Guide de la conformité à la norme PCI DSS

Si votre entreprise est responsable du traitement des paiements par carte de crédit, vous avez déjà été confronté à la norme PCI DSS (Payment Card Industry Data Security Standard). En effet, la conformité à la norme PCI DSS (c'est-à-dire la norme de sécurité des données de l'industrie des cartes de paiement) est non seulement un élément essentiel de la protection des données des cartes de paiement de vos clients, mais également un élément essentiel de la protection de votre propre entreprise contre les conséquences dévastatrices qu'une violation des données pourrait engendrer.

La triste réalité est que la fraude à la carte de crédit continue d'augmenter. Selon la Banque de France, en 2021, le butin des cybercriminels s'élevait à de 1,24 milliard d'euros. Un montant qui a augmenté de près de 50% en 5 ans.

La protection des données des titulaires de cartes n'a jamais été aussi importante et la norme PCI DSS jette les bases du maintien de ces mesures de sécurité qui sont nécessaires pour protéger ces données sensibles. Ce guide de la conformité à la norme PCI DSS explique comment cette norme fonctionne, à qui elle s'applique et quelles mesures vous devez prendre pour vous mettre en conformité.

Qu'est-ce que la norme PCI DSS (norme de sécurité des données de l'industrie des cartes de paiement) ?

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité conçues pour réduire le risque de fraude par carte de crédit et renforcer la sécurité des données des cartes de paiement. Elle a été créée en 2004 par les quatre principales sociétés de cartes de crédit : Visa, Mastercard, Discover et American Express. La norme PCI DSS a évolué au fil des ans et est maintenant réglementée par le PCI Security Standards Council (PCI SSC). Le PCI SSC définit et gère les normes, tandis que la conformité est assurée individuellement par les sociétés de cartes de crédit.

Qui est concerné par la norme PCI DSS ?

La norme PCI DSS s'applique à toute organisation qui stocke, traite ou transmet des données de titulaires de cartes. Pour déterminer les exigences de conformité qui s'appliquent aux entreprises individuelles, le PCI SCC a créé un système à quatre niveaux qui classe les entreprises en fonction de la taille des transactions et du risque.

Niveau 1 - Les commerçants traitant plus de 6 millions de transactions par an, ou ceux dont les données ont été compromises dans le passé.

Niveau 2 - Les commerçants traitant entre 1 et 6 millions de transactions par an.

Niveau 3 - Les commerçants traitant entre 20 000 et 1 million de transactions par an.

Niveau 4 - Les commerçants traitant moins de 20 000 transactions par an.

Malgré la création de plusieurs niveaux, les exigences restent les mêmes pour tous les commerçants et les fournisseurs de services, dans tous les secteurs.

Comment les données des titulaires de cartes peuvent-elles être compromises ?

Pour accéder aux données sensibles des titulaires de cartes, les cybercriminels tenteront d'exploiter les failles de sécurité de vos systèmes et appareils d'exploitation. Cela peut se faire par :

• Lecteur de cartes
• Système de point de vente
• Base de données du système de paiement
• Réseau de stockage
• Portail en ligne
• Réseau sans fil
• Dossier papier

Quelles sont les 12 exigences de la conformité à la norme PCI DSS (Payment Card Industry Data Security Standard) ?

La norme PCI DSS contient 12 exigences destinées à protéger les données des titulaires de cartes et à prévenir les violations de données. Ces normes ne s'appliquent pas seulement aux commerçants, mais à toute autre entreprise qui stocke, traite ou transmet des données de titulaires de cartes.

1. Installer et maintenir une configuration de pare-feu afin de protéger les données des titulaires de cartes.

Un pare-feu est un dispositif de sécurité réseau qui surveille le trafic réseau entrant et sortant, et décide de bloquer ou non un trafic spécifique en fonction d'un ensemble défini de règles de sécurité. Il s'agit de votre première ligne de défense contre les menaces de sécurité et doit donc être régulièrement testé, géré et mis à jour.

2. N'utiliser pas les informations d'identification par défaut fournies par les fournisseurs.

Les cybercriminels utilisent souvent les mots de passe et les paramètres par défaut pour compromettre les systèmes. Il est essentiel de modifier immédiatement les informations d'identification par défaut avant d'introduire de nouveaux systèmes dans votre réseau.

3. Protéger les données stockées des titulaires de cartes.

La protection des données des titulaires de cartes, qu'elles soient sous forme physique ou numérique, est essentielle pour se conformer à la norme PCI DSS. Les cybercriminels ciblent souvent les données stockées des titulaires de cartes et les utilisent ensuite pour effectuer des transactions frauduleuses. Lorsque les données des titulaires de cartes doivent être stockées, vous devez vous assurer que les mesures de sécurité appropriées sont en place pour répondre aux différentes exigences légales, réglementaires et de conformité.

4. Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics.

Lorsque les données des titulaires de cartes sont transmises sur des réseaux facilement accessibles, des cybercriminels peuvent tenter de les intercepter. Pour garantir la sécurité des données, celles-ci doivent être chiffrées à l'aide d'une cryptographie forte et de protocoles de sécurité tels que Secure Shell (SHH), IPSec et Transport Layer Security (TLS).

5. Utiliser et régulièrement mettre à jour un logiciel anti-virus.

Un logiciel antivirus doit être installé sur tous les systèmes commerciaux essentiels pour empêcher l'introduction de logiciels malveillants dans votre réseau. Cela permettra de protéger les données des titulaires de cartes et d'assurer une meilleure protection contre les virus nouvellement créés.

6. Développer et maintenir des systèmes et des applications sécurisés.

Les cybercriminels exploitent souvent les vulnérabilités de votre système pour accéder aux données sensibles des titulaires de cartes. Les fournisseurs de réseaux publient régulièrement des correctifs pour remédier aux failles de sécurité. Il est donc très important de les appliquer dès leur publication. Les correctifs sont essentiels pour maintenir les systèmes à jour, stables et à l'abri des logiciels malveillants et autres menaces.

7. Restreindre l'accès aux données des titulaires de cartes en fonction des besoins professionnels.

L'accès aux données des titulaires de cartes ne doit être accordé que sur la base du besoin. Les erreurs commises par les employés restent la principale cause de toutes les violations de données. Il convient donc de mettre en place des contrôles d'accès stricts afin de s'assurer que seuls les employés qui ont besoin d'effectuer des transactions sont autorisés à y accéder.

8. Identifier et authentifier l'accès aux composants du système.

Chaque membre du personnel qui a accès à des informations sensibles doit se voir attribuer un identifiant unique. Cela vous permettra de savoir qui accède à des systèmes spécifiques et à quel moment.

9. Restreindre l'accès physique aux données des titulaires de cartes.

L'accès physique aux systèmes informatiques contenant les données des titulaires de cartes doit être limité aux membres autorisés du personnel. Cela empêchera toute personne non autorisée d'accéder physiquement aux systèmes ou de faire des copies papier des données sensibles.

10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes.

L'accès aux ressources du réseau et aux données des titulaires de cartes doit être étroitement surveillé et toute activité doit être enregistrée. Cette piste d'audit peut aider à détecter les comportements malveillants et à identifier une violation.

11. Tester régulièrement les systèmes et processus de sécurité.

De nouvelles vulnérabilités apparaissent en permanence. Il est donc important de tester régulièrement vos systèmes et processus pour garantir le maintien de la sécurité. La norme PCI DSS recommande également des tests de pénétration réguliers et l'utilisation de systèmes de détection et de prévention des intrusions pour garantir la sécurité des données des titulaires de cartes.

12. Maintenir une politique qui traite de la sécurité de l'information pour tout le personnel.

Une politique de sécurité solide et conforme à la norme PCI DSS doit être mise en œuvre dans l'ensemble de l'entreprise. Elle contribuera à établir une norme sur ce que l'on attend du personnel et soulignera la nécessité de la sécurité des données au sein de votre organisation.

PCI compliance : pourquoi la conformité à la norme PCI DSS est-elle si importante ?

La conformité aux exigences PCI DSS (PCI compliance) est essentielle si vous voulez pouvoir traiter les transactions par carte, protéger les données des titulaires de carte et réduire les risques de violation coûteuse. Alors que la conformité PCI DSS n'est pas une obligation légale, en vertu du RGPD (règlement général de protection des données), les données des cartes de crédit sont considérées comme des données personnelles, ce qui signifie que vous êtes légalement tenu de conserver ces données en toute sécurité.

PCI compliance : que se passe-t-il si vous n'êtes pas conforme à la norme PCI DSS ?

La non-conformité à la norme PCI DSS peut entraîner de graves incidents de sécurité, tels que la violation ou le vol des données des titulaires de cartes. Une violation de données peut causer des dommages irréparables à votre entreprise et, en plus des amendes paralysantes, votre entreprise pourrait subir d'autres conséquences de son incapacité à protéger les données sensibles des titulaires de cartes. Il s'agit notamment de :

• Risque accru de compromission des données des cartes de paiement
• Amendes et pénalités
• Coûts de compensation
• Perte de confiance des consommateurs
• Atteinte à la réputation de la marque
• Actions en justice - coûts, règlements et jugements
• Pertes d'emplois
• Résiliation de la capacité à accepter les cartes de paiement
• Faillite ou fin d'activité

Téléchargez notre guide de sensibilisation à la cybersécurité pour les nuls

Les cybercriminels profitent de l'augmentation des transactions numériques et exploitent les vulnérabilités des systèmes pour accéder aux données sensibles des titulaires de cartes. Pour lutter contre cette activité frauduleuse, il est essentiel que votre organisation soit conforme à la norme PCI DSS et prenne toutes les mesures nécessaires pour sécuriser les transactions de paiement et protéger les données des clients.

Pour vous aider à améliorer la sensibilisation à la cybersécurité au sein de votre organisation et réduire le risque d'une violation coûteuse des données, nous avons créé "La cybersécurité pour les nuls", une ressource indispensable pour mettre en œuvre un changement de comportement et créer une culture de sensibilisation à la cybersécurité.

Cliquez ici pour accéder à votre guide de sensibilisation à la cybersécurité pour les nuls.