Les entreprises qui veulent rester compétitives doivent accepter le paiement par carte. Cependant, la fraude par carte de crédit, le vol d'identité et le vol de données augmentent à des taux alarmants.
En tant que tel, il est crucial que les entreprises protègent les données de leurs clients. Une sécurité laxiste permet aux criminels de voler et d'utiliser les informations financières personnelles des consommateurs issues des transactions et des systèmes de traitement des paiements.
La conformité avec la Norme de Sécurité des Données pour l'Industrie des Cartes de Paiement (PCI DSS) peut aider les entreprises à protéger les données des comptes de paiement des titulaires de cartes. Cependant, bien que la conformité PCI se soit améliorée en 2020, "les menaces cybernétiques auxquelles les entreprises sont désormais confrontées sont plus rusées et plus évasives qu'il y a même deux ans", selon le Rapport de Sécurité des Paiements 2022 de Verizon.
Il est donc essentiel que les entreprises protègent les données des cartes de paiement de leurs clients. Une sécurité déficiente permet aux criminels de voler et d'utiliser les informations financières personnelles des consommateurs issues des transactions de paiement et des systèmes de traitement
Le Payment Card Industry Data Security Standard est un cadre de sécurité de l'information qui vise à aider les commerçants et les prestataires de services à protéger les transactions par carte contre les violations de données.
Toutes les entreprises qui acceptent, transmettent ou gardent les informations privées des titulaires de cartes de paiement doivent respecter les 12 conformités à la norme PCI. Il s'agit de maintenir des environnements sécurisés et de protéger les données des titulaires de cartes de leurs clients, ainsi que leur réputation en tant qu'entreprises fiables.
Toutefois, la conformité PCI DSS n'est pas une loi ou un règlement. Il s'agit plutôt d'un mandat de l'industrie. Néanmoins, les entreprises qui ne respectent pas les normes PCI peuvent se voir infliger des amendes pour négligence et violation des accords.
La norme PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de règles de sécurité conçues pour s'assurer que toutes les entreprises qui acceptent, traitent, conservent ou transmettent des informations de carte de crédit maintiennent un environnement sécurisé. Bien que la norme PCI DSS soit gérée par le PCI Security Standards Council, qui est une organisation indépendante, son adhésion n'est pas imposée par la loi. Cependant, elle est rendue obligatoire par les accords contractuels entre les commerçants, les banques acquéreuses et les principales marques de cartes de crédit comme Visa, MasterCard, American Express, Discover et JCB.
En résumé, la conformité à la norme PCI DSS n'est pas directement une obligation légale, mais elle devient de facto obligatoire pour toute entreprise qui traite des transactions par carte de crédit en raison des exigences imposées par les réseaux de cartes et les banques. Le non-respect de ces normes peut entraîner des amendes, des restrictions ou la révocation de la capacité à traiter des paiements par carte de crédit, ce qui peut avoir un impact significatif sur les activités commerciales.
Savoir plus: Tout ce que vous devez savoir sur la DSP3 et RSP
Les 12 exigences de conformité PCI établies par le PCI SSC sont à la fois opérationnelles et techniques ; toutefois, l'objectif principal de ces exigences est toujours de protéger les données des titulaires de cartes. Il s'agit des 12 exigences définies par le PCI SSC pour PCI DSS 4.0.
Les contrôles de sécurité du réseau, tels que les pare-feu, sont des "points d'application de la politique du réseau qui contrôlent le trafic du réseau entre deux ou plusieurs segments (ou sous-réseaux) logiques ou physiques du réseau sur la base de politiques ou de règles prédéfinies". Historiquement, ces contrôles ont été effectués à l'aide de pare-feu physiques. Aujourd'hui, cependant, les contrôles d'accès au cloud, les dispositifs virtuels, les systèmes de virtualisation/conteneurs et d'autres technologies de mise en réseau définies par logiciel peuvent agir comme des contrôles de sécurité du réseau.
Souvent, des acteurs malveillants à l'intérieur et à l'extérieur d'une organisation utilisent des mots de passe par défaut et d'autres paramètres par défaut du fournisseur pour obtenir un accès non autorisé aux systèmes de l'entreprise. En appliquant des configurations sécurisées aux composants du système, une entreprise réduit les moyens par lesquels un cybercriminel peut compromettre ses systèmes. En outre, une entreprise peut contribuer à réduire la surface d'attaque potentielle en supprimant les logiciels, comptes et fonctions inutiles, en changeant les mots de passe par défaut et en supprimant ou en désactivant tous les services dont elle n'a pas besoin.
Les entreprises ne devraient pas conserver les données des comptes de paiement à moins qu'elles ne soient essentielles à l'activité de l'entreprise. Elles ne doivent pas non plus conserver de données d'authentification sensibles une fois que les transactions ont été autorisées. Si les entreprises stockent les numéros de compte primaire (Primary Account Number, PAN) des clients, elles doivent s'assurer que ces numéros ne peuvent pas être lus. Les entreprises qui conservent des données d'authentification sensibles avant l'autorisation doivent également protéger ces données.
Les entreprises doivent crypter les PAN lorsqu'ils sont transmis sur des réseaux auxquels des personnes malintentionnées peuvent facilement accéder. Ces réseaux comprennent les réseaux ouverts, publics et non fiables. Les auteurs de menaces continuent de cibler les réseaux sans fil qui ne sont pas configurés correctement. Ils ciblent également les lacunes des protocoles d'authentification et le cryptage existant pour obtenir un accès privilégié à tous les systèmes qui stockent, manipulent ou transmettent des données sur les titulaires de cartes. Pour sécuriser les transmissions PAN, les entreprises peuvent crypter la session au cours de laquelle les données sont transmises, crypter les données avant qu'elles ne soient transmises, ou les deux.
Les logiciels malveillants sont des logiciels installés sur un ordinateur à l'insu d'une organisation ou sans son consentement, dans le but de compromettre les systèmes, les données et/ou les applications de l'entreprise. Les logiciels malveillants comprennent les chevaux de Troie, les vers, les virus, les ransomwares, les spywares, les codes malveillants, les rootkits, les keyloggers et les scripts. Les auteurs de logiciels malveillants diffusent leurs logiciels malveillants sur un réseau par le biais de diverses méthodes, notamment des outils de collaboration et des attaques par phishing.
Les cybercriminels peuvent exploiter les failles de sécurité des applications et des systèmes pour accéder aux données de paiement. Toutefois, les organisations peuvent éliminer bon nombre de ces failles en installant les correctifs de sécurité fournis par les vendeurs. Ces correctifs réparent rapidement des éléments spécifiques du code de programmation. Pour empêcher les cybercriminels d'exploiter les vulnérabilités, les organisations doivent s'assurer qu'elles ont installé les correctifs les plus récents sur leurs systèmes et applications critiques.
Les entreprises doivent également appliquer les correctifs aux systèmes qui ne sont pas aussi critiques dans un délai approprié, conformément à une analyse formelle des risques. "Les applications doivent être développées conformément à des pratiques de développement et de codage sécurisées, et les modifications apportées aux systèmes dans l'environnement des données des titulaires de cartes doivent suivre des procédures de contrôle des modifications", selon le PCI Security Standards Council.
Les acteurs de la menace peuvent accéder aux systèmes et aux données critiques parce que les règles et les définitions de contrôle des organisations ne sont pas efficaces. Pour s'assurer que seules les personnes autorisées peuvent accéder aux données critiques, les entreprises doivent mettre en œuvre des systèmes et des processus qui garantissent que les utilisateurs ont des raisons légitimes d'accéder aux informations sensibles. Et elles ne doivent leur donner accès qu'aux informations dont ils ont besoin pour faire leur travail, quel que soit leur niveau d'habilitation de sécurité ou d'autres approbations.
Les entreprises doivent attribuer un identifiant unique à chaque personne ayant accès aux données et aux systèmes sensibles, afin de s'assurer que seules les personnes connues et autorisées travaillent avec les données. Cela permet également aux entreprises de retracer les actions effectuées sur ces données en remontant jusqu'à des utilisateurs spécifiques. "Ces exigences s'appliquent à tous les comptes, y compris les comptes de point de vente, ceux qui ont des capacités administratives, et tous les comptes utilisés pour visualiser ou accéder aux données des comptes de paiement ou aux systèmes contenant ces données", selon le PCI SSC. Toutefois, ces exigences ne s'appliquent pas aux comptes utilisés par les titulaires de cartes.
Les entreprises doivent restreindre l'accès physique aux données des titulaires de cartes ou aux systèmes qui conservent, traitent ou transmettent ces données. Cela permet d'éviter que des personnes non autorisées n'accèdent physiquement aux systèmes ou ne retirent les documents papier contenant ces informations.
Il est essentiel que les entreprises mettent en place des mécanismes d'enregistrement afin de pouvoir suivre les activités des utilisateurs pour détecter les anomalies et les activités suspectes, ainsi que pour permettre une analyse judiciaire efficace. Les enregistrements permettent aux organisations de suivre de près l'activité des utilisateurs et de détecter tout problème. Sans enregistrement de l'activité du système, il est pratiquement impossible d'identifier la cause d'une violation.
Les chercheurs et les cybercriminels découvrent sans cesse de nouvelles failles dans les logiciels. En outre, des vulnérabilités sont introduites lors de la sortie de nouveaux logiciels. Par conséquent, les entreprises doivent fréquemment tester les composants des systèmes, les processus et les logiciels personnalisés pour s'assurer que les contrôles de sécurité appropriés sont en place.
Les entreprises doivent s'assurer que tous leurs employés comprennent la sensibilité des données relatives aux comptes de paiement et ce qu'ils doivent faire pour les protéger. La mise en œuvre d'une politique de sécurité solide donne le ton en matière de sécurité dans l'ensemble de l'entreprise et permet aux employés de savoir quelles sont leurs responsabilités en la matière.
Les commerçants qui travaillent avec des prestataires de services de paiement tiers doivent toujours se conformer à la norme PCI. Toutefois, le recours à des tiers réduira probablement leur exposition au risque et facilitera la validation de la conformité.
Les passerelles de paiement tierces utilisent des méthodes de sécurisation des données, telles que la tokenisation, qui permettent aux entreprises de stocker des tokens sur leurs serveurs locaux au lieu des données réelles. Les tokens remplacent les données sensibles des cartes sans exposer les détails réels des comptes. La tokenisation permet aux entreprises de proposer aux clients des paiements en un clic pour faciliter et accélérer le processus de paiement.
L'utilisation de passerelles de paiement peut alléger le fardeau de la conformité PCI ; toutefois, les entreprises restent responsables de leur propre sécurité et doivent s'engager à tester, renforcer et mettre à jour en permanence leur conformité PCI.
La fuite des données relatives aux cartes bancaires nuit à la confiance des clients et peut entraîner une baisse du chiffre d'affaires. Tout marchand ne respectant pas les normes PCI DSS risque de faire face à de sévères répercussions, telles que des amendes, des poursuites judiciaires et des atteintes à leur réputation.
Le niveau de conformité PCI DSS (Payment Card Industry Data Security Standard) qui s'applique à votre établissement dépend principalement du volume de transactions par carte de crédit que vous traitez sur une base annuelle. Les niveaux sont définis par les marques de cartes de crédit et peuvent varier légèrement entre elles, mais voici une vue d'ensemble générale des niveaux pour la plupart des cas:
Il est important de noter que ces niveaux peuvent varier légèrement selon les marques de cartes et les régions. De plus, votre banque acquéreuse ou le processeur de paiement peut avoir des exigences supplémentaires ou plus strictes. Il est donc crucial de vérifier directement avec eux ainsi qu'avec les normes spécifiques de chaque marque de carte avec laquelle vous travaillez pour déterminer le niveau de conformité PCI DSS exact qui s'applique à votre situation.
Le processus de paiement est conforme au niveau 1 de PCI DSS (qui est la norme la plus élevée établie par l'industrie des cartes de paiement). Bien que la conformité PCI puisse sembler accablante au début, il existe de nombreuses ressources sur lesquelles s'appuyer pour obtenir de l'aide.
Par exemple, les Évaluateurs de Sécurité Qualifiés (QSAs) sont des organisations et des individus de sécurité indépendants qui ont été qualifiés par le Conseil des Normes de Sécurité PCI. Les QSAs peuvent valider l'adhésion d'une entité au PCI DSS et peuvent soutenir les commerçants tout au long du processus.
Pour offrir une assistance en matière de conformité PCI à nos commerçants, Checkout.com s'est associé à SecurityMetrics, une entreprise QSA.
Pour en savoir plus sur la manière dont Checkout.com peut aider à mettre en œuvre la conformité PCI, consultez notre documentation.
.webp){kind=avatar}
Anthea is a Senior Content Marketing Specialist at Checkout.com. And writing about digital payments and the digital economy covers everything from payment methods to regulatory changes.
