Glossaire

Conformité PCI

En quoi consiste la conformité PCI ?

Le conseil des normes de sécurité de l'industrie des cartes de paiement (une organisation fondée par les principales marques de carte de crédit) a créé la norme de sécurité de l’industrie des cartes de paiement PCI DSS en 2006, au moment où Internet est devenu un outil international important pour les entreprises. La conformité PCI est une certification obligatoire délivrée par le PCISS aux entreprises qui hébergent des transactions effectuées par carte de crédit. Lorsqu'Internet s'est développé au début des années 2000, les entreprises ont commencé à ajouter des systèmes de traitement pour les paiements en ligne. Le confort d'utilisation des cartes bancaires pour le paiement d'achats en ligne a suivi la progression du nombre d'entreprises en ligne.

La norme PCI DSS définit les standards de sécurité pour les paiements qui garantissent que tous les vendeurs acceptent, enregistrent, traitent et transmettent en toute sécurité les données du porteur de carte au cours d'une transaction effectuée par carte de crédit. La norme PCI DSS a été créée par les cinq plus grandes entreprises du secteur des cartes bancaires (Visa, MasterCard, Discover, American Express et JCB) en réponse au nombre croissant de vols de données.

La norme PCI DSS a été conçue pour faciliter le contrôle et éviter les violations de données bancaires et des consommateurs. Avec la création de cette réglementation et du conseil des normes de sécurité de l'industrie des cartes de paiement (un organisme indépendant créé pour surveiller et valider la conformité des entreprises), la conformité PCI est devenue une étape essentielle de la régulation de la sécurité dans le secteur des cartes bancaires ainsi que de la protection des consommateurs et des entreprises contre les cyberattaques.

Le conseil est responsable de la définition des normes et des exigences auxquelles les vendeurs doivent répondre, mais une part importante de la politique promulguée par la norme PCI SSC requiert une conformité PCI autoréglementée. La responsabilité de la préservation de la conformité a été transmise aux entreprises de cartes de crédit, qui doivent veiller à l'application des règles auprès des vendeurs et des entreprises.

Tout vendeur disposant d'un identifiant vendeur qui accepte les règlements par carte bancaire doit suivre ces réglementations afin de se protéger de toute violation de données. Les exigences s'étendent de la mise en place de politiques de sécurité des données pour votre entreprise et vos employés à la suppression des données de cartes de votre système de traitement et des terminaux de paiement.

Exigences de la conformité PCI

Construire un réseau sécurisé et le préserver. Les entreprises doivent créer leurs propres politiques de configuration de pare-feu et développer une procédure de test de la configuration conçue pour protéger le porteur de carte.

Protéger les données du porteur de carte. Une exigence réservée aux entreprises qui détiennent les informations relatives au porteur de carte entre des transactions. Les entreprises qui n'enregistrent pas automatiquement les données du porteur de carte évitent les éventuelles failles de sécurité et rencontrent moins de difficultés pour rester conformes.

Disposer d'un programme de gestion des vulnérabilités à jour. Un logiciel antivirus doit être utilisé et régulièrement mis à jour pour protéger contre les nouvelles formes de malware. Si vos données sont hébergées sur des serveurs externalisés, la responsabilité du logiciel antivirus incombe au fournisseur de serveur utilisé.

Mettre en œuvre des mesures de contrôle d'accès strictes. La limitation des effectifs est une étape nécessaire pour réduire les risques de failles de sécurité. Elle peut être mise en œuvre en fournissant un identifiant unique à chaque personne disposant d'un accès à un ordinateur.

Disposer d'une politique de sécurité des informations à jour. Cette politique doit définir les utilisations acceptables de la technologie, les processus de vérification et annuels pour l'analyse des risques, les procédures de sécurité de l'exploitation et d'autres tâches administratives.

Les exigences PCI listées s'appliquent à tous les types de dispositifs matériels et applications Web :

  • Lecteurs de carte
  • Systèmes pour les points de vente
  • Réseaux de magasins et routeurs d'accès sans fil
  • Enregistrement et transmission des données des cartes de paiement
  • Données des cartes de paiement conservées au format papier
  • Applications de paiement en ligne et paniers d'achat

Obtenir la certification de conformité PCI et la conserver peut s'avérer un processus complexe. Il comprend généralement des contrôles de sécurité, l'embauche onéreuse de consultants externes pour installer du matériel et des logiciels coûteux et la signature de contrats dans lesquels vous acceptez les conditions de la banque relatives à la conformité PCI annuelle. Il est également souvent nécessaire d'effectuer des autoévaluation annuelles.

En quoi la conformité PCI est-elle importante ?

Les technologies qui rendent l'entreprise plus efficace au quotidien facilitent aussi l'accès des pirates aux informations importantes. C'est pourquoi une entreprise qui ne traite qu'un nombre restreint de cartes de crédit est soumise aux mêmes obligations de protection des données des cartes que les grandes entreprises qui gèrent des millions de transactions.

Ainsi, avec une mise en œuvre adéquate, les exigences de la norme PCI DSS procurent à toutes les entreprises une protection renforcée contre le piratage informatique et la responsabilité. Elles garantissent également des niveaux de satisfaction des clients et de sécurité élevés.

En savoir plus sur la conformité PCI

Lectures complémentaires

Découvrez comment Barracuda peut vous aider

En utilisant une technologie de protection des données puissante, la solution Barracuda CloudGen Firewall garantit la conformité PCI d'un grand nombre d'utilisateurs et de plusieurs sites avec des ressources et un personnel informatique limités. En outre, comme elle est compatible avec Amazon AWS, Microsoft Azure, Google Cloud Platform et VMware vCloud, les clients sont en mesure d'étendre les politiques de segmentation du réseau et la conformité PCI en toute sécurité aux plus grands fournisseurs de cloud public.

La solution Barracuda Web Application Firewalls protège les réseaux des accès non-autorisés, des fuites de données, des dégradations de sites et d'autres attaques malveillantes. Avec elle, les entreprises qui enregistrent, traitent et/ou transmettent des numéros de carte sont en mesure de protéger leurs applications Web et d'obtenir la conformité PCI DSS en une étape simple.

Des questions sur la conformité PCI ? Contactez-nous sans plus attendre.