Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Qu'est-ce que le PCI ? Comprendre l'importance de la conformité PCI

Découvrez pourquoi les principaux analystes du secteur classent systématiquement Okta et Auth0 parmi les leaders de l’identité

Mis à jour: 24 juillet 2024 Temps de lecture: ~

Sujette

IT Management

Sommaire

 

Cet article a été traduit automatiquement.

 

PCI DSS est l'acronyme de Payment Card Industry Data Security standard (norme de sécurité des données de l'industrie des cartes de paiement). Si votre entreprise traite, stocke ou transmet des informations relatives aux cartes de crédit, la conformité à la norme PCI DSS est essentielle pour vous.

La norme PCI DSS garantit que les informations relatives aux titulaires de cartes sont utilisées, stockées et transmises en toute sécurité. Le respect des règles est une bonne pratique dans l'industrie. Vous prouvez à vos clients que votre entreprise est digne de confiance.

Mais si vous n'êtes pas conforme à la norme PCI, vous risquez également de devoir payer des amendes élevées qui pourraient paralyser votre entreprise.

Qu'est-ce que la conformité PCI ? 

Les lignes directrices lancent le processus de conformité à la norme PCI. Vous devez savoir ce que l'on attend de votre entreprise et élaborer des processus en conséquence. Ensuite, la documentation commence. Vous devez prouver que vous faites tout ce qui est en votre pouvoir pour assurer la sécurité des données des titulaires de cartes. 

La conformité au PCI commence par le PCI IT. Le Conseil de l'industrie des cartes de paiement a été fondé en 2006 par des représentants de :

  • American Express
  • Découvrir
  • JCB International
  • MasterCard
  • Visa

Chaque entreprise partage les responsabilités du conseil de la même manière, et toutes exigent de leurs partenaires commerciaux qu'ils se conforment à la norme PCI DSS.

PCI a créé la norme de sécurité des données (DSS), ainsi que les documents d'appui, tels que :

  • Cadre de spécification
  • kit de ressources
  • Guides de mesure
  • Matériel d'appui

Toute entreprise qui accepte, stocke ou transmet des données de titulaires de cartes doit être conforme à la norme PCI DSS. Même les très petites entreprises, et celles qui travaillent avec des tiers sous-traitants, doivent se mettre en conformité. 

Si vous ne respectez pas ces règles, vous risquez une amende pouvant aller jusqu'à 500 000 dollars par incident tbd. En outre, vous devez informer chaque personne susceptible d'avoir été exposée lors d'une attaque, et ces notifications peuvent être coûteuses.

Les consommateurs peuvent également choisir de vous poursuivre indépendamment. Vous risquez également de vous voir infliger des amendes par le gouvernement.

Êtes-vous conforme à la norme PCI ?

Ne présumez pas de la sécurité des données que vous recueillez sur les titulaires de cartes. En savoir plus sur ce que disent les lignes directrices et passer en revue vos processus pour assurer la conformité.

La norme PCI DSS commence par six objectifs. Chaque entreprise doit

  1. Construire et maintenir un réseau sécurisé.
  2. Protégez les données des titulaires de cartes.
  3. Maintenir un programme de gestion de la vulnérabilité.
  4. Mettre en œuvre des mesures strictes de contrôle des accès.
  5. Surveillez et testez régulièrement les réseaux.
  6. Maintenir une politique de sécurité de l'information.

Comment pouvez-vous atteindre ces objectifs ? Les exigences de la norme PCI DSS définissent les étapes à suivre.

  1. Commencez par les pare-feu. Installez et entretenez un pare-feu, et configurez votre système informatique du mieux possible pour empêcher les intrus d'entrer. 
  2. Renforcer tbd. N'utilisez pas les instructions fournies avec votre terminal et cherchez des moyens de vous assurer que vous suivez le mot de passe bonne pratique.
  3. Protégez-les en les stockant. Si vous stockez des données relatives aux titulaires de cartes, veillez à entourer votre informatique de sécurité.
  4. Protégez en transit. Si vous transférez des données sur des réseaux, veillez à ce qu'elles soient cryptées.
  5. Arrêtez les attaques. Installez des programmes antivirus et tenez-les à jour.
  6. Serrez. Créer des systèmes sécurisés et les maintenir.
  7. Restreindre l'accès électronique. Ne permettez pas à tout le monde de toucher aux données des titulaires de cartes. Veillez à ce que seuls ceux qui ont besoin de connaître les technologies de l'information puissent les voir.
  8. contrôleur. Donnez à chaque personne ayant accès à l'ordinateur de votre entreprise un identifiant unique.
  9. Restreindre l'accès physique. Ne permettez pas à tout le monde de toucher des copies papier des données relatives aux titulaires de cartes.
  10. Test. Établissez un calendrier de tests réguliers et suivez les instructions.
  11. Codifier. Créez un document qui précise votre politique en matière de sécurité des employés et des prestataires.

Explication des niveaux de conformité PCI 

Toute entreprise qui collecte des données sur les titulaires de cartes, quelle que soit sa taille, est tenue de se conformer à la norme PCI DSS. Mais les grandes entreprises doivent prendre davantage de mesures pour prouver qu'elles connaissent et comprennent les règles.

Pensez à Visa. Cette entreprise (le plus grand réseau de paiement au monde) crée quatre niveaux de conformité.

Ces quatre niveaux sont les suivants

  • Niveau 1. Si vous traitez plus de 6 millions de transactions Visa par an, vous faites partie de ce groupe.
  • Niveau 2. Si vous traitez entre 1 et 6 millions de transactions Visa par an, vous faites partie de ce groupe.
  • Niveau 3. Si vous traitez entre 20 000 et 1 million de transactions Visa par an, vous faites partie de ce groupe.
  • Niveau 4. Si vous traitez moins de 20 000 transactions de commerce électronique Visa par an et jusqu'à 1 million de transactions Visa, vous faites partie de ce groupe.

Les règles ne changent pas d'un groupe à l'autre. En revanche, les risques liés à l'augmentation du nombre de transactions sont bien réels. En conséquence, Visa exige davantage de documents de la part des grandes entreprises pour prouver leur conformité.

Si vous êtes une petite entreprise de niveau 4, il se peut que vous n'ayez qu'à remplir un questionnaire. Mais si vous êtes une entreprise de niveau 1, vous devrez remplir deux formulaires comptables.

Ce qu'il faut faire et ne pas faire dans le cadre de la norme PCI DSS

Les règles peuvent sembler simples. Mais il est facile pour les entreprises de ne plus savoir ce qu'elles doivent faire ou ne pas faire avec les données qu'elles collectent. Quelques bonnes pratiques peuvent vous aider.

Pour assurer la conformité à la norme PCI DSS, vous devez

  • Restez informé. Suivez de près le PCI et lisez les nouvelles publications. Au fur et à mesure que le secteur évolue et que de nouveaux risques apparaissent, les règles que vous devez suivre peuvent également changer.
  • Conduite évaluation des risques. Évaluez régulièrement votre environnement. Lorsque vous repérez un sujet de préoccupation, atténuez les risques le plus rapidement possible.
  • Organisez des formations régulières. Le personnel laissé sans surveillance peut créer des solutions de contournement (telles que l'enregistrement des données des titulaires de cartes dans des feuilles de calcul sur le serveur) qui mettent en péril la conformité. Attendez-vous à devoir reformer votre personnel.

Pour la conformité à la norme PCI DSS, vous ne devez pas le faire :

  • Prenez les partenariats à la légère. Ne cherchez pas le meilleur contrat conclu sur le matériel et le logiciel POS. Assurez-vous que toute entreprise avec laquelle vous travaillez est également conforme à la norme PCI DSS et qu'elle prend les risques au sérieux.
  • Fusionner des réseaux. Les données des titulaires de cartes ne doivent pas être accessibles aux pirates qui s'introduisent dans les serveurs ouverts de votre entreprise. Segmentez autant que possible pour préserver la sécurité des données.
  • Oubliez l'informatique. La conformité est une cible en constante évolution. Gardez toujours votre sécurité à l'esprit.

Si vous cherchez un partenaire pour vous aider à assurer la conformité à la norme PCI DSS, pensez à Okta. Téléchargez notre livre blanc pour découvrir comment nous pouvons vous aider dans votre démarche de conformité.

Références

A propos de nous. Conseil des normes de sécurité PCI.

PCI-DSS : Pénalités de sécurité. UC Santa Cruz.

Maintenir la sécurité des paiements. Conseil des normes de sécurité PCI.

Sociétés de cartes de crédit : Les 15 plus grands émetteurs de 2021. CardRates.com.

La conformité PCI vous aide à assurer la sécurité de vos données et de celles de vos clients. Visa.

 

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter