AT LANGUAGEWORLD

Connaissez-vous la PCI DSS et savez-vous à quoi elle sert ?

Connaissez-vous la PCI DSS et savez-vous à quoi elle sert ?

Il convient tout d'abord de savoir à quoi correspondent les lettres de cet acronyme. Que signifie PCI DSS ? Cet acronyme fait référence à la norme de sécurité des données de l'industrie des cartes de paiement (Payment Card Industry Data Security Standard). Bien que nous en sachions un petit peu plus, savez-vous réellement à quoi ces acronymes se réfèrent ? C'est ce que nous allons vous expliquer ci-dessous.

En quoi consiste la norme de sécurité des données de l'industrie des cartes de paiement ?

Ce long terme fait référence à un ensemble de contrôles de sécurité obligatoires pour les entreprises, afin de protéger les données de leurs cartes de crédit et d'être ainsi conformes à la norme de sécurité des données pour l'industrie des cartes de paiement (PCI DSS).

Quel est donc le but de la PCI DSS ?

Ce système de contrôle a été lancé en 2006 afin d’améliorer la gestion et la sécurité des processus de paiement en ligne. Pour cela, les grandes marques de cartes de paiement (VISA, American Express, MasterCard, JBC et Discover) ont convenu et mis en place un comité autonome grâce auquel elles définissent l'ensemble des contrôles de sécurité à respecter afin d'atteindre ce niveau de sécurité dans la gestion des paiements.

Quels sont les contrôles de sécurité permettant d'être conforme à la PCI DSS ?

Au total, cette norme est composée de 12 exigences différentes, que nous vous détaillons ci-dessous :

  1. Installation et maintenance d'un pare-feu afin de protéger les données des titulaires de cartes.
  2. Interdiction d'utiliser les valeurs par défaut fournies par les fournisseurs, aussi bien pour les mots de passe que pour tout autre paramètre de sécurité. Ainsi, il devient bien plus difficile d'obtenir des données sécurisées.
  3. Protection des données stockées des titulaires de ces cartes.
  4. Outre la protection des données, il est également demandé de chiffrer les données des titulaires de cartes ainsi que les informations confidentielles pouvant avoir été transmises via des réseaux publics ouverts.
  5. Utilisation et mise à jour régulière d'un antivirus.
  6. Développement et maintenance de systèmes et d'applications sécurisés.
  7. Limitation de l'accès aux données des titulaires, permettant uniquement l'accès à des données dont la connaissance est strictement nécessaire pour les entreprises.
  8. Attribution d'une identification unique à chacune des personnes ayant accès à l'ordinateur.
  9. Restriction de l'accès physique aux données des titulaires de cartes.
  10. Suivi et contrôle d'accès aux ressources du réseau et aux données des titulaires de cartes.
  11. Tests réguliers des systèmes et processus de sécurité.
  12. Maintien d'une politique qui aborde la sécurité de l'information depuis différents points de vue qui sont toutefois nécessaires.

Comment savoir si je respecte bel et bien cette norme?

Dans ce cas, il existe un questionnaire d'auto-évaluation (SAQ) grâce auquel vous pouvez vérifier si votre entreprise respecte cette norme et si, par conséquent, elle est capable de gérer des données sensibles.

Et que se passe-t-il si je ne respecte pas la norme de sécurité des données de l'industrie des cartes de paiement ?

Si le questionnaire mentionné ci-dessus n'est pas satisfaisant, nous vous invitons à vous efforcer davantage et à y consacrer des heures afin de compléter dûment ce système car, le cas échéant, en cas de fraude, vous devrez payer l'amende correspondante, tout en vous exposant à des problèmes juridiques, à une perte de réputation, etc.

Rappelez-vous notamment que la sécurité lors d'achat en ligne est l'un des facteurs les plus importants pour les utilisateurs. Il s'agit d'ailleurs d'un facteur indispensable et le simple fait de réaliser un achat via un système non sécurisé est tout bonnement inconcevable.

Assurer une bonne sécurité est nécessaire, toutefois, atteindre le plus grand nombre de personnes possible l'est tout autant. Pour cela, n'oubliez pas qu'il est important de traduire votre site Web dans un maximum de langues. Le cas échéant, faites le traduire au moins vers l'anglais, puisqu'il s'agit d'une langue universelle.