Les enjeux de la norme PCI DSS

par | Oct 25, 2021 | débutants | 0 commentaires

PCI DSS

La norme PCI DSS (Payment Card Industry Data Security Standards) est apparue à la suite de la collaboration entre les grands acteurs des systèmes de paiement dans le monde en 2006. Ce sont ainsi Visa, Mastercard, JCB, Discover et American Express qui ont créé un Conseil supervisant l’ensemble des normes sécuritaires liées au traitement des données de carte bancaire.

PCI DSS schéma

Source : PCI DSS

Les PCI DSS découlent donc d’un consensus des plus grands émetteurs de cartes dans le monde, ayant ressenti la nécessité de contrer la fraude en ligne. Rappelons que ces standards de sécurité ont été appliqués courant 2006, c’est-à-dire à une époque où le commerce en ligne manquait encore de régulations. Dans la lignée des normes sur la sécurité des transactions dont nous parlions la semaine dernière, les standards PCI DSS viennent donc renforcer les transactions sur Internet.

Concrètement, chaque entreprise dont l’activité est le traitement des données des porteurs de carte bancaires devra se conformer à ces standards. Le fait qu’une entreprise soit « tamponnée » PCI DSS assure à ses clients qu’elle a mis en place des moyens de protection des données de leurs cartes, surtout pour les transactions en ligne.

Malheureusement, les jeunes Fintechs sont les plus touchées par la fraude, leurs détracteurs étant bien conscients du manque de moyens et de sécurité de ces petits acteurs comparés aux mastodontes comme VISA et Mastercard. Les standards PCI DSS sont donc venus les accompagner dans la quête d’une sécurité renforcée sur les transactions de leurs clients.

C’est finalement le rôle principal de cette norme : aider les marchands et les institutions financières à comprendre et à implémenter des standards de sécurité adaptés. Avec l’Open Banking et l’apparition constante de nouveaux principes innovants dans le monde du paiement, les PCI DSS font office de guide à tout acteur voulant sécuriser le traitement des transactions via la carte bancaire de leurs clients.

 

A noter : l’obligation de conformité à PCI DSS est définie par les marques de cartes (Visa, MasterCard, etc.), et elle s’impose différemment en fonction de l’acteur, du type d’activité, de la typologie du paiement ou encore du volume de transaction.  ​

 

12 / 12 points à respecter pour être conforme PCI DSS

Afin de clarifier le processus de conformité PCI DSS, le Conseil évoqué plus haut a défini 12 prérequis. Une entreprise souhaitant obtenir cette conformité doit donc respecter et appliquer ces prérequis.

PCI DSS 12 REQUIREMENTS

Source : OPUS Interactive

La première étape citée par le Conseil concerne la construction et le maintien d’un réseau sécurisé. Deux prérequis y sont liés :

  • Installer et entretenir un pare-feu paramétré pour protéger les données des porteurs de carte.
  • Ne pas utiliser les valeurs par défauts concernant les mots de passe système et tout autre paramètre de sécurité.

Ensuite, la deuxième étape vise simplement à s’assurer de la bonne protection des données des porteurs de carte. On retrouve ici deux autres prérequis :

  • Protéger les données de cartes bancaires stockées…
  • …en encryptant la transmission des données sur les réseaux publics et ouverts.

Une fois le réseau sécurisé et les données stockées dans un endroit sûr, le Conseil exige le maintien d’un Programme de Gestion de la Vulnérabilité auquel deux prérequis sont attachés :

  • L’utilisation d’un logiciel antivirus à jour et efficace.
  • Le développement puis le maintien de systèmes et d’applications sécurisées.

Prochaine étape de la conformité PCI DSS : implémenter des mesures fortes de contrôle d’accès aux données. Ce sont ici trois prérequis qui sont cités :

  • Restreindre l’accès aux données de carte des porteurs pertinentes pour le commerce (en excluant toute information personnelle non requise).
  • Assigner un ID unique à chaque personne ayant accès au réseau.
  • Limiter l’accès physique aux données des porteurs de carte.

Les neufs prérequis présentés ci-dessus sont étroitement lié à l’infrastructure fondamentale que doit avoir une entreprise pour être conforme aux standards. Les trois derniers sont liés à la surveillance de cette infrastructure :

  • Surveiller régulièrement le réseau en « trackant » tous ses accès.
  • Tester les systèmes de sécurité souvent, afin de s’assurer de leur bon fonctionnement.
  • Maintenir une politique adressant la sécurité de l’information pour les employés et les prestataires.

Ces douze prérequis peuvent être considérés comme les règles de base à appliquer lorsqu’une entreprise souhaite traiter les données de cartes bancaires de ses clients. Bien que des cas particuliers existent, le respect de ces normes PCI DSS assure que des mesures ont été prises pour protéger les données bancaires.

A l’instar des DSP que nous évoquions dans un article précédent, ces normes sécuritaires ne sont pas figées et évolueront en parallèle des nouveaux moyens de paiement qui apparaissent chaque jour. La norme PCI DSS peut néanmoins être considérée comme un des piliers de la sécurité lié aux transactions par carte bancaire, surtout celles en ligne.

 

*https://www.pcisecuritystandards.org/pci_security/maintaining_payment_security

Share This