veillez plutôt à limiter le nombre de personnes y ayant accès, afin de minimiser les risques de faille de sécurité. 

Condition 8 : Attribuer un identifiant unique à chaque utilisateur 
Un identifiant digital unique vous permet de suivre quiconque accède à votre réseau dans l’entreprise. Demandez également aux utilisateurs de changer leur mot de passe tous les 30 jours, déconnectez-les automatiquement après un certain temps d’inactivité et adoptez d’autres bonnes pratiques de sécurité.

Condition 9 : Limiter l’accès physique aux données des titulaires de cartes
Les serveurs qui contiennent les données des titulaires de cartes doivent être installés dans un environnement sécurisé (sur site ou hors site) uniquement accessible par un nombre limité de personnes autorisées.

Objectif 5 : Surveillance et test réguliers des réseaux

Condition 10 : Superviser et tracer tous les accès aux ressources réseau et données des titulaires de cartes
Le suivi de l’activité des utilisateurs aide à identifier l’origine d’une faille sécurité ou de tout autre problème potentiel.. 

Condition 11 : Tests réguliers des systèmes et processus de sécurité
En testant régulièrement vos systèmes, processus et logiciels, vous détecterez les vulnérabilités dès leur apparition et pourrez aider votre prestataire de services d’hébergement à protéger les données de vos clients.

Objectif 6 : Mise en place d’une politique de sécurité des informations

Condition 12 : Appliquer des règles relatives à la sécurité des informations
Grâce à des règles de sécurité PCI DSS strictes, vos employés sauront exactement ce que vous attendez d’eux. Il s’agit d’exposer clairement les utilisations acceptables des technologies, les processus récurrents d’analyse des risques et les procédures de sécurité opérationnelle.

L’importance de la conformité PCI

En tant qu’entreprise acceptant les transactions par carte bancaire, vous ne devez pas négliger l’importance de la conformité PCI, sous peine d’être confronté à de graves problèmes :

  • Pénalités mensuelles
    Si vous ne vous conformez pas à la norme PCI DSS, vous risquez de vous voir infliger une amende par les réseaux de cartes de crédit. Le montant de cette amende est compris entre 5 000 et 100 000 euros par mois.
  • Piratages de données
    Bien que la conformité PCI DSS ne garantisse pas que vous ne subirez jamais de piratage de données, elle réduit les amendes qui pourraient vous être infligées dans une telle éventualité. Vous devriez alors verser de 50 à 90 euros pour chaque titulaire de carte dont les informations ont été compromises. Vous devriez peut-être aussi mettre fin à votre relation avec votre banque ou organisme de paiement.
  • Atteinte à la réputation
    Si votre entreprise est victime d’un piratage de données, votre réputation sera probablement entachée. Dès que le grand public découvrira que la sécurité des informations de carte bancaire de vos clients a été compromise, vous aurez du mal à regagner leur confiance.
  • Manque à gagner
    Les pénalités mensuelles et l’atteinte à la réputation peuvent impacter vos résultats et entraîner une baisse de revenus substantielle.

Comment atteindre la conformité PCI ?

Les commerçants qui acceptent les paiements par carte bancaire en ligne sont tenus de respecter l’un des quatre niveaux de conformité dans le cadre d’une évaluation PCI DSS. Ce sont le nombre de transactions que vous traitez chaque année et votre historique de traitement des transactions qui détermineront le niveau s’appliquant à votre entreprise.
Ces niveaux de conformité peuvent comporter jusqu’à quatre conditions :

  • Questionnaires d’auto-évaluation (SAQ, Self Assessment Questionnaire)
    Le but d’un SAQ est de prouver que vous prenez les mesures de sécurité adéquates pour préserver la sécurité des données des titulaires de cartes. Les commerçants ont le choix entre neuf SAQ. Ce sont les modes de traitement des cartes de crédit et de gestion des données des titulaires de cartes qui détermineront celui que vous devrez remplir.
  • Analyse des vulnérabilités
    Les analyses régulières de vulnérabilité ont pour but de vous aider à identifier les failles de sécurité potentielles. Vous devrez effectuer des analyses internes et externes chaque trimestre pour vous assurer que votre environnement de données répond aux normes de sécurité actuelles. Alors que les analyses internes doivent être effectuées à partir de plusieurs emplacements au sein de votre réseau, les analyses externes - conçues - pour l'extérieur de votre réseau doivent inclure chaque adresse IP externe.
  • Attestation de conformité
    L’attestation de conformité est un formulaire qui indique que vous avez bien réalisé les tests de validation et confirme que vos protocoles de sécurité sont conformes.
  • Rapports sur la conformité
    Le rapport sur la conformité doit être rédigé par un évaluateur qualifié en matière de sécurité (QSA, Qualified Security Assessor) externe ou par une ressource de sécurité interne titulaire d’une accréditation d’évaluateur de sécurité interne (ISA, Internal Security Assessor) valide. Il atteste du statut de la conformité PCI de votre entreprise.

Quatre niveaux de conformité pour les commerçants

Qu’est-ce que la conformité PCI ? Normes et bonnes pratiques

Bonnes pratiques pour la conformité PCI

Vous voulez garantir la conformité PCI ? Suivez ces conseils :

  • Proposez des formations à vos collaborateurs
    Vous aurez du mal à respecter les normes de conformité PCI si vos collaborateurs ignorent de quoi il s’agit et pourquoi elles sont importantes. Tenez-les informés lors de sessions de formation mensuelles ou trimestrielles obligatoires.
  • Réduisez votre champ d’action
    La conformité PCI sera beaucoup plus facile à gérer si vous réduisez le nombre de personnes, processus et technologies qui stockent, traitent ou transmettent les données des titulaires de cartes. Isolez les devices qui gèrent les données des titulaires de cartes.
  • Créez un réseau sécurisé
    L’entreprise a impérativement besoin d’un réseau sécurisé protégeant les données des titulaires de cartes. En plus d’installer un pare-feu robuste, évitez d’utiliser les mots de passe et paramètres de sécurité par défaut. Demandez également à vos collaborateurs de changer régulièrement de mot de passe.
  • Soyez patient
    Il est malheureusement impossible d’être 100 % conforme du jour au lendemain. Concentrez-vous sur un seul objectif à la fois pour arriver progressivement à la conformité PCI totale. 

Simplifiez la conformité PCI

De prime abord, il semble quasi impossible de se conformer à la norme PCI DSS. Heureusement, il n’en est rien. Si vous êtes un commerçant, Magento Commerce peut vous aider à vous conformer à la norme PCI DSS. Cette solution offre des passerelles de paiement intégrées vous permettant de transmettre facilement des données de carte de crédit via des API d’envoi de courrier postal ou des formulaires de paiement hébergés depuis la passerelle de paiement et intégrés à votre page de règlement.

Magento Commerce étant un fournisseur de solutions de niveau 1 certifié PCI, vous pouvez utiliser l’attestation de conformité PCI Magento pour votre propre processus de certification PCI. Pour en savoir plus sur la simplification de la conformité PCI par Magento Commerce, demandez dès aujourd’hui une démonstration gratuite.

What is PCI Compliance? Standards and Best Practices