MONEI
Open mobile navigation
Technologie des paiements

Qu'est-ce que la conformité PCI ?

Alexis Damen | 22 septembre 2021
Qu'est-ce que la conformité PCI ?

En 2006, les principales marques de cartes bancaires (American Express, Discover, JCB International, MasterCard, et Visa Inc) ont fondé le PCI Security Standards Council. In établit une liste de conditions pour assurer la sécurité des entreprises qui traitent des paiements par carte. Ces règlementations sont connues comme le "Payment Card Industry Data Security Standard" (PCI DSS), et ont pour but de garantir que toute entreprise qui traite, emmagasine ou transmet des données de cartes bancaires le fait dans un environnement sécurisé. Découvrez dans cet article ce que signifie la conformité PCI, comment elle protège à la fois les consommateurs et les entreprises, et comment rendre votre entreprise conforme.

Comprendre la conformité PCI

Dans cet article, nous vous expliquons en détail la conformité PCI. Pour en comprendre toute l'importance, il faut d'abord savoir ce qu'elle signifie et quels sont ses objectifs. 

Que signifie être conforme aux normes PCI ?

Etre conforme aux nomes PCI signifie que vous acceptez de garantir les standards de sécurité imposés par le PCI DSS pour protéger les données des titulaires de cartes bancaires. Il existe tout une liste de prérequis que votre entreprise doit respecter pour être considérée conforme.

Les objectifs de la conformité PCI

Les principaux objectifs sont au nombre de six, et sont souvent appelés les principes de la conformité : 

  1. Construire et maintenir un réseau sécure. Pour construire un réseau sécurisé qui protège les données bancaires, vous devez installer et maintenir un firewall. Vous aurez aussi besoin d'une politique de configuration et de procédures de tests. Utilisez des mots de passe sécures, créés par votre entreprise, au lieu des mots de passe pré-établis par les fournisseurs de logiciels. 
  2. Protéger les données des titulaires de cartes. Ce critère n'est à observer que si vous emmagasinez les données bancaires de vos clients. Dans ce cas, vous devrez mettre en place plusieurs dispositifs de sécurité, physiques et virtuels. 
  3. Mettre en place de fortes mesure de contrôle d'accès. Mieux vaut qu'un minimum de personnes ait accès aux données bancaires. Limiter l'accès au personnel qualifié aide à améliorer les mesures de sécurité. Chaque personne ayant accès doit avoir ses propres codes sécurisés. Vous devrez aussi limiter l'accès physique aux endroits où votre entreprise stocke des données sensibles.
  4. Maintenir une politique de sécurité de l'information. Votre politique de sécurité de l'information doit comprendre les processus d'analyse des risques et les révisions annuelles, les procédures de sécurité opérationnelle et les utilisations acceptables de la technologie. 
  5. Avoir un programme de gestion des vulnérabilités. Les données deviennent vulnérables sans une actualisation correcte des logiciels, en particulier des antivirus. De nouvelles menaces apparaissent chaque jour, il est dès lors indispensable d'actualiser votre système pour maintenir la conformité PCI.
  6. Monitoriser et tester les systèmes régulièrement. Un système de sécurité n'est efficace que si vous le révisez constament. Une monitorisation régulières et des tests fréquents vous permettrons de maintenir en sécurité les données des titulaires de cartes bancaires et de conserver votre conformité. 

Les 12 critères de conformité PCI

Pour être en conformité avec le protocole PCI DSS, votre entreprise doit respecter les 12 points suivants :

  1. Protéger les données bancaires en installant et en maintenant un firewall. Une des principales portes d'entrée des cybercriminels pour le vol des données bancaires sont les données en ligne. C'est pourquoi un firewall est un des principaux critères de la conformité PCI DSS. Il est nécessaire de contrôler routers et firewalls, et de tester le niveau de sécurité des installations à chaque actualisation de logiciel ou changement de hardware. Révisez vos règles de configuration deux fois par an, et évitez l'accès à toute source non identifiée, sauf exceptions nécessaires au traitement de cartes bancaires. Si vos employés ont accès au réseau depuis leur téléphone portable ou leur ordinateur, assurez-vous que leurs dispositifs sont équipés du firewall nécessaire.
  2. Modifier les mots de passe par défaut des fournisseurs. Modifiez tous les mots de passe de votre firewall, routers ou autre hardware ou software dès qu'ils sont installés. Conserver les mots de passe initiaux de vos fournisseurs rend votre entreprise vulnérable aux fuites de données.
  3. Protéger les données bancaires emmagasinées. Toutes les entreprises qui traitent des données bancaires ne les stockent pas, mais si c'est votre cas, vous êtes dans l'obligation de protéger ces données. Evitez de stocker les données bancaires à moins que ce ne soit une obligation légale, règlementaire ou stratégique. Si vous devez stocker des données pour l'une de ces trois raisons, faites le le moins de temps possible et purgez les données au moins une fois par trimestre. Ne stockez jamais de données sensibles, même cryptée, plus longtemps que le temps nécessaire au traitement de la transaction.
  4. Crypter les données envoyées à travers des réseaux ouverts ou publics. Le transfert de données sur les réseaux publics vous rend vulnérable aux attaques criminelles. Cryptez toujours les données avant l'envoi et décryptez-les à la reception pour réduire le risque d'interception criminelle. Vous aurez besoin de protocoles forts de cryptographie et de sécurité pour répondre à ces critères.
  5. Utiliser la dernière version de votre antivirus. Créez un programme de gestion des vulnérabilités en utilisant un antivirus actualisé. Actualisez tous vos logiciels pour éviter les brèches de sécurité. Votre antivirus doit être actif à tout moment, générer des logs auditables et utiliser les derniers dictionnaires pour assurer sa conformité.
  6. Maintenir des applications et systèmes sécurisés. Un autre aspect de votre programme de gestion des risques est la sécurisation des autres logiciels. Installez des patches de sécurité dès qu'ils sont disponibles. Les commerçants en ligne doivent être au courant de ces patches immédiatement, et les mettre en place avec rapidité. Vous devrez également être capable de découvrir et évaluer les nouvelles vulnérabilités. 
  7. Mettre en place et faire connaître les restrictions d'accès aux données bancaires. L'un des principaux aspects de la conformité PCI DSS est la mise en place de forte mesures de contrôle d'accès. Les cybercriminels peuvent tenter d'accéder aux données bancaires, mais également des personnes ou organisations non autorisées peuvent solliciter l'accès à des données dont ils n'ont pas réellement besoin pour effectuer une tâche quelconque. Un système fort de contrôle évalue non seulement qui demande l'accès, mais également les circonstances pour lesquelles se fait la demande. Le système doit alors pouvoir répondre de manière adéquate, ne laissant l'accès que lorsqu'il est réellement nécessaire pour compléter la tâche en question.
  8. Identificateur unique pour chaque personne ayant accès. Chaque personne ayant accès aux données doit avoir un ID unique, afin de pouvoir identifier et tracer l'activité de chacun. Pour autoriser l'accès à distance, vous devrez mettre en place une autorisation de double facteur. Cela ne veut pas dire deux mots de passe, mais plutôt l'utilisation de scan d'empreintes digitales ou confirmation par SMS par exemple, pour utiliser un token comme premier facteur et un mot de passe comme second.
  9. Mettre en place des restrictions d'accès aux données bancaires des titulares de cartes. Vous devrez garantir que les données sont en sécurité au niveau physique. Limitez l'accès des personnes aux endroits où sont stockées les données sensibles. Le personnel de sécurité doit faire respecter des règles strictes d'accès en personne et garder un registre des accès effectués. Vous devrez également détruire physiquement les données le plus rapidement possible. 
  10. Monitoriser et tracer les accès aux données bancaires aux ressources du réseau. Les données bancaires sont présentes sur des réseaux wireless et physiques. Les éventuelles vulnérabilités dans les deux cas peuvent faciliter l'accès aux données par des criminels. Vous devrez monitoriser et tester régulièrement vos réseaux pour limiter les faiblesses et les risques de brèches.
  11. Tester régulièrement les processus et systèmes de sécurité. Un nouveau code introduit dans votre système peut l'exposer à des vulnérabilités. C'est pour cela qu'il est essentiel de réviser les processus et de le tester régulièrement.
  12. Créer et partager une politique de sécurité de l'information avec tout votre personnel. Créer une politique de sécurité solide n'est pas suffisant. Vous devez également la maintenir, la publier et vous assurer que tout votre personnel est informé à tout moment. 

La conformité PCI est-elle obligatoire ?

La complexité de la conformité PCI peut décourager certains responsables d'entreprises. La conformité PCI n'est pas exigée par la loi mais peut, le cas échéant, être considérée comme obligatoire comme précédent judiciaire. En résumé, si vous acceptez des paiements par carte bancaire, votre passerelle de paiement doit être conforme. 

Les avantages de la conformité PCI

La conformité PCI protège les données de votre entreprise et de vos clients. La filtration de données bancaires coûte chaque année des millions d'euros aux entreprises.

En plus des coûts de dommages et intérêts, d'assurance, de mise en place de nouvelles procedures, il existe un coût secondaire pour votre image de marque, ce qui peut affecter vos futures ventes. Si les acheteurs ne vous font pas confiance, ils choisiront une autre boutique. 

Les risques de la non-conformité

Contourner la conformité peut vous coûter beaucoup plus cher que l´investissement nécessaire a sa mise en place. La non-conformité au protocole PCI vous met en risque, vous et vos clients. Vous vous exposez aux fuites de données, aux pertes de revenus et à une possible perte de réputation vis à vis de vos clients.

De plus, si vous êtes victime d'une brèche de sécurité et n'êtes pas conforme PCI, vous serez passible d'une amende d'entre 5 000 et 500 000 euros. Vous pourrez perdre votre compte marchand ou être mis sur la liste noire de Visa/MasterCard, ce qui vous empêcherait d'ouvrir un nouveau compte marchand dans les années à venir. 

Conclusion

L'obtention et la maintenance de la conformité est une tâche ardue mais nécessaire, car elle protège votre entreprise et ses clients. 

Alexis Damen

En tant que Head of Content en MONEI, Alexis Damen adore décortiquer les sujets complexes du secteur des paiements, de la vente en ligne et du commerce en général, afin d'aider les entreprises à triompher (avec MONEI comme partenaire, bien évidemment!).

Améliorez la satisfaction de vos clients et augmentez vos ventes en acceptant davantage de modes de paiement.

Rejoignez MONEI sans vous engager à tester les intégrations et les paiements.

Ouvrez un compte

Aucun engagement. Désabonnez-vous à tout moment.

Améliorez la satisfaction de vos clients et augmentez vos ventes en acceptant davantage de modes de paiement.

Rejoignez MONEI sans vous engager à tester les intégrations et les paiements.

Ouvrez un compte

Aucun engagement. Désabonnez-vous à tout moment.