Conformité PCI

Démontrez votre conformité, même avec les exigences PCI DSS les plus déroutantes, grâce à des solutions qui vous font gagner du temps tout en protégeant vos clients et en évitant les amendes.

Media
Image
Tablet with security check
Text

PCI DSS (Payment Card Industry Data Security Standard) est un ensemble complet d’exigences visant à garantir la sécurité des opérations de traitement, de stockage et d’envoi des informations de carte de crédit au sein de n’importe quelle entreprise. Ces exigences ont été mises en place pour contribuer à éviter les fuites de données de paiement ainsi que les fraudes des cartes de crédit.

Les normes PCI couvrent à la fois les solutions techniques ainsi que les pratiques et les processus opérationnels inclus ou associés aux systèmes de données des titulaires de cartes.

Cette norme est administrée et gérée par le Conseil des normes de sécurité PCI (PCI SSC) un organisme indépendant réunissant les principales sociétés de paiement (Visa, MasterCard, American Express, Discover et JCB). Toutefois, le respect de la norme PCI DSS est de la responsabilité des fournisseurs de services de paiement.

Le PCI SSC fournit l’ensemble des normes, mais également un soutien afin de contribuer au maintien de la sécurité des informations sur les titulaires de cartes. Il sert de cadre de référence aux entreprises afin qu’elles puissent développer et maintenir un processus de sécurité des donnés pour les paiements incluant la prévention, la détection et les réponses adaptées à tout incident de sécurité.

Text

Quelles sont les exigences de la norme PCI DSS ?

La norme PCI DSS comprend 12 exigences conçues pour garantir la protection et la sécurité des données des titulaires de cartes. Ces exigences doivent toutes être respectées dans votre propre environnement informatique unique, souvent par le biais de solutions de sécurité à niveaux multiples ou une suite de solutions de sécurité des données.

Les 12 exigences de la norme PCI DSS sont les suivantes :

  1. Installer et maintenir une configuration de pare-feu afin de protéger les données des titulaires de cartes.
  2. Ne pas utiliser les valeurs par défaut des fournisseurs (mots de passe système et autres paramètres de sécurité).
  3. Protéger les données stockées des titulaires de cartes.
  4. Crypter les transmissions de données des titulaires de cartes sur les réseaux ouverts et publics.
  5. Utiliser et mettre à jour régulièrement des logiciels ou programmes antivirus.
  6. Développer et maintenir des systèmes et des applications sûres.
  7. Limite l’accès aux données des titulaires de cartes aux seules personnes dont le travail l’exige.
  8. Attribuer un identifiant unique à chaque personne dotée d’un accès informatique.
  9. Restreindre l’accès physique aux données des titulaires de cartes.
  10. Effectuer le suivi de tous les accès aux ressources du réseau et aux données des titulaires de cartes.
  11. Tester régulièrement les systèmes et processus de sécurité.
  12. Maintenir une politique relative à la sécurité des informations pour l’ensemble du personnel.

 

Qui doit respecter la norme PCI DSS ?

Text

Toute entreprise (de la petite affaire familiale jusqu’à la plus grande multinationale) qui accepte, envoie, traite ou stocke des données de cartes de crédit ou de titulaires de cartes doit se conformer à la norme PCI DSS. Des différences de niveau de conformité à la norme PCI DSS existent toutefois en fonction du volume de transactions annuel de l’entreprise.

Quels sont les différents niveaux de conformité PCI ?

Bien que TOUTES les entreprises acceptant, traitant ou stockant des données des titulaires de cartes soient concernées par les exigences de la norme PCI DSS, il existe quatre niveaux de conformité distincts exigés par les organisations individuelles. Ces niveaux sont basés sur le volume de transactions sur une période de 12 mois :

Niveau 1 :

Marchants traitant plus de 6 millions de transactions par carte chaque année

Niveau 2 :

Marchants traitant entre 1 et 6 millions de transactions par carte chaque année

Niveau 3 :

Marchants traitant entre 20 000 et 1 million de transactions par carte chaque année

Niveau 4 :

Marchants traitant moins de 20 000 transactions par carte chaque année

Au plus haut niveau de conformité (niveau 1), les entreprises doivent faire l’objet d’un audit effectué par un auditeur de sécurité qualifié (QSA) ou un auditeur de sécurité interne (ISA). Cette évaluation validera la portée de l’accord, examinera la documentation, déterminera si les exigences de la norme PCI DSS sont respectées, et émettra des recommandations en matière de conformité. Un rapport de conformité (RoC) est ensuite envoyé afin de démontrer la conformité.

Si les entreprises concernées par un niveau de conformité inférieur (niveaux 2 à 4) n’ont pas besoin d’un audit externe, elles peuvent en revanche répondre à un questionnaire d’autoévaluation (SAQ). Les entreprises de niveau 2 doivent également effectuer un RoC.

Contrôle de la conformité PCI DSS

Liste de contrôle de la conformité PCI DSS

  • Avez-vous mis en place un pare-feu afin de protéger les données des titulaires de cartes stockées dans un ou plusieurs systèmes servant à stocker, traiter ou envoyer ces mêmes données ?
  • Ce pare-feu est-il régulièrement mis à jour et maintenu ? Avez-vous remplacé les mots de passe par défaut par des alternatives uniques et fortes ?
  • Les mots de passe sont-ils protégés et conservées en sécurité afin de réduire au maximum les risques d’exposition ?

 

  • Des contrôles de sécurité sont-ils mis en place pour protéger les données stockées dans vos systèmes internes ?
  • Sécurisez-vous les données des titulaires de cartes lorsqu’elles sont en transit ?
  • Utilisez-vous une méthode de cryptage pour protéger les données des titulaires de cartes ?
  • Les données sont-elles protégées lorsqu’elles transitent sur des réseaux ouverts ou sont inactives ?

 

  • Des logiciels ou programmes antivirus sont-ils déployés partout dans votre entreprise ?
  • Possédez-vous les versions les plus récentes et à jour de ces programmes ou logiciels ?
  • Contrôlez-vous régulièrement vos logiciels ?
  • Avez-vous besoin de développer vos systèmes et applications à des fins de conformité PCI DSS ?
  • Avez-vous limité l’accès aux données des titulaires de carte au sein de vos systèmes internes ?
  • L’accès est-il limité aux personnes qui ont un besoin réel de connaître ou de manipuler les données pour leur travail quotidien ?
  • La nécessité d’effectuer la tâche l’emporte-t-elle sur le risque d’autoriser l’accès aux données ?
  • Avez-vous fourni à toutes les personnes de votre entreprise un identifiant unique pour l’accès informatique ?
  • Votre administrateur système gère-t-il les autorisations/le contrôle d’accès pour ces identifiants uniques ?
  • Vos autorisations et contrôles d’accès sont-ils accordés aux seules personnes qui ont un besoin réel de connaître les données ?
  • Limitez-vous l’accès physique aux serveurs, ordinateurs, centres de données, etc. où les données des titulaires de cartes peuvent être stockées, traitées ou envoyées ?
  • Surveillez-vous ou tenez-vous un registre de tous les visiteurs qui se rendent dans des zones de votre entreprise susceptibles d’abriter des données de titulaires de cartes ?
  • Tous les supports physiques sont-ils stockés en toute sécurité afin d’empêcher tout accès non autorisé ?
  • Passez-vous en revue les réseaux de votre entreprise à intervalles réguliers afin de les prémunir face aux attaques ?
  • Vos processus d’examen sont-ils consignés à des fins d’audit réglementaire ?
  • Vérifiez-vous fréquemment la présence de vulnérabilités sur vos systèmes, et celles-ci sont-elles traitées de manière appropriée ?
  • Vérifiez-vous la présence de vulnérabilités lorsqu’un nouveau logiciel est installé ou que des modifications de configuration sont apportées ?
  • Vos procédures incluent-elles des analyses des vulnérabilités réseau internes et externes ainsi que des tests de pénétration ?
  • Surveillez-vous les fichiers système critiques afin de vous assurer qu’ils ne sont ni modifiés, ni consultés sans autorisation ?

Maintenir une politique de sécurité des données :

La mise en place d’un cadre pour votre entreprise peut favoriser la conformité PCI DSS ainsi que la sécurité globale des données. Les entreprises peuvent mettre au point des programmes de formation réguliers et de formation continue en matière de sécurité des données, plus précisément dans le domaine de la conformité PCI DSS.

Politique interne de sécurité des données

Disposez-vous actuellement d’une politique interne et à jour portant sur la sécurité des données ?

Exigences PCI DSS

Votre politique couvre-t-elle en profondeur les exigences de la norme PCI DSS ?

Modifications des systèmes internes

Votre politique est-elle mise à jour régulièrement ou lorsque vos systèmes internes sont modifiés ?

Responsabilités en matière de conformité PCI

Votre politique aborde-t-elle la façon d’identifier et de surveiller les responsabilités des fournisseurs de services en matière de conformité PCI ?

Fuite de données

Un plan exécutable de réponse aux incidents peut-il être immédiatement déployé en cas de fuite de données dans votre entreprise ?

Une suite de solutions de sécurité qui vous aide à respecter le RGPD

Le respect du RGPD exige une approche multi-niveaux. Notre suite de solutions de sécurité offre la meilleure réponse qui soit en appliquant les politiques mises en place et en s’intégrant en toute transparence partout dans votre entreprise. La suite de sécurité Fortra comporte un éventail de solutions axées sur la sécurité, conçues pour vous aider à satisfaire les exigences de la RGPD.

Nous pouvons vous aider à respecter la PCI DSS : discutons-en !

Contactez les experts Fortra et bénéficiez d’une consultation gratuite de 30 minutes pour découvrir les solutions les mieux adaptées à votre entreprise pour sécuriser les données PCI. Nous vous aiderons à identifier les couches de protection les plus adéquates pour respecter la norme PCI DSS.

Contactez les expertsFortra