Comment obtenir la certification PCI DSS ?

PCI DSS

Le volume des données bancaires traitées au quotidien est le reflet de la croissance démographique au niveau international. Les données en circulation dans le monde ont été créées au cours des dernières années. La tendance s’intensifie au fil des jours. S’il y a des fuites, le coût moyen s’élèverait à près de 4 millions de dollars selon le PCI SSC. Ainsi, il est essentiel de tout mettre en œuvre afin d’éviter un tel problème. Il semble parfois décourageant de respecter les différents critères de conformité. Et pourtant, une mauvaise gestion des coordonnées des cartes de paiement est susceptible de provoquer de lourdes conséquences.

Qu’est-ce que la certification PCI DSS ?

La norme PCI DSS est requise pour une entité traitant les données des consommateurs (entreprise mondiale, start-up ...). Elle liste la politique relative à la sécurisation des informations financières et de paiement des utilisateurs. Elle s’applique aux prestataires de services gérant des transactions par cartes de débit/crédit, aux commerçants ... Lorsqu’une organisation stocke les données de paiement des consommateurs, elle doit obligatoirement se conformer au PCI DSS. En cas de violation, elle s’expose au versement d’une amende conséquente. La conformité est validée annuellement, en fonction des évolutions du domaine de la cyber-sécurité. Elle est mentionnée dans les accords des réseaux de cartes de crédit. Le PCI DSS est élaboré et géré par le Conseil des normes de sécurité. Ce dernier aide à réduire les risques de fuite de données, lutter contre la fraude et protéger l’écosystème des cartes de paiement. L’obtention d’une certification PCI DSS implique le suivi de bonnes pratiques. Elle atteste de la conformité d’une organisation aux réglementations en vigueur. PCI DSS = Payment Card Industry Data Security Standard.

À qui s’adresse la conformité PCI DSS ?

Dès lors qu’une entreprise accepte les transactions par cartes de crédit, elle doit se conformer aux critères du PCI DSS. Les réseaux de cartes infligent des sanctions importantes et de lourdes pénalités aux organisations ne respectant pas les exigences. Votre entreprise a pris toutes les mesures essentielles pour la conformité à la norme PCI DSS ? Les réseaux de cartes pourraient réduire ou annuler les amendes liées au PCI. Il existe quatre niveaux de conformité, chacun étant attribué sur la base d’un volume annuel de transactions par cartes :

• Niveau 1 : traitement annuel de plus de 2,5 millions de transactions American Express ou plus de 6 millions d’opérations Mastercard ou Visa.

• Niveau 2 : pour les commerçants gérant entre 1 et 6 millions de transactions financières par an.

• Niveau 3 : tout marchand prenant en charge entre 20 000 et 1 millions d’opérations de commerce électronique par an. De même pour un autre qui gère jusqu’à 1 million de transactions chaque année.

• Niveau 4 : moins de 20 000 transactions en ligne gérées annuellement. Pareil pour un commerçant s’occupant de moins de 1 million de transactions annuelles.

Vous vous demandez comment obtenir une certification PCI DSS ? La première étape consiste à satisfaire aux exigences s’appliquant à votre niveau de conformité. Par la suite, vous devrez remplir le formulaire « Self-Assessment Questionnaire (SAQ A) ». Contactez l’équipe de preludd.com pour plus d’informations.

Quelles sont les exigences de conformité du standard PCI DSS ?

Les exigences définies par la norme mondiale de sécurité PCI DSS sont à la fois techniques et opérationnelles. Elles dépendent essentiellement du type d’intégration et du niveau de conformité. Leur principal objectif est la protection des données des titulaires de cartes. On distingue douze exigences de conformité :

• L’installation et la configuration d’un pare-feu pour le blocage du trafic malveillant.

• La non-utilisation de mots de passe et d’autres fonctionnalités de sécurité par défaut établis par les fournisseurs.

• La protection des données financières stockées des titulaires de cartes.

• Le chiffrement des données financières transférées sur les réseaux ouverts et publics.

• L’installation, la mise à jour régulière et la maintenance d’un programme ou d’un logiciel anti-virus.

• Le développement et la maintenance d’applications et de systèmes sécurisés.

• La restriction de l’accès aux données des titulaires de cartes selon les besoins de l’entreprise.

• L’attribution d’un identifiant unique à chaque individu ayant un accès informatique.

• La limitation de l’accès physique aux données des consommateurs.

• Le suivi et la surveillance des demandes d’accès aux données des titulaires de cartes et aux ressources du réseau.

• Les tests réguliers des processus et des systèmes de sécurité.

• La documentation d’une politique de sécurité de l’information et la distribution à l’ensemble des collaborateurs.