Validation PCI DSS
Cette page fournit des détails sur les exigences de conformité à la norme PCI DSS et décrit les options permettant de valider la conformité de votre entreprise à la norme PCI.
Pourquoi la norme PCI DSS est-elle importante?
La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est une norme de sécurité de l’information pour les organisations qui gèrent des cartes de crédit ou de débit des principaux systèmes de cartes tels que Visa, Mastercard, American Express, Discover et JCB.
La norme PCI DSS s’applique à toutes les entités impliquées dans le traitement des cartes de paiement, y compris les marchands, les entreprises de traitement, les acquéreurs, les émetteurs et les prestataires de services. La norme PCI DSS s’applique également à toutes les autres entités qui stockent, traitent ou transmettent des données relatives aux titulaires de cartes (CHD) et/ou des données d’authentification sensibles (SAD).
PCI DSS est une exigence obligatoire pour toute entreprise qui collecte ou stocke des données de cartes de crédit. Il existe plusieurs niveaux de conformité, qui varient en fonction de la taille et du volume des transactions de l’entreprise (plus l’entreprise est grande, plus les exigences sont strictes). Les normes sont fréquemment mises à jour et révisées. Si vous n’êtes pas conforme à la norme PCI DSS, votre entreprise pourrait être tenue responsable de toute perte résultant d’une fraude, et vous risquez également de devoir payer des amendes considérables et de voir votre entreprise perdre sa réputation.
Mise en conformité par Paysafe
Il est beaucoup plus facile de se mettre en conformité si votre modèle d’affaires ne nécessite pas le stockage de données relatives aux cartes de paiement. Selon Visa, vous pouvez renforcer la sécurité de vos données et réduire le risque de compromission en faisant appel à un prestataire de services conforme à la norme PCI DSS et une application de paiement sécurisée. Paysafe est entièrement conforme au niveau 1 de la norme PCI DSS depuis 2001.
Avec notre API de paiement hébergée, vous pouvez utiliser Paysafe pour traiter et stocker toutes les informations sensibles relatives aux cartes ou aux comptes bancaires des clients.
Comment la Conformité PCI est-elle validée?
La norme PCI DSS comporte des exigences en matière de gestion de la sécurité, de politiques, de procédures, d’architecture de réseau, de conception de logiciels et d’autres mesures de protection essentielles destinées à protéger de manière proactive les données relatives aux comptes des clients. Chaque système de cartes a ses propres programmes qui aident les marchands à se conformer à la norme PCI DSS.
Il existe six catégories d’exigences en matière de sécurité :
| Catégorie | Description |
|---|---|
Créer et maintenir un réseau sécurisé | Installez et maintenez un pare-feu et utilisez des mots de passe uniques et hautement sécurisés, en veillant tout particulièrement à remplacer les mots de passe par défaut. |
Protéger les données des titulaires de cartes | Dans la mesure du possible, ne stockez pas les données des titulaires de cartes. En cas de besoin opérationnel, vous devez protéger ces données. Vous devez également chiffrer toutes les données qui transitent par des réseaux publics, y compris votre panier d’achat et vos fournisseurs d’hébergement sur le Web. |
Maintenir un programme de gestion de la vulnérabilité | Utilisez un antivirus et maintenez-le à jour. Développez et maintenez des systèmes d’exploitation et des applications de paiement sécurisés. Assurez-vous que les applications que vous utilisez sont conformes à la norme PCI DSS. |
Mettre en œuvre des mesures de contrôle d’accès strictes | L’accès aux données électroniques et physiques des titulaires de cartes doit se faire selon le principe du « besoin de savoir ». Veillez à ce que les personnes ayant accès aux informations disposent d’un identifiant et d’un mot de passe uniques. Ne partagez pas vos authentifiants. |
Contrôler et tester régulièrement les réseaux | Effectuez le suivi et le contrôle de tous les accès aux réseaux et aux données des titulaires de cartes. Veillez à ce que les systèmes et processus de sécurité tels que les pare-feu, les correctifs et les antivirus fassent l’objet d’un programme de test régulier. |
Maintenir une politique de sécurité de l’information | Il est essentiel que votre organisation dispose d’une ressource sur la manière dont la sécurité des données est gérée au sein de votre entreprise. Veillez à disposer d’une politique et à ce qu’elle soit diffusée et mise à jour régulièrement. |
La validation comporte deux volets principaux :
- Remplir le questionnaire d’auto-évaluation (SAQ)
- Se soumettre à une analyse trimestrielle des vulnérabilités effectuée par un prestataire de services d’analyse agréé
Le PCI SAQ est une liste de questions utilisées pour évaluer votre conformité aux exigences de la norme PCI DSS. Le PCI SCC a publié quatre versions du questionnaire pour tenir compte des différents environnements des marchands.
| SAQ | Description |
|---|---|
| SAQ A | Traite des exigences applicables aux marchands qui ont externalisé l’ensemble du stockage, du traitement et de la transmission des données relatives aux titulaires de cartes. |
| SAQ AE-P | Applicable aux marchands du commerce électronique qui externalisent l’ensemble du traitement des paiements et dont le site Web qui ne reçoit pas directement les données des titulaires de cartes, mais peut avoir un impact sur la sécurité de la transaction de paiement. |
| SAQ B | Créé pour répondre aux besoins des marchands qui traitent les données des titulaires de cartes uniquement par le biais de machines à imprimer ou de terminaux d’accès à distance autonomes. |
| SAQ B-IP | S’adresse aux marchands qui utilisent uniquement des terminaux autonomes, agréés par PTS et dotés d’une connexion IP. |
| SAQ C | Élaboré selon les exigences applicables aux marchands dont les systèmes d’application de paiement sont connectés à l’Internet. |
| SAQ C-VT | Obligatoire pour les marchands qui saisissent manuellement une seule transaction à la fois à l’aide d’un clavier dans un terminal virtuel basé sur l’Internet. |
| SAQ P2PE | Destiné aux marchands qui utilisent uniquement des terminaux de paiement matériels inclus dans une solution P2PE validée et répertoriée par PCI SSC, et gérés par cette solution. |
| SAQ D | Conçu pour répondre aux besoins de tous les prestataires de services définis par une marque de paiement comme pouvant remplir un SAQ et des marchands qui ne relèvent pas des types décrits ci-dessus. |
Pour plus d’informations sur le questionnaire et pour déterminer celui qui convient à votre entreprise, veuillez nous contacter.
L’analyse de vulnérabilité du réseau est une analyse automatisée et non intrusive qui évalue votre réseau et vos applications Web à partir de l’Internet (sur les IP orientées vers l’extérieur). L’analyse identifiera les vulnérabilités ou les lacunes qui pourraient permettre à un utilisateur non autorisé ou malveillant d’accéder à votre réseau et de compromettre les données des titulaires de cartes.
Souvent, cette analyse permet de découvrir des vulnérabilités que vous devez résoudre afin de maintenir la conformité. Une fois que vous avez résolu ces vulnérabilités, une analyse ciblée peut être effectuée à votre demande pour vérifier que vous avez résolu tous les problèmes de conformité. Vous pouvez également effectuer une analyse ciblée après avoir apporté des modifications à votre réseau afin de vous assurer que ces modifications n’ont pas eu d’incidence sur votre statut de conformité.
Service de nos partenaires de validation PCI
Pour aider votre entreprise à respecter les exigences de conformité PCI DSS et pour faciliter le processus de validation, Paysafe s’est associée à SecurityMetrics, Sysnet et Aperia, des évaluateurs de sécurité qualifiés (QSA) accrédités et des prestataires de services d’analyse approuvés (ASV). Leur solution d’évaluation de la vulnérabilité et de gestion de la conformité offre les avantages suivants :
- Moteur d’analyse qui teste plus de 3 000 vulnérabilités
- Questionnaire d’auto-évaluation en ligne
- Rapport détaillé sur l’état de conformité
- Hiérarchisation des vulnérabilités
- Services de remédiation aux failles de sécurité et mise en conformité accélérée
- Ressources complètes de soutien en ligne
- Service d’assistance multilingue
Pour obtenir de plus amples renseignements sur SecurityMetrics, consultez le site www.securitymetrics.com ou appelez au 801 724-9600.
Pour obtenir de plus amples renseignements sur Aperia, consultez le site www.aperia.com ou appelez au 888 302-0296.
Pour obtenir de plus amples renseignements sur Sysnet, consultez le site https://sysnetgs.com/ ou appelez au +353 (0)1 495-1300.