Qu’est-ce que la conformité PCI ?

Qu’est-ce que la conformité PCI ?

La conformité de l’industrie des cartes de paiement (PCI) est mandatée par les sociétés de cartes de crédit pour aider à assurer la sécurité des transactions par carte de crédit dans l’industrie des paiements. La conformité de l’industrie des cartes de paiement fait référence aux normes techniques et opérationnelles que les entreprises suivent pour sécuriser et protéger les données de carte de crédit fournies par les titulaires de carte et transmises par le biais de transactions de traitement de carte.

Les normes PCI de conformité sont élaborées et gérées par le Conseil des normes de sécurité PCI.

Comprendre la conformité PCI

La Federal Trade Commission (FTC) est responsable de la surveillance du traitement des cartes de crédit car il relève du besoin de protection et de surveillance des consommateurs. Bien qu’il n’y ait pas nécessairement de mandat réglementaire pour la conformité PCI, elle est considérée comme obligatoire par la jurisprudence.

En général, la conformité PCI est un élément central du protocole de sécurité de toute société de carte de crédit. Il est généralement mandaté par les sociétés de cartes de crédit et discuté dans les accords de réseau de cartes de crédit.

Le Conseil des normes PCI est responsable du développement des normes de conformité PCI. Ces normes s’appliquent au traitement des commerçants et ont également été élargies pour définir les exigences relatives aux transactions Internet cryptées. D’autres entités clés qui sont également associées à l’établissement de normes dans l’industrie des cartes de crédit comprennent The Card Association Network et le Chambre de compensation nationale automatisée (NACHA).

Exigences pour la conformité PCI

Les normes de conformité PCI exigent que les commerçants et autres entreprises traitent les informations de carte de crédit de manière sécurisée, ce qui contribue à réduire la probabilité que les titulaires de carte se fassent voler des informations sensibles sur les comptes financiers. Si les commerçants ne traitent pas les informations de carte de crédit conformément aux normes PCI, les informations de carte pourraient être piratées et utilisées pour une multitude d’actions frauduleuses. De plus, des informations sensibles sur le titulaire de la carte pourraient être utilisées dans le cadre d’une usurpation d’identité.

Être conforme à la norme PCI signifie adhérer systématiquement à un ensemble de directives établies par le Conseil des normes PCI. La conformité PCI est régie par le PCI Standards Council, une organisation créée en 2006 dans le but de gérer la sécurité des cartes de crédit.

Les exigences élaborées par le Conseil sont connues sous le nom de Normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS). PCI DSS a 12 exigences clés, 78 exigences de base et plus de 400 procédures de test.

Comment devenir conforme à la norme PCI

Afin de se conformer aux directives PCI, plusieurs étapes doivent être entreprises qui sont considérées comme les meilleures pratiques de sécurité. Les 12 étapes principales comprennent les suivantes :

1. Mettre en place des pare-feux pour protéger les données
2. Protection par mot de passe appropriée (telle que 2FA)
3. Protégez les données des titulaires de carte
4. Cryptage des données de titulaire de carte transmises
5. Utiliser un logiciel antivirus et antimalware
6. Mettre à jour les logiciels et entretenir régulièrement les systèmes de sécurité
7. Restreindre l’accès aux données du titulaire de la carte
8. ID uniques attribués aux personnes ayant accès aux données
9. Restreindre l’accès physique au stockage des données
10. Créer et surveiller les journaux d’accès
11. Testez régulièrement les systèmes de sécurité
12. Créer une politique qui est documentée et qui peut être suivie

La version la plus récente de PCI DSS a été publiée en mai 2018 et est appelée version 3.2.1. Dans l’ensemble, les six objectifs et les 12 exigences décrivent une série d’étapes que les processeurs de cartes de crédit doivent suivre en permanence. Les entreprises sont d’abord invitées à évaluer leurs réseaux et systèmes, qui impliquent l’infrastructure des technologies de l’information, les processus commerciaux et les procédures de traitement des cartes de crédit.

Avantages de la conformité PCI

La maintenance et l’évaluation constantes de toute faille de sécurité sont également très importantes pour éviter le vol d’informations sensibles sur les titulaires de carte, telles que les numéros de sécurité sociale et de permis de conduire, dans la mesure du possible.

Les entreprises sont tenues de fournir régulièrement des rapports de conformité dans le cadre de leurs accords de traitement de cartes. La surveillance, les évaluations et les audits des normes de sécurité des données de l’industrie des cartes de paiement constituent tous une partie importante du service de sécurité d’une entreprise.

Toutes les entreprises qui traitent les informations de carte de crédit sont tenues de maintenir la conformité PCI conformément à leurs accords de traitement de carte. La conformité PCI est la norme de l’industrie et les entreprises sans elle peuvent entraîner des amendes substantielles pour violation d’accord et négligence. Sans conformité PCI, les entreprises sont également très vulnérables au vol, à la fraude et aux violations de données.

Les avantages de la conformité incluent la réduction du risque de violation de données, la protection des données des titulaires de carte et ainsi la prévention des risques d’usurpation d’identité. C’est une bonne pratique pour les entreprises d’être en conformité car cela réduit les amendes liées aux violations de données, contribue à la réputation de la marque d’une entreprise et garde les clients heureux et confiants qu’ils font affaire avec une entreprise responsable, ce qui conduit à la fidélité à la marque.

Au cours du premier semestre 2020, 36 milliards d’enregistrements ont été exposés par le biais de violations de données. Quatre-vingt-six pour cent des violations étaient motivées par des raisons financières et, avec le marché mondial de la sécurité de l’information qui devrait atteindre 170 milliards de dollars en 2020, le risque financier est encore plus élevé. Protéger les données des titulaires de carte n’est pas seulement bon pour les affaires, c’est aussi la bonne chose à faire, en veillant à ce que les personnes ne soient pas lésées ou ne subissent aucune perte financière.

Inconvénients d’être non conforme à la norme PCI

La conformité PCI est obligatoire si vous ou votre entreprise traitez des informations de transaction par carte de crédit. En plus du risque accru de subir une violation de données, vous pouvez également être passible d’amendes, de pénalités et perdre la capacité de traiter les données de carte de crédit à l’avenir. Les banques et les sociétés de paiement peuvent également choisir de ne pas faire affaire avec vous, sauf si vous êtes conforme à la norme PCI. Cela peut entraîner des pertes de ventes et une image de marque ternie.

Les amendes pour non-conformité commencent à 5 000 $, mais peuvent coûter jusqu’à 500 000 $ par incident ou violation de sécurité des données PCI. En outre, il est nécessaire que toutes les personnes dont les informations sont soupçonnées d’avoir été compromises soient notifiées par écrit afin d’être à l’affût de frais frauduleux.

Exemples de conformité PCI et de violation de données

La conformité PCI aide à éviter les activités frauduleuses et atténue les violations de données. Verizon fournit une évaluation annuelle de la sécurité des paiements dans son « Verizon Payment Security Report ». Le rapport 2019 consacre une section entière à la norme PCI DSS, intitulée « L’état de la conformité à la norme PCI DSS, 2019 : et 12 exigences clés ». Voici quelques points saillants de la norme PCI DSS du « Rapport sur la sécurité des paiements Verizon 2019 » :

• 36,7 % des organisations maintenaient activement des programmes PCI DSS en 2018.
• La région Asie-Pacifique a surperformé les Amériques, l’Europe, le Moyen-Orient et l’Afrique.
• Du point de vue de l’industrie, l’hôtellerie est quelque peu en retard par rapport aux autres secteurs.

L’essentiel

La conformité PCI fait référence aux normes techniques et opérationnelles définies par le Conseil des normes de sécurité PCI que les organisations doivent mettre en œuvre et maintenir. L’objectif d’être conforme à la norme PCI est de protéger les données des titulaires de carte et s’applique à toute organisation qui accepte, transmet ou stocke ces données. Être conforme à la norme PCI est une bonne pratique commerciale en ce sens qu’elle place la sécurité des données des consommateurs au premier plan et profite également à une organisation grâce à une réputation de marque positive.