Si votre entreprise est chargée de traiter les paiements par carte de crédit, la conformité à la norme PCI DSS est un élément essentiel de la protection des données des cartes de paiement des clients et de la protection de votre propre entreprise contre les conséquences dévastatrices d’une violation de données.

La triste réalité est que la fraude à la carte de crédit continue d’augmenter et, selon le réseau Consumer Sentinel de la Federal Trade Commission, les signalements de fraude à la carte de crédit ont augmenté de 104 % entre le premier trimestre 2019 et le premier trimestre 2020.

La protection des données des titulaires de cartes n’a jamais été aussi importante et la norme PCI DSS jette les bases du maintien des mesures de sécurité strictes qui sont nécessaires pour protéger ces données sensibles. Notre guide de la conformité à la norme PCI DSS explique comment fonctionne cette norme, à qui elle s’applique et quelles sont les mesures à prendre pour s’y conformer.

Qu’est-ce que la norme PCI DSS ?

La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité conçues pour réduire le risque de fraude par carte de crédit et accroître la sécurité des données des cartes de paiement. Elle a été créée en 2004 par les quatre principales sociétés de cartes de crédit : Visa, Mastercard, Discover et American Express. La norme PCI DSS a évolué au fil des ans et est désormais réglementée par le Conseil des normes de sécurité PCI (PCI SSC). Le PCI SSC définit et gère les normes, tandis que la conformité est assurée par les différentes sociétés de cartes de crédit.

Qui est concerné par la norme PCI DSS ?

La norme PCI DSS s’applique à toute organisation qui stocke, traite ou transmet des données relatives aux titulaires de cartes. Pour déterminer les exigences de conformité qui s’appliquent à chaque entreprise, le PCI SCC a créé un système à quatre niveaux qui classe les entreprises en fonction de la taille des transactions et du risque.

Niveau 1 – Commerçants traitant plus de 6 millions de transactions par an ou dont les données ont été compromises par le passé.

Niveau 2 – Commerçants traitant entre 1 et 6 millions de transactions par an.

Niveau 3 – Commerçants traitant entre 20 000 et 1 million de transactions par an.

Niveau 4 – Commerçants traitant moins de 20 000 transactions par an.

Malgré la création de plusieurs niveaux, les exigences restent les mêmes pour tous les commerçants et fournisseurs de services, quel que soit leur secteur d’activité.

Conformité PCI DSS

Comment les données des titulaires de cartes peuvent-elles être compromises ?

Pour accéder aux données sensibles des titulaires de cartes, les cybercriminels tenteront d’exploiter les failles de sécurité de vos systèmes d’exploitation et de vos appareils. Cela peut se faire par le biais de :

  • Lecteurs de cartes

  • Système de point de vente

  • Base de données du système de paiement

  • Réseaux de stockage

  • Portails en ligne

  • Réseau sans fil

  • Dossiers papier

Quelles sont les 12 exigences de la conformité à la norme PCI DSS ?

La norme PCI DSS contient 12 exigences destinées à protéger les données des titulaires de cartes et à prévenir les violations de données. Ces normes s’appliquent non seulement aux commerçants, mais aussi à toute autre entreprise qui stocke, traite ou transmet des données relatives aux titulaires de cartes.

1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes.

Un pare-feu est un dispositif de sécurité réseau qui surveille le trafic réseau entrant et sortant et décide de bloquer ou non un trafic spécifique en fonction d’un ensemble défini de règles de sécurité. Il constitue votre première ligne de défense contre les menaces de sécurité et doit être régulièrement testé, géré et mis à jour.

2. N’utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe du système et les autres paramètres de sécurité.

Les cybercriminels utilisent souvent des mots de passe et des paramètres par défaut pour compromettre les systèmes. Il est essentiel de modifier immédiatement les informations d’identification par défaut avant d’introduire de nouveaux systèmes dans votre réseau.

3. Protéger les données stockées concernant les titulaires de cartes

La protection des données des titulaires de cartes, qu’elles soient sous forme physique ou numérique, est essentielle pour se conformer à la norme PCI DSS. Les cybercriminels ciblent souvent les données stockées des titulaires de cartes et les utilisent pour effectuer des transactions frauduleuses. Lorsque les données des titulaires de cartes doivent être stockées, vous devez vous assurer que les mesures de sécurité adéquates sont en place pour répondre aux différentes exigences légales, réglementaires et de conformité.

4. Crypter la transmission des données relatives aux titulaires de cartes sur les réseaux ouverts et publics.

Lorsque les données des titulaires de cartes sont transmises sur des réseaux facilement accessibles, des cybercriminels peuvent tenter de les intercepter. Pour garantir la sécurité des données, celles-ci doivent être cryptées à l’aide d’une cryptographie forte et de protocoles de sécurité tels que Secure Shell (SHH), IPSec et Transport Layer Security (TLS).

5. Utiliser et mettre à jour régulièrement un logiciel anti-virus

Un logiciel antivirus doit être installé sur tous les systèmes critiques de l’entreprise afin d’empêcher l’introduction de logiciels malveillants dans votre réseau. Cela permettra de protéger les données des titulaires de cartes et d’améliorer la protection contre les nouveaux virus.

6. Développer et maintenir des systèmes et des applications sécurisés

Les cybercriminels exploitent souvent les vulnérabilités de votre système pour accéder aux données sensibles des titulaires de cartes. Les fournisseurs de réseaux publient régulièrement des correctifs pour remédier aux failles de sécurité ; il est donc essentiel que vous les appliquiez dès qu’ils sont publiés. Les correctifs sont essentiels pour maintenir les systèmes à jour, stables et à l’abri des logiciels malveillants et autres menaces.

7. Restreindre l’accès aux données relatives aux titulaires de cartes en fonction du besoin d’en connaître.

L’accès aux données des titulaires de cartes ne doit être accordé que sur la base du besoin de savoir. Les erreurs commises par les employés restent la cause principale de toutes les violations de données. Il convient donc de mettre en place des contrôles d’accès stricts afin de s’assurer que seuls les membres du personnel qui ont besoin d’effectuer des transactions sont autorisés à y accéder.

8. Identifier et authentifier l’accès aux composants du système

Chaque membre du personnel ayant accès à des informations sensibles doit se voir attribuer un identifiant unique. Cela vous permettra de savoir qui accède à des systèmes spécifiques et à quel moment.

9. Restreindre l’accès physique aux données relatives aux titulaires de cartes

L’accès physique aux systèmes informatiques contenant des données relatives aux titulaires de cartes doit être limité aux membres autorisés du personnel. Cela empêchera toute personne non autorisée d’accéder physiquement aux systèmes ou de faire des copies papier des données sensibles.

10. Suivre et contrôler tous les accès aux ressources du réseau et aux données des titulaires de cartes.

L’accès aux ressources du réseau et aux données des titulaires de cartes doit être étroitement surveillé et toutes les activités doivent être enregistrées. Cette piste d’audit peut aider à détecter les comportements malveillants et à identifier une infraction.

11. Tester régulièrement les systèmes et les processus de sécurité

De nouvelles vulnérabilités apparaissent en permanence, il est donc important de tester régulièrement vos systèmes et vos processus pour garantir la sécurité. La norme PCI DSS recommande également des tests de pénétration réguliers et l’utilisation de systèmes de détection et de prévention des intrusions pour garantir la sécurité des données des titulaires de cartes.

12. Maintenir une politique qui traite de la sécurité de l’information pour l’ensemble du personnel

Une politique de sécurité solide et conforme à la norme PCI DSS doit être mise en œuvre dans l’ensemble de l’entreprise. Elle contribuera à établir une norme pour ce qui est attendu de votre personnel et soulignera la nécessité de la sécurité des données au sein de votre organisation.

Pourquoi la conformité à la norme PCI DSS est-elle si importante ?

La conformité aux exigences PCI DSS est essentielle si vous voulez pouvoir traiter les transactions par carte, protéger les données des titulaires de cartes et réduire le risque d’une violation coûteuse. La norme PCI DSS n’est pas une obligation légale, mais en vertu du GDPR, les données des cartes de crédit sont considérées comme des données personnelles, ce qui signifie que vous êtes légalement tenu de conserver ces données en toute sécurité.

Que se passe-t-il si vous n’êtes pas en conformité avec la norme PCI DSS ?

Le non-respect de la norme PCI DSS peut entraîner de graves incidents de sécurité, tels que la violation ou le vol des données des titulaires de cartes. Une violation de données peut causer des dommages irréparables à votre entreprise et, en plus des amendes écrasantes, votre entreprise peut être confrontée à d’autres conséquences si elle n’est pas en mesure de protéger les données sensibles des titulaires de cartes. Ces conséquences sont notamment les suivantes :

  • Risque accru de compromission des données des cartes de paiement

  • Amendes et sanctions

  • Coûts de compensation

  • Perte de confiance des consommateurs

  • Atteinte à la réputation de la marque

  • Action en justice – coûts, règlements et jugements

  • Pertes d’emploi

  • Cessation de la capacité à traiter les cartes de paiement

  • Faire faillite

Conclusion

Les cybercriminels profitent de l’augmentation des transactions numériques et exploitent les vulnérabilités des systèmes pour accéder aux données sensibles des titulaires de cartes. Pour lutter contre cette activité frauduleuse, il est essentiel que votre organisation soit conforme à la norme PCI DSS et prenne toutes les mesures nécessaires pour sécuriser les transactions de paiement et protéger les données des clients.

Pour vous aider à améliorer la sensibilisation à la cybersécurité au sein de votre organisation et réduire le risque d’une violation coûteuse des données, nous avons créé une ressource indispensable pour mettre en œuvre un changement de comportement et créer une culture de sensibilisation à la cybersécurité.

Dans ce guide de sensibilisation à la cybersécurité pour les nuls, vous apprendrez :

-Comment mettre en œuvre une campagne de sensibilisation aux cyberrisques.
-Comment maintenir l’élan, l’engagement et l’attention du personnel à l’égard des menaces de cybersécurité.
-10 bonnes pratiques en matière de sensibilisation à la cybersécurité.

Cliquez ici pour accéder à votre guide de sensibilisation à la cybersécurité pour les nuls.