MetaBlog

Restez informé des sujets de formation à la cyber-sensibilisation et atténuez les risques dans votre organisation.

Guide de la conformité à la norme PCI DSS

Guide de la conformité à la norme PCI DSS

sur l auteur

partager c'est prendre soin

Si votre entreprise est responsable du traitement des paiements par carte de crédit, la conformité à la norme PCI DSS est un élément essentiel de la protection des données des cartes de paiement des clients et de la protection de votre propre entreprise contre les conséquences dévastatrices d'une violation des données.

La triste réalité est que la fraude à la carte de crédit continue d'augmenter, et selon le Consumer Sentinel Network de la Federal Trade Commission, les signalements de fraude à la carte de crédit ont augmenté de 104 % entre le 1er trimestre 2019 et le 1er trimestre 2020.

La protection des données des titulaires de cartes n'a jamais été aussi importante et la norme PCI DSS jette les bases du maintien des mesures de sécurité strictes qui sont nécessaires pour protéger ces données sensibles. Ce guide explique comment fonctionne la norme PCI DSS, à qui elle s'applique et quelles mesures vous devez prendre pour vous mettre en conformité.

Qu'est-ce que la norme PCI DSS ?

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité conçues pour réduire le risque de fraude par carte de crédit et renforcer la sécurité des données des cartes de paiement. Elle a été créée en 2004 par les quatre principales sociétés de cartes de crédit : Visa, Mastercard, Discover et American Express. PCI DSS a évolué au fil des ans et est maintenant réglementé par le PCI Security Standards Council (PCI SSC). Le PCI SSC définit et gère les normes, tandis que la conformité est assurée par les sociétés de cartes de crédit individuelles.

Qui est concerné par la norme PCI DSS ?

La norme PCI DSS s'applique à toute organisation qui stocke, traite ou transmet des données de titulaires de cartes. Pour déterminer les exigences de conformité qui s'appliquent aux entreprises individuelles, le PCI SCC a créé un système à quatre niveaux qui classe les entreprises en fonction de la taille des transactions et du risque.

Niveau 1 - Les commerçants traitant plus de 6 millions de transactions par an, ou ceux dont les données ont été compromises dans le passé.

Niveau 2 - Commerçants traitant entre 1 et 6 millions de transactions par an.

Niveau 3 - Marchands traitant entre 20 000 et 1 million de transactions par an.

Niveau 4 - Commerçants traitant moins de 20 000 transactions par an.

Malgré la création de plusieurs niveaux, les exigences restent les mêmes pour tous les commerçants et fournisseurs de services, dans tous les secteurs.

Conformité PCI DSS

Comment les données des titulaires de cartes peuvent-elles être compromises ?

Pour accéder aux données sensibles des titulaires de cartes, les cybercriminels tenteront d'exploiter les failles de sécurité de vos systèmes et appareils d'exploitation. Cela peut se faire par :

  • Lecteurs de cartes
  • Système de point de vente
  • Base de données du système de paiement
  • Réseaux de stockage
  • Portails en ligne
  • Réseau sans fil
  • Dossiers papier

Quelles sont les 12 exigences de la conformité à la norme PCI DSS ?

La norme PCI DSS contient 12 exigences destinées à protéger les données des titulaires de cartes et à prévenir les violations de données. Ces normes ne s'appliquent pas seulement aux commerçants, mais à toute autre entreprise qui stocke, traite ou transmet des données de titulaires de cartes.

1. Installer et maintenir une configuration de pare-feu afin de protéger les données des titulaires de cartes.

Un pare-feu est un dispositif de sécurité réseau qui surveille le trafic réseau entrant et sortant et décide de bloquer ou non un trafic spécifique en fonction d'un ensemble défini de règles de sécurité. Il s'agit de votre première ligne de défense contre les menaces de sécurité et doit être régulièrement testé, géré et mis à jour.

2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et les autres paramètres de sécurité.

Les cybercriminels utilisent souvent les mots de passe et les paramètres par défaut pour compromettre les systèmes. Il est essentiel de modifier immédiatement les informations d'identification par défaut avant d'introduire de nouveaux systèmes dans votre réseau.

3. Protéger les données stockées des titulaires de cartes

La protection des données des titulaires de cartes, qu'elles soient sous forme physique ou numérique, est essentielle pour se conformer à la norme PCI DSS. Les cybercriminels ciblent souvent les données stockées des titulaires de cartes et les utilisent ensuite pour effectuer des transactions frauduleuses. Lorsque les données des titulaires de cartes doivent être stockées, vous devez vous assurer que les mesures de sécurité appropriées sont en place pour répondre aux différentes exigences légales, réglementaires et de conformité.

4. Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics.

Lorsque les données des titulaires de cartes sont transmises sur des réseaux facilement accessibles, des cybercriminels peuvent tenter de les intercepter. Pour garantir la sécurité des données, celles-ci doivent être chiffrées à l'aide d'une cryptographie forte et de protocoles de sécurité tels que Secure Shell (SHH), IPSec et Transport Layer Security (TLS).

5. Utiliser et mettre à jour régulièrement un logiciel anti-virus

Unlogiciel antivirus doit être installé sur tous les systèmes commerciaux essentiels pour empêcher l'introduction de logiciels malveillants dans votre réseau. Cela permettra de protéger les données des titulaires de cartes et d'assurer une meilleure protection contre les virus nouvellement créés.

6. Développer et maintenir des systèmes et des applications sécurisés

Les cybercriminels exploitent souvent les vulnérabilités de votre système pour accéder aux données sensibles des titulaires de cartes. Les fournisseurs de réseaux publient régulièrement des correctifs pour remédier aux failles de sécurité. Il est donc essentiel de les appliquer dès leur publication. Les correctifs sont essentiels pour maintenir les systèmes à jour, stables et à l'abri des logiciels malveillants et autres menaces.

7. Restreindre l'accès aux données des titulaires de cartes en fonction des besoins professionnels.

L'accès aux données des titulaires de cartes ne doit être accordé que sur la base du besoin d'en connaître. Les erreurs commises par les employés restent la principale cause de toutes les violations de données. Il convient donc de mettre en place des contrôles d'accès stricts afin de s'assurer que seuls les employés qui ont besoin d'effectuer des transactions sont autorisés à y accéder.

8. Identifier et authentifier l'accès aux composants du système

Chaque membre du personnel qui a accès à des informations sensibles doit se voir attribuer un identifiant unique. Cela vous permettra de savoir qui accède à des systèmes spécifiques et à quel moment.

9. Restreindre l'accès physique aux données des titulaires de cartes

L'accès physique aux systèmes informatiques contenant les données des titulaires de cartes doit être limité aux membres autorisés du personnel. Cela empêchera toute personne non autorisée d'accéder physiquement aux systèmes ou de faire des copies papier des données sensibles.

10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes.

L'accès aux ressources du réseau et aux données des titulaires de cartes doit être étroitement surveillé et toute activité doit être enregistrée. Cette piste d'audit peut aider à détecter les comportements malveillants et à identifier une violation.

11. Tester régulièrement les systèmes et processus de sécurité

De nouvelles vulnérabilités apparaissent en permanence. Il est donc important de tester régulièrement vos systèmes et processus pour garantir le maintien de la sécurité. La norme PCI DSS recommande également des tests de pénétration réguliers et l'utilisation de systèmes de détection et de prévention des intrusions pour garantir la sécurité des données des titulaires de cartes.

12. Maintenir une politique qui traite de la sécurité de l'information pour tout le personnel.

Une politique de sécurité solide et conforme à la norme PCI DSS doit être mise en œuvre dans l'ensemble de l'entreprise. Elle contribuera à établir une norme pour ce que l'on attend de votre personnel et soulignera la nécessité de la sécurité des données au sein de votre organisation.

Pourquoi la conformité à la norme PCI DSS est-elle si importante ?

La conformité à la norme PCI DSS est essentielle si vous voulez pouvoir traiter les transactions par carte, protéger les données des titulaires de carte et réduire les risques de violation coûteuse. Bien que PCI DSS ne soit pas une obligation légale, en vertu du GDPR, les données des cartes de crédit sont considérées comme des données personnelles, ce qui signifie que vous êtes légalement tenu de conserver ces données en toute sécurité.

Que se passe-t-il si vous n'êtes pas conforme à la norme PCI DSS ?

La non-conformité à la norme PCI DSS peut entraîner de graves incidents de sécurité, tels que la violation ou le vol des données des titulaires de cartes. Une violation de données peut causer des dommages irréparables à votre entreprise et, en plus des amendes paralysantes, votre entreprise pourrait subir d'autres conséquences de son incapacité à protéger les données sensibles des titulaires de cartes. Il s'agit notamment de :

  • Risque accru de compromission des données des cartes de paiement
  • Amendes et pénalités
  • Coûts de compensation
  • Perte de confiance des consommateurs
  • Atteinte à la réputation de la marque
  • Actions en justice - coûts, règlements et jugements
  • Pertes d'emplois
  • Résiliation de la capacité de traiter les cartes de paiement
  • Faire faillite

Conclusion

Les cybercriminels profitent de l'augmentation des transactions numériques et exploitent les vulnérabilités des systèmes pour accéder aux données sensibles des titulaires de cartes. Pour lutter contre cette activité frauduleuse, il est essentiel que votre organisation soit conforme à la norme PCI DSS et prenne toutes les mesures nécessaires pour sécuriser les transactions de paiement et protéger les données des clients.

Afin d'améliorer la sensibilisation à la cybersécurité au sein de votre organisation et de réduire le risque d'une violation coûteuse des données, nous avons créé un guide gratuit qui fournit 10 conseils pratiques sur la façon d'améliorer la sensibilisation du personnel à la cybersécurité.

Dans ce guide, vous apprendrez :

  • Comment élaborer un solide plan de sensibilisation à la cybersécurité qui réduit le risque de violation des données.
  • Ce qui est nécessaire pour qu'un programme de sensibilisation à la cybersécurité soit efficace.
  • Conseils pratiques pour améliorer la sensibilisation du personnel à la cybersécurité.

Cliquez ici pour accéder à votre guide des 10 façons d'améliorer la sensibilisation du personnel à la cybersécurité.

vous pourriez apprécier de lire ces

Demander une démo

Les informations personnelles que vous nous fournissez dans ce formulaire ne seront jamais utilisées par MetaCompliance (en tant que contrôleur des données) qu'aux fins spécifiquement définies ci-dessous :

  • vous envoyer par courrier électronique le contenu que vous nous avez demandé
  • avec votre consentement, vous envoyer occasionnellement par courrier électronique des informations ciblées sur nos offres de services.
  • honorer en permanence toute demande de retrait que vous soumettez à l'avenir
  • se conformer à l'une de nos obligations légales et/ou réglementaires