Conformité PCI-DSS : Ce que vous devez savoir

Au cours de l'année dernière, de nombreuses organisations se sont efforcées de sécuriser leurs données privées contre les cybermenaces alors qu'elles s'empressaient de s'adapter aux changements de personnel et d'opérations inspirés par la pandémie. La cybercriminalité est de plus en plus répandue, et la sophistication et le volume des cyberattaques augmentent également. Selon un rapport, plus de 300 millions d'attaques par ransomware ont eu lieu en 2020.

Faire face à une catastrophe de cybersécurité est difficile et entraîne beaucoup d'incertitude, surtout lorsqu'il s'agit de dommages financiers et de réputation. Cela est vrai pour toutes les organisations, et en particulier pour les petites et moyennes entreprises (PME). Les PME deviennent de plus en plus des cibles de choix pour les pirates informatiques car ils considèrent que ces organisations ne disposent pas de l'expertise et des ressources suffisantes pour prévenir et répondre aux attaques.

Aujourd'hui plus que jamais, il est essentiel pour les propriétaires d'entreprises de protéger les informations personnelles de leurs clients, surtout à l'approche de la période des fêtes où les particuliers achètent beaucoup plus qu'à tout autre moment de l'année.

C'est là que la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) trouve sa pertinence.

Pourquoi la norme PCI-DSS est-elle importante ?

Les organisations qui acceptent les cartes de paiement et traitent, transmettent ou conservent les données des cartes de paiement doivent se conformer à la norme PCI-DSS. Cette norme est cruciale pour la sécurité des données car pratiquement toutes les entreprises acceptent les cartes de crédit ou de débit comme moyen de paiement.

Les directives de la norme PCI-DSS limitent le risque de perte de données de cartes de crédit et de débit. Elle permet non seulement d'éviter l'usurpation d'identité, mais comprend également les meilleures pratiques pour reconnaître, prévenir et résoudre les incidents liés aux données.

La conformité à la norme PCI-DSS protège également une entreprise en cas de violation de données dans laquelle les données des titulaires de cartes sont exposées. Les PME qui se conforment à la norme PCI-DSS sont reconnues par Visa, Mastercard, Discover, JCB et American Express, qui sont tous des pionniers dans l'établissement de cette norme de sécurité des informations.

Le non-respect de la norme PCI-DSS peut entraîner des pénalités qui empêchent une entreprise de traiter les données des cartes.

PCI-DSS comporte 12 exigences :

1. Maintenir des pare-feu pour les appareils d'entreprise

Les pare-feu empêchent efficacement les entités non autorisées d'accéder aux données sensibles. Ces systèmes anti-piratage constituent généralement la première ligne de protection contre les intrus.

2. Changez les mots de passe fournis par les fournisseurs

Les pirates peuvent facilement craquer les mots de passe génériques dans des produits comme les routeurs et les terminaux de point de vente (POS). Pour se conformer à la norme PCI-DSS, les organisations doivent changer les mots de passe fournis par les fournisseurs et garder la trace des équipements nécessitant un mot de passe.

3. Crypter les transmissions de données des consommateurs

Lorsque vous transférez des données de carte sur un réseau ouvert ou public, vous devez les crypter et savoir où les données seront envoyées et reçues.

4. Utiliser un logiciel antivirus mis à jour

Un logiciel antivirus doit être installé sur tous les systèmes, sur site et hors site. Pour détecter les menaces virales complexes, vous devez les mettre à jour régulièrement.

5. Protéger les données des consommateurs stockées

Toutes les données des titulaires de cartes doivent être cryptées, tronquées, tokenisées ou hachées à l'aide de techniques standard de l'industrie soutenues par un processus robuste de gestion des clés de cryptage.

6. Restreindre l'accès aux données des consommateurs

L'accès aux données des titulaires de cartes doit être refusé à toute personne qui n'en a pas besoin pour des tâches essentielles.

7. Maintenir des systèmes et des applications sécurisés

La sécurité doit être assurée pour les systèmes ou les applications qui stockent, traitent ou transmettent les données des titulaires de cartes.

8. Ne rendez les données des titulaires de cartes accessibles qu'en cas de besoin

Pour un contrôle d'accès efficace, vous devez être en mesure d'accorder et de restreindre l'accès aux systèmes de données des titulaires de cartes.

9. Créez un identifiant unique pour chaque personne ayant accès à un ordinateur professionnel

Assurez-vous que chaque utilisateur autorisé dispose d'un identifiant unique et d'un mot de passe complexe. Ainsi, tout accès aux données des titulaires de cartes peut être retracé jusqu'à un utilisateur reconnu, ce qui garantit la responsabilité.

10. Surveiller l'accès au réseau et aux données des consommateurs

Tous les systèmes doivent avoir des politiques d'audit appropriées en place avec des journaux envoyés à un serveur central sécurisé. Une inspection quotidienne de ces journaux permet de détecter les anomalies et les activités suspectes.

11. Testez régulièrement la sécurité des données

Des tests réguliers permettent de s'assurer que votre environnement évolue pour répondre au paysage des menaces en constante évolution.

12. Maintenir une politique de sécurité des données

Vous devez disposer d'une politique de sécurité des données qui est révisée au moins une fois par an et communiquée à tous les employés, vendeurs et contractants.

Les niveaux de conformité PCI

Il existe quatre niveaux de conformité PCI qui sont déterminés par le nombre de transactions qu'une organisation traite chaque année.

Marchands de niveau 1

Par le biais de tous les canaux, ils traitent plus de six millions de transactions par carte chaque année (carte présente, carte non présente, commerce électronique).

Marchands de niveau 2

Par le biais de tous les canaux, ils traitent environ un à six millions de transactions par carte chaque année (carte présente, carte non présente, commerce électronique).

Commerçants de niveau 3

Ils traitent entre 20 000 et un million de transactions par carte chaque année, tous canaux confondus (carte présente, carte non présente, commerce électronique).

Commerçants de niveau 4

Ils traitent jusqu'à un million de transactions par carte par an sur tous les canaux (carte présente, carte non présente et commerce électronique), avec un maximum de 20 000 transactions par carte par an traitées uniquement par le biais du commerce électronique.

Si vous possédez une entreprise qui accepte, transmet ou stocke des données de titulaires de cartes, vous devez prendre PCI-DSS au sérieux et vous conformer à toutes les réglementations.

Lorsque vous essayez de tout comprendre par vous-même, il est facile d'être dépassé. En travaillant avec un spécialiste comme nous, vous avez l'avantage d'avoir un expert en conformité dans votre coin. Nous effectuons régulièrement des évaluations pour vous afin de vérifier la conformité et de rendre votre parcours de conformité beaucoup plus facile. Contactez-nous pour planifier une consultation sans obligation dès aujourd'hui.