Il faudrait près de dix ans pour que le monde reconnaisse que, alors qu’Internet évoluait à la fin des années 90, la fraude aux paiements en ligne évoluait également.

Par conséquent, les leaders de l’industrie des cartes de crédit ont développé un ensemble de normes de sécurité des paiements. En décembre 2004, American Express, Discover Financial Services, JCB International, Mastercard et Visa se sont associés pour introduire la norme PCI DSS 1.0 .

Avance rapide jusqu’à aujourd’hui, et les fraudeurs de cartes et les pirates de réseau doivent faire face à la version 4.0 avancée de la norme PCI DSS.

Ne laissez pas votre entreprise devenir complaisante, cependant. Même les systèmes de point de vente leaders de l’industrie sont toujours exposés à une violation de la sécurité des données de carte, il est donc préférable de prendre des précautions et de se conformer à la norme PCI. Fin 2020, Forbes a fait état de deux géants de la fabrication de terminaux de paiement qui ont involontairement facilité le piratage des données de carte de crédit des clients.

Aujourd’hui, un organisme indépendant, créé par les membres fondateurs de PCI DSS (à savoir le Conseil des normes de sécurité PCI (PCI SSC)), gère et administre la norme PCI DSS. Dans cette lecture rapide, nous explorerons la définition de PCI, les avantages commerciaux, les implications en cas de non-respect et comment rester conforme peut renforcer la confiance des clients.

Qu’est-ce que la conformité PCI DSS ?

La norme de sécurité des données de l’industrie des cartes de paiement, ou PCI DSS, est une norme de sécurité des données qui protège les transactions effectuées en espèces ou les cartes de débit et de crédit de marque des principaux fournisseurs.

Comment PCI DSS protège-t-il mes clients ?

Il protège les acheteurs contre l’utilisation abusive de leurs informations de paiement et personnelles. Se conformer à la norme PCI DSS est également susceptible de renforcer la confiance dans les relations entre vous et vos clients, car ils sont conscients que votre entreprise se conforme à une norme de sécurité de l’information reconnue à l’échelle mondiale. Ce faisant, leurs données sont moins susceptibles d’être violées.

Les violations de données risquent de lourdes sanctions en vertu du règlement : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, selon le montant le plus élevé. Gouvernance informatique

Comment PCI DSS protège-t-il mon entreprise ?

PCI DSS peut aider votre organisation à bien des égards. Il garantit que vous acceptez, stockez et traitez les données de paiement de la manière la plus sécurisée possible. Il peut également vous aider, vous ou les organisations de paiement avec lesquelles vous travaillez, à vous préparer et à vous défendre contre les attaques réseau des pirates cherchant à récupérer les données des cartes.

En plus de la protection, cela peut également renforcer la réputation de votre marque. Donner la priorité à la sécurité des clients est une caractéristique attrayante dans toute entreprise, après tout.

Pourquoi PCI DSS et la sécurité sont-ils importants ?

Au fil des années, PCI DSS continue de développer ses directives pour mieux protéger les commerçants et les consommateurs contre le vol de données de carte de crédit.

La conformité à la norme PCI DSS doit être une priorité absolue pour vous en tant que commerçant, car la sécurisation du processus de paiement des clients peut conduire à une réussite dans les ventes des clients.

La conformité PCI est-elle requise par la loi ?

Non, la conformité PCI DSS est une norme réglementaire, pas une loi.

Cependant, les ramifications juridiques et les sanctions financières en cas de non-respect de la norme, notamment en cas de violation de données, peuvent être lourdes.

Le rapport sur la gouvernance informatique selon lequel, en vertu de la législation de l’UE sur le RGPD, les entreprises non conformes font face à « jusqu’à 20 millions d’euros ou 4 % des [your business’] chiffre d’affaires global annuel – selon le plus élevé des deux » en cas de vol ou de violation du réseau.

Que se passe-t-il si mon entreprise n’est pas conforme à la norme PCI ? Mon entreprise doit-elle être conforme à la norme PCI ?

Si une entreprise n’est pas conforme à la norme PCI DSS, elle est responsable de toute fraude qui a lieu dans son organisation. Les commerçants pourraient finir par payer des milliers d’amendes s’il y a une brèche dans la sécurité et risquer de fidéliser les consommateurs.

Les passifs supplémentaires peuvent inclure :

Amendes jusqu’à 100 000,00 $ par mois jusqu’à ce que le commerçant se conforme Toutes les pertes dues à la fraude provenant des comptes compromisFrais de surveillance du crédit, poursuites judiciaires, etc.

PCI DSS fournit des directives détaillées aux commerçants pour rendre le processus de conformité gérable et réussi. Initialement, les commerçants doivent remplir un questionnaire d’auto-évaluation PCI annuel.

Votre niveau de responsabilité dépendra du nombre brut de transactions Visa, Mastercard ou Discover traitées dans votre compte marchand.

Les questions pour l’évaluation peuvent inclure : Que faites-vous avec les reçus ? Conservez-vous les données de la carte de quelque manière que ce soit – et si oui, sont-elles écrites sur papier ou stockées électroniquement ? Et d’autres pour établir le niveau approprié pour le commerçant. En règle générale, un conseiller en traitement des paiements est affecté au commerçant pour répondre à toute question ou préoccupation.

Quelles sont les exigences PCI ?

Le respect des exigences PCI DSS aide à inspirer confiance aux clients lorsqu'ils paient pour vos services.

Il existe 12 exigences PCI DSS officielles. Nous les avons condensés en six points, chacun listé ci-dessous.

Exigences de sécurité PCI condensées

1. Construisez et maintenez un réseau sécurisé en utilisant un pare-feu et des mots de passe réfléchis

2. Protégez les données des titulaires de carte dans un endroit sûr, cryptez les données sur les réseaux ouverts

3. Intégrez un logiciel antivirus et développez des systèmes sécurisés pour vous protéger contre les vulnérabilités

4. Autoriser uniquement des parties de confiance limitées à accéder aux données des titulaires de carte, attribuer des identifiants uniques aux personnes ayant accès et restreindre l’accès physique aux données

5. Mettre en œuvre des tests système et réseau réguliers et modifier fréquemment les mots de passe

6. Établir une politique de sécurité pour les employés et les partenaires

Quel niveau PCI s’applique à mon entreprise ?

(Crédit image : Kiyoshi Hijiki via .)

Le type de conformité PCI avec lequel vous vous engagez dépend uniquement du nombre de transactions que vous traitez.

Vous saurez alors si vous devez vous conformer aux niveaux 1, 2, 3 ou 4 de la conformité PCI DSS. Cela, que vous soyez un détaillant en ligne ou que vous ayez une vitrine physique. Nous examinons de plus près les différents niveaux ci-dessous.

Niveaux de conformité PCI Conformité PCI de niveau 1 Conformité PCI de niveau 2 Conformité PCI de niveau 3 Conformité PCI de niveau 4 Applicable si vous traitez : Plus de 6 millions de transactions par carte par an 1 à 6 millions de transactions par an 20 000 à 1 million de transactions par an Moins de 20 000 transactions par an Action à prendre L’auditeur externe doit mener ses activités évaluationRemplir un questionnaire d’auto-évaluation (SAQ)Remplir un questionnaire d’auto-évaluation (SAQ)Remplir un questionnaire d’auto-évaluation (SAQ)

Si votre entreprise effectue plus de six millions de transactions par an, un auditeur externe doit procéder à une évaluation de l’entreprise. Il s’agit de soutenir l’entreprise, d’offrir des conseils et de voir dans quelle mesure elle respecte les normes de conformité PCI. L’auditeur soumet un rapport de conformité (RDC).

Les mythes PCI DSS démystifiés

Le Conseil des normes de sécurité PCI a dressé une liste fantastique de mythes sur PCI DSS qui ont tendance à dissuader les entreprises. Un populaire est qu’il est trop difficile à configurer. Au-delà de cela, nous avons référencé d’autres mythes ci-dessous, afin que vous puissiez annuler les potins de l’industrie et devenir conforme à la norme PCI sans aucun doute.

Glissez simplement à travers le jeu de diapositives, en utilisant les flèches de chaque côté de la diapositive.

Image 1 sur 17

(Crédit image: Future)Image 2 sur 17

(Crédit image : Avenir)

Si vos clients utilisent des espèces ou une carte de crédit ou de débit pour payer vos services, vous devez être conforme à la norme PCI DSS.

Image 3 sur 17

(Crédit image : Avenir)

Faux! PCI s’applique à toutes les entreprises qui exigent un paiement.

Image 4 sur 17

(Crédit image : Avenir)

Pas vrai. Vous devez respecter tous les critères.

Image 5 sur 17

(Crédit image : Avenir)

Vous devez protéger toutes les données liées au paiement des clients.

Image 6 sur 17

(Crédit image : Avenir)

C’est faux, vous devez être conforme quelle que soit la taille de l’entreprise.

Image 7 sur 17

(Crédit image : Avenir)

Non, complètement faux…

Image 8 sur 17

(Crédit image : Avenir)

Très mauvaise idée. Votre entreprise sera passible de sanctions supplémentaires si vous attendez cela ou tout autre signal que vous devez vous conformer.

Image 9 sur 17

Faux.

(Crédit image : Avenir)

Faux.

Image 10 sur 17

(Crédit image : Avenir)

Extrêmement inexact et potentiellement illégal si vous stockez des données client sans consentement. En tant que commerçant, vous ne devez pas stocker :

Image 11 sur 17

(Crédit image : Avenir)

Pas vrai.

Image 12 sur 17

(Crédit image : Avenir)

Il est de votre responsabilité de vous assurer que votre entreprise est conforme à la norme PCI DSS, ne le laissez pas à une autre entreprise ou au hasard.

Image 13 sur 17

(Crédit image : Avenir)

La conformité PCI affecte tous les domaines de l’entreprise, car les pénalités financières que vous pourriez recevoir si vous ne vous conformez pas signifieront que tous les domaines de votre entreprise perdront de l’argent.

Image 14 sur 17

(Crédit image : Avenir)

Dans une certaine mesure, oui, mais ce n’est pas à l’épreuve des pirates.

Image 15 sur 17

Faux.

(Crédit image : Avenir)

Faux.

Image 16 sur 17

(Crédit image : Avenir)

Vous aurez peut-être besoin d’un auditeur externe, mais cela dépend du nombre de transactions que vous traitez par an. Donc, peut-être en fonction de votre entreprise.

Image 17 sur 17

(Crédit image : Avenir)

Voir mythe #9.

Quelle est la relation entre la conformité PCI DSS et EMV ?

(Crédit image : Pexels)

PCI DSS est un ensemble de normes de sécurité à mettre en œuvre parallèlement à la technologie EMV. Pendant ce temps, EMV est incorporé pour empêcher la fraude. Lisez notre guide complet sur Qu’est-ce qu’EMV ?

Dernières pensées

Bien que la conformité PCI permette aux commerçants de prendre les bonnes mesures pour protéger leur entreprise et leurs clients contre la fraude, elle n’est pas à l’épreuve du piratage. Les propriétaires d’entreprise doivent veiller à rechercher d’autres couches de sécurité qui protègent les données des clients.

Si l’on examine les années passées, les domaines les plus problématiques des commerçants en matière d’exigences incluent les processus et les tests des systèmes de sécurité, les politiques et la gestion de la sécurité et la maintenance des systèmes sécurisés.

En fin de compte, les propriétaires d’entreprise doivent prendre des mesures et doivent penser à l’avenir. En tant que société, notre empreinte numérique n’en est qu’à ses balbutiements et à mesure que la technologie évolue, la sécurité doit en faire de même pour protéger les commerçants et les consommateurs. Les solutions peuvent faire toute la différence lorsque des processus et des stratégies intelligents sont mis en œuvre conjointement.