PCI DSS (Payment Card Industry Data Security Standard) est un ensemble complet d’exigences visant à garantir la sécurité des opérations de traitement, de stockage et d’envoi des informations de carte de crédit au sein de n’importe quelle entreprise. Ces exigences ont été mises en place pour contribuer à éviter les fuites de données de paiement ainsi que les fraudes des cartes de crédit.
Les normes PCI couvrent à la fois les solutions techniques ainsi que les pratiques et les processus opérationnels inclus ou associés aux systèmes de données des titulaires de cartes.
Cette norme est administrée et gérée par le Conseil des normes de sécurité PCI (PCI SSC) un organisme indépendant réunissant les principales sociétés de paiement (Visa, MasterCard, American Express, Discover et JCB). Toutefois, le respect de la norme PCI DSS est de la responsabilité des fournisseurs de services de paiement.
Le PCI SSC fournit l’ensemble des normes, mais également un soutien afin de contribuer au maintien de la sécurité des informations sur les titulaires de cartes. Il sert de cadre de référence aux entreprises afin qu’elles puissent développer et maintenir un processus de sécurité des donnés pour les paiements incluant la prévention, la détection et les réponses adaptées à tout incident de sécurité.
Qui doit respecter la norme PCI DSS ?
Toute entreprise (de la petite affaire familiale jusqu’à la plus grande multinationale) qui accepte, envoie, traite ou stocke des données de cartes de crédit ou de titulaires de cartes doit se conformer à la norme PCI DSS. Des différences de niveau de conformité à la norme PCI DSS existent toutefois en fonction du volume de transactions annuel de l’entreprise.
Quels sont les différents niveaux de conformité PCI ?
Bien que TOUTES les entreprises acceptant, traitant ou stockant des données des titulaires de cartes soient concernées par les exigences de la norme PCI DSS, il existe quatre niveaux de conformité distincts exigés par les organisations individuelles. Ces niveaux sont basés sur le volume de transactions sur une période de 12 mois :
Niveau 1 :
Niveau 2 :
Niveau 3 :
Niveau 4 :
Au plus haut niveau de conformité (niveau 1), les entreprises doivent faire l’objet d’un audit effectué par un auditeur de sécurité qualifié (QSA) ou un auditeur de sécurité interne (ISA). Cette évaluation validera la portée de l’accord, examinera la documentation, déterminera si les exigences de la norme PCI DSS sont respectées, et émettra des recommandations en matière de conformité. Un rapport de conformité (RoC) est ensuite envoyé afin de démontrer la conformité.
Si les entreprises concernées par un niveau de conformité inférieur (niveaux 2 à 4) n’ont pas besoin d’un audit externe, elles peuvent en revanche répondre à un questionnaire d’autoévaluation (SAQ). Les entreprises de niveau 2 doivent également effectuer un RoC.
Maintenir une politique de sécurité des données :
La mise en place d’un cadre pour votre entreprise peut favoriser la conformité PCI DSS ainsi que la sécurité globale des données. Les entreprises peuvent mettre au point des programmes de formation réguliers et de formation continue en matière de sécurité des données, plus précisément dans le domaine de la conformité PCI DSS.
Politique interne de sécurité des données
Exigences PCI DSS
Modifications des systèmes internes
Responsabilités en matière de conformité PCI
Fuite de données
Une suite de solutions de sécurité qui vous aide à respecter le RGPD
Le respect du RGPD exige une approche multi-niveaux. Notre suite de solutions de sécurité offre la meilleure réponse qui soit en appliquant les politiques mises en place et en s’intégrant en toute transparence partout dans votre entreprise. La suite de sécurité Fortra comporte un éventail de solutions axées sur la sécurité, conçues pour vous aider à satisfaire les exigences de la RGPD.
Nous pouvons vous aider à respecter la PCI DSS : discutons-en !
Contactez les experts Fortra et bénéficiez d’une consultation gratuite de 30 minutes pour découvrir les solutions les mieux adaptées à votre entreprise pour sécuriser les données PCI. Nous vous aiderons à identifier les couches de protection les plus adéquates pour respecter la norme PCI DSS.