Qu'est-ce que la conformité PCI?

La conformité de l'industrie des cartes de paiement (PCI) est basée sur un ensemble de 12 normes techniques et opérationnelles développées par le PCI Security Standards Council (SSC), un organisme indépendant formé en 2006 par American Express, Discover, JCB International, MasterCard et Visa. Ces normes s'appliquent à toute entreprise qui accepte, transmet ou stocke les données de carte de crédit. Ils ont été créés pour assurer un environnement sécurisé qui protège les informations sur les clients et les entreprises contre des problèmes tels que les violations de données.

Pour mieux comprendre la conformité PCI, il est important de savoir ce qu'il implique, les exigences et comment tout cela fonctionne.

Définition et exigences de la conformité PCI

La conformité PCI est l'adhésion à un ensemble de normes pour la sécurité et la protection des cartes de crédit définies par PCI SSC. Ces normes ont été créées pour assurer un environnement sécurisé pour toute entreprise qui traite les données du titulaire de carte.

Alors que le PCI SSC a développé les normes, les marques de paiement et les commerçants sont responsables de l'application de la conformité.

Chaque marque de carte de crédit peut avoir ses propres exigences PCI spécifiques que les entreprises doivent suivre. Les propriétaires d'entreprise doivent vérifier avec chaque marque de paiement pour s'assurer qu'ils répondent à toutes les exigences nécessaires.

• Nom alternatif: Norme de sécurité des données de l'industrie des cartes de paiement
• Acronyme: PCI, PCI DSS

Normes de conformité PCI

Il y a 12 normes créées par le PCI DSS qui couvrent les composants du système technique et opérationnel:

• Maintenir un pare-feu pour protéger les données du titulaire de carte
• Utilisez des mots de passe de sécurité de haut niveau au lieu des mots de passe du système par défaut
• Protégez les données des titulaires de carte stockés via des protocoles de sécurité appropriés
• Crypter la transmission des données du titulaire de carte
• Protéger tous les systèmes contre les logiciels malveillants et mettre à jour régulièrement les programmes antivirus
• Développer et maintenir des systèmes et des applications sécurisés
• Restreindre l'accès aux informations du titulaire de la carte
• Identifier et authentifier l'accès à tous les composants système
• Restreindre l'accès physique aux informations du titulaire de la carte
• Suivre et surveiller tout l'accès aux données du réseau et des titulaires de carte
• Tester fréquemment les systèmes et processus de sécurité
• Maintenir une politique de sécurité de l'information pour tout le personnel

Pour protéger les informations sensibles du titulaire de carte, il est de la responsabilité de chaque entreprise qui traite, transmet et stocke les données de la carte client pour garantir que les normes PCI sont respectées. Ces normes peuvent aider les commerçants à se protéger contre les pirates et les voleurs d'information.

Ne pas répondre à ces exigences peut laisser une entreprise plus vulnérable aux dommages financiers et peut entraîner des frais de non-conformité coûteux évalués par les marques de cartes de crédit.

Comment fonctionne la conformité PCI?

Chaque émetteur de cartes a ses propres directives de conformité PCI, il est donc une bonne idée pour les propriétaires d'entreprise de vérifier avec chaque émetteur pour s'assurer qu'ils répondent aux qualifications appropriées. Pour être considérés comme conformes aux PCI, les entreprises doivent passer par un processus en trois étapes qui comprend la portée, l'évaluation et les rapports.

Foulard

Dans la portée, les propriétaires d'entreprise doivent identifier tous les systèmes qui, s'ils sont compromis, pourraient avoir un impact sur les données des titulaires de carte. La portée est généralement un processus annuel qui implique d'évaluer tous les systèmes et façons dont les données du titulaire de carte interagissent avec une entreprise. Ce processus aidera à déterminer le type d'évaluation nécessaire ainsi que l'ampleur et le coût.

Évaluer

La partie d'évaluation de la conformité PCI se compose d'un questionnaire d'auto-évaluation ou d'un audit sur site réalisé par un évaluateur de la sécurité qualifié. Quelle évaluation dont une entreprise aura besoin est déterminée par les niveaux de marchands de la société de carte de crédit. Par exemple, les entreprises qui traitent du nombre spécifié de transactions par carte d'un émetteur chaque année ne peuvent avoir besoin que d'un questionnaire d'auto-évaluation.

Les propriétaires d'entreprise peuvent déterminer leur niveau de marchand via le site Web désigné de chaque société de carte de crédit, tels que ceux-ci pour Visa, MasterCard et American Express.

Déclaration

Une fois que les propriétaires d'entreprise terminent l'auto-évaluation, ils devront le signaler à la société de carte de crédit. Les entreprises qui sont admissibles à une évaluation en personne doivent soumettre directement un rapport sur la conformité à l'émetteur de la carte de paiement. Les évaluations de la conformité PCI ne sont requises que chaque année, mais les propriétaires d'entreprise peuvent avoir besoin de scans de vulnérabilité trimestriels effectués par un fournisseur de scanner approuvé. Quelle que soit l'évaluation terminée, la déclaration des résultats d'audit aux émetteurs de la carte de paiement est la dernière étape de la conformité PCI.

Points clés à retenir

• La conformité PCI est l'ensemble des normes de l'industrie des cartes de crédit que les entreprises acceptent, transmettent et stockent les données des titulaires de carte doivent suivre.
• Il existe 12 normes techniques et opérationnelles que les entreprises doivent respecter pour respecter la conformité PCI.
• Il existe un processus en trois étapes pour devenir conforme à la PCI: portée, évaluation et rapport.
• Le processus d'évaluation consiste soit à prendre un questionnaire d'auto-évaluation ou à obtenir un audit sur place.