Six principes clés
Développer et maintenir un réseau sécurisé
Protéger les données des titulaires de carte
Maintenir un programme de gestion des vulnérabilités
Mettre en place des mesures rigoureuses de contrôle d'accès
Surveiller et tester régulièrement les réseaux
Maintenir une politique de sécurité des informations
Les exigences de conformité du PCI DSS
Les exigences du PCI DSS qui s’appliquent à votre activité dépendent essentiellement de votre niveau de conformité (voir ci-dessous) et de votre type d’intégration. Au total, il existe 12 exigences de conformité :
- Installer et configurer un pare-feu pour protéger les données des titulaires de carte
- Ne jamais utiliser les mots de passe et autres paramètres de sécurité par défaut définis par le fournisseur
- Protéger les données stockées des titulaires de carte
- Chiffrer la transmission des données des titulaires de carte sur les réseaux publics ouverts
- Protéger les systèmes contre les logiciels malveillants et mettre à jour régulièrement des logiciels ou programmes anti-virus
- Développer et maintenir des systèmes et des applications sécurisés
- Limiter l’accès aux données des titulaires de carte uniquement en fonction des besoins de l'entreprise
- Attribuer un identifiant unique à chaque personne disposant d’un accès informatique
- Restreindre l’accès physique aux données des titulaires de carte
- Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte
- Tester régulièrement les processus et les systèmes de sécurité
- Maintenir une politique et un programme de sensibilisation à la sécurité des informations pour l’ensemble du personnel
A qui s'applique la conformité PCI DSS ?
Toutes les entreprises qui acceptent des paiements par carte de crédit doivent se conformer aux exigences du PCI DSS.
Bien que le PCI DSS ne soit pas une exigence légale, il constitue une norme mondiale largement adoptée. Les entreprises qui ne se conforment pas à ces règles risquent des pénalités sévères et des sanctions imposées par les réseaux de cartes. En revanche, si vous pouvez démontrer que vous avez mis en place toutes les mesures nécessaires pour respecter les normes PCI DSS, les réseaux de cartes pourraient réduire significativement, voire annuler, les amendes associées.
Quels sont les niveaux de conformité ?
Votre périmètre dépendra du niveau de conformité qui vous est attribué sur la base de votre volume annuel de transactions par cartes. Il existe quatre niveaux :
- Niveau 1 : C’est le niveau le plus élevé. Il s’applique à votre activité si :
- vous traitez plus de 6 millions de transactions Visa ou Mastercard, ou plus de 2,5 millions de transactions American Express ;
- vous avez subi une fuite de données ;
- un réseau de cartes vous a classé au Niveau 1.
- Niveau 2 : Vous traitez entre 1 et 6 millions de transactions par an.
- Niveau 3 : Vous traitez entre 20 000 et 1 million de transactions en ligne, ou moins d’un million de transactions par an.
- Niveau 4 : Vous traitez moins de 20 000 transactions en ligne, ou moins d’un million de transactions par an.
Comment se conformer à la norme et obtenir la certification ?
Pour garantir votre conformité, vous devez répondre aux exigences correspondant à votre niveau de conformité. Ensuite, vous devez obtenir une certification PCI DSS, notamment en remplissant le questionnaire sur le site : https://docs-prv.pcisecuritystandards.org/SAQ%20(Assessment)/SAQ/PCI-DSS-v4-0-SAQ-A-FR.pdf?lang=fr
Comme son nom l’indique, ce questionnaire vous aide à auto-évaluer les exigences à mettre en œuvre. Cette évaluation repose sur trois bonnes pratiques de sécurité :
1. Ne jamais utiliser de mots de passe par défaut, ni des comptes génériques, ni les paramètres d’usine des appareils et services utilisés.
2. Utiliser des mots de passe forts et des identifiants utilisateurs uniques, comprenant au moins 7 caractères (numériques, alphabétiques et caractères spéciaux).
3. Installer les mises à jour des systèmes et logiciels dès qu’ils sont disponibles.
Notre partenaire Extern IT pourra vous accompagner dans la mise en œuvre des mesures de sécurité.