Centre d'information

Qu'est-ce que la conformité PCI ? Tout ce que vous devez savoir à ce sujet

Si vous avez déjà eu à saisir les informations relatives à votre carte de crédit sur un site web, vous avez été confronté à la norme PCI DSS. Le Conseil des normes de sécurité de l'industrie des cartes de paiement a produit cet ensemble de normes de sécurité pour protéger les données des cartes de crédit.

La conformité PCI est requise pour toute entreprise qui traite, stocke ou transmet des informations relatives au cartes de paiement.

Dans cet article, vous trouverez une synthèse de la norme de sécurité de l'industrie des cartes de paiement (PCI DSS) et découvrirez ce que les entreprises doivent faire pour se conformer à cette norme. Vous trouverez également une présentation des effets de la non-conformité sur les clients et les commerçants.

Qu'est-ce que la norme PCI DSS et dans quel but a-t-elle été créée ?

La norme de sécurité de l'industrie des cartes de paiement (PCI DSS) regroupe un ensemble d'exigences qui garantissent que les entreprises traitant, stockant ou transmettant des informations relatives aux cartes de crédit puissent sécuriser et préserver un environnement sécurisé. De telles exigences impliquent notamment de disposer d'un pare-feu, de mots de passe sécurisés et d'autres mesures de sécurité.

La norme PCI DSS a été créée en réponse au nombre croissant de violations de données comprenant le vol et l'utilisation abusive d'informations relatives aux cartes de paiement. Grâce à cette norme, le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC) espère réduire le nombre de données relatives à des cartes de crédit qui sont volées.

Pour gérer et administrer la norme PCI DSS, MasterCard, Visa, JCB, Discover et American Express ont créé le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC). Il s'agit d'un organisme indépendant qui fournit des conseils et une assistance aux organisations sur les modalités de conformité aux exigences de la norme.

Une brève histoire des normes de sécurité des paiements

Bien que le Payment Card Institute ait été créé en 2004, les origines des normes contemporaines en matière de sécurité des paiements remontent encore plus loin.

Les achats en ligne se sont démocratisés à mesure que l'Internet a pris de l'importance à la fin des années 1990. Ce nouveau média pour les achats a été accueilli avec la plus grande joie de la part des détaillants et des consommateurs. Toutefois, les fraudeurs n'étaient guère loin.

Il est rapidement devenu évident que les mesures de sécurité existantes n'étaient pas en mesure de protéger les données des clients à une telle échelle. Pour remédier à la situation, Visa a établi le Programme de sécurité des informations des titulaires de carte (CISP). L'objectif était de fournir aux détaillants des exigences de sécurité pour le traitement des transactions par carte de crédit.

Peu après sont apparus le programme SDP (Site Data Protection) de MasterCard ainsi que la politique DSOP (Data Security Operating Policy) d'American Express. Ces initiatives ont contribué à ouvrir la voie à une norme de sécurité unique et unifiée pour toutes les sociétés de cartes de paiement.

Discover et American Express ont suivi le mouvement, mais l'absence de normes de sécurité unifiées dans toutes les sociétés de cartes de paiement a rendu difficile la garantie d'un niveau de protection cohérent. Afin de résoudre ce problème, le Conseil des normes de sécurité de l'industrie des cartes de paiement a été formé en 2004, puis la norme PCI DSS a été créée.

L'évolution de la norme PCI DSS

La norme PCI DSS a connu une évolution permanente depuis sa création en 2006. À mesure que la technologie évolue, le besoin de renforcer les mesures de sécurité afin de protéger les données des clients se fait de plus en plus impérieux.

C'est pourquoi la norme est régulièrement mise à jour afin de garantir sa pertinence et son efficacité face aux menaces modernes. Au fil des années, plusieurs modifications ont été apportées à la norme, notamment en ce qui concerne l'accent porté au chiffrement et aux contrôles d'authentification.

La version 1.2 du protocole de sécurité a été établie en octobre 2008 pour présenter les pratiques d'excellence en matière de sécurisation des réseaux sans fil et d'utilisation de logiciels antivirus. Elle a été suivie de la version 2.0 en octobre 2010, qui a introduit le concept de test d'intrusion et renforcé les processus de chiffrement.

Ensuite, les versions 3.2 et 3.2.1 de la norme PCI DSS ont été mises en place en 2018. La version 3.2.1 de la norme PCI DSS intègre des exigences supplémentaires afin que les fournisseurs de services protègent les données des titulaires de cartes lorsque ces dernières sont transférées sur Internet ou bien stockées sur des appareils mobiles. Elle exige également que les entreprises garantissent un environnement sécurisé en testant régulièrement leurs systèmes de sécurité.

Et à l'heure actuelle, la dernière version de la norme PCI DSS, à savoir la version 4.0, a été publiée par le PCI SSC le 31 mars 2022. Cette version inclut de nouvelles exigences en matière de développement de logiciels sécurisés et met l'accent sur la protection des données des titulaires de cartes à l'intérieur et à l'extérieur de l'organisation. Elle apporte également plus de clarté concernant le chiffrement et les contrôles d'accès.

En quoi consistent les normes de sécurité PCI DSS ?

Afin de protéger les données dans le secteur des cartes de paiement, le Conseil des normes de sécurité de l'industrie des cartes de paiement maintient des normes élevées pour les commerçants. Celles-ci fournissent des spécifications sur les outils, les cadres, les mesures et les ressources d'assistance pour aider les entreprises à assurer la sécurité des informations des titulaires de cartes à tout moment.

Ces normes traitent de la prévention, de la détection et de la manière de réagir aux menaces pour la sécurité. En guise d'aide, le Conseil des normes de sécurité de l'industrie des cartes de paiement fournit les outils suivants :

  • Les questionnaires d'auto-évaluation ; les organisations les utilisent pour valider leur conformité à la norme PCI DSS
  • La norme de sécurité des données d'application de paiement (PA DSS) ; elle décrit les pratiques d'excellence en matière de création et de garantie d'applications de paiement sécurisées
  • La norme de sécurité des données (DSS) ; elle indique les manières dont les commerçants peuvent protéger les données des titulaires de cartes
  • La Sécurité des transactions par code PIN (PTS) ; les vendeurs et les fabricants de périphériques doivent répondre à des exigences spécifiques, vous ne pouvez par ailleurs utiliser que les dispositifs figurant sur une liste approuvée pour les transactions par code PIN
  • La liste des évaluateurs de sécurité qualifiés (QSA) ; ces organisations peuvent aider les commerçants à valider leur conformité à la norme PCI DSS
  • Les évaluateurs de sécurité qualifiés pour les applications de paiement (PA-QSA) ; ces organisations peuvent aider les commerçants à valider la conformité de leurs applications de paiement avec la norme de sécurité de l'industrie des applications de paiement (PA-DSS)
  • Le programme de formation des évaluateurs de sécurité interne (ISA) ; il s'agit d'un programme conçu pour aider les organisations à comprendre la norme PCI DSS et à effectuer des évaluations internes.
  • Les ASV (Approved Scanning Vendors) ; ces fournisseurs effectuent des analyses régulières pour les organisations afin de les aider à identifier les vulnérabilités

Exigences de conformité aux normes PCI

Le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC) définit six objectifs qui regroupent 12 exigences que les entreprises doivent respecter pour atteindre et garantir leur conformité à ces normes. Pour ce faire, vous devez remplir les tâches suivantes, décrites dans la liste de contrôle de la conformité PCI.

Objectif n° 1

Le premier objectif requis par la liste de contrôle de la conformité PCI consiste à établir et entretenir un réseau sécurisé. Il s'agit après tout du socle sur lequel repose le système de sécurité des cartes de paiement de votre entreprise. De cet objectif découlent les deux exigences suivantes :

1. Utiliser et mettre à jour les pare-feu

Lorsqu'il est question de cybersécurité, les pare-feu constituent un élément fondamental. Les pare-feu représentent la première ligne de défense face au trafic indésirable, et contribuent à empêcher les pirates malveillants d'accéder aux réseaux de votre entreprise.

Grâce à leur efficacité pour repousser le trafic indésirable, l'utilisation et la mise à jour d'un pare-feu est une exigence de conformité essentielle pour la norme PCI DSS.

2. Modifier les mots de passe et les paramètres de sécurité par défaut

Malheureusement, de nombreuses entreprises ne sécurisent pas leurs routeurs, modems, systèmes de point de vente (POS) et autres produits tiers. Ces appareils sont généralement fournis avec des mots de passe génériques auxquels n'importe qui peut facilement accéder.

Après avoir configuré le pare-feu, il est important de modifier les mots de passe et les paramètres de sécurité par défaut. Cette action permet de se protéger contre toute personne qui pourrait connaître ou deviner les informations d'authentification ou les paramètres par défaut.

Outre le changement des mots de passe, il est important de mettre à jour régulièrement ces derniers et de veiller à ce que seuls les utilisateurs autorisés y aient accès. Pour ce faire, vous devez mettre en œuvre des systèmes d'authentification renforcée, comme l'authentification à deux ou plusieurs facteurs.

Pour assurer la conformité, créez une liste de tous les appareils et logiciels dont l'accès nécessite un mot de passe ou une quelconque mesure de sécurité. Cet inventaire des appareils et des mots de passe doit être mis à jour régulièrement, et d'autres précautions de base (comme le changement fréquent des mots de passe) doivent être prises.

Objectif n° 2

La protection des données des titulaires de cartes constitue le deuxième objectif de la conformité PCI. Elle est également connue sous le nom de protection et de chiffrement des données. Concernant la protection des informations relatives aux titulaires de cartes, vous devez remplir deux conditions :

3. Protéger les données stockées des titulaires de cartes

Lorsque les entreprises traitent, stockent ou transmettent les données des titulaires de cartes, elles doivent prendre des précautions supplémentaires afin de les protéger. Pour ce faire, il faut stocker les données de façon sécurisée et utiliser le chiffrement chaque fois que l'occasion se présente.

Le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC) recommande d'utiliser un double système de protection des informations relatives aux titulaires de cartes. Cela consiste à chiffrer les données à l'aide d'algorithmes. En outre, les clés utilisées pour mettre en place les chiffrements doivent également être chiffrées.

Par exemple, placez toutes les données stockées relatives aux titulaires de cartes sur un serveur sécurisé distinct, accessible uniquement pour ceux qui en ont besoin. De même, chiffrez toutes les transmissions de données de titulaires de cartes réalisées sur les réseaux publics.

Pour assurer la sécurité de vos données, vous devez fréquemment analyser et mettre à jour vos numéros de compte primaire (PAN).

4. Chiffrer la transmission des données relatives aux titulaires de cartes sur les réseaux ouverts et publics

Afin de protéger les données des titulaires de cartes lorsque celles-ci sont transmises publiquement (par exemple, lorsqu'un client passe une commande en ligne), les entreprises doivent utiliser des protocoles sécurisés, tels que ceux spécifiés par la norme PCI DSS.

Par exemple, les sites web doivent disposer d'un certificat SSL (secure socket layer) ou TLS (transport layer security) à jour et validé. Ces certificats permettront de protéger les données sensibles des clients lors de leurs achats.

En outre, vous devez limiter l'accès aux données des titulaires de cartes aux seules personnes qui en ont besoin. Cela signifie qu'il vous faut créer un système sécurisé de comptes d'utilisateurs qui sont contrôlés et fréquemment mis à jour.

Ces mesures permettront de protéger les données sensibles de vos clients contre toute personne qui pourrait tenter de les intercepter ou de les voler lors de leur transit.

Objectif n° 3

Le troisième objectif consiste à tenir un programme de gestion des vulnérabilités. Cela implique de surveiller et de tester les réseaux afin de détecter les failles de sécurité et de les résoudre le plus rapidement possible. Il y a deux exigences que vous devez respecter pour remplir cet objectif. Ce sont les suivantes :

5. Utilisation et mise à jour de l'anti-virus

Il est important d'installer et de mettre à jour un logiciel antivirus sur tous les ordinateurs et les applications qui traitent, stockent ou transmettent les données des titulaires de cartes. Vous pourrez ainsi détecter puis supprimer les logiciels malveillants de vos systèmes.

Par ailleurs, il est indispensable de disposer d'un antivirus pour tout appareil qui stocke ou interagit avec le PAN. Vous devez également mettre à jour le logiciel antivirus régulièrement pour vous assurer d'en faire un usage optimal.

De plus, les entreprises doivent régulièrement analyser leurs réseaux et leurs applications pour détecter toute faille de sécurité. Cela signifie qu'elles doivent faire appel à un ASV (Approved Scanning Vendor) pour effectuer des analyses trimestrielles de leurs réseaux externes.

6. Logiciels et systèmes correctement mis à jour

Les logiciels et les systèmes doivent être régulièrement mis à jour avec les derniers correctifs de sécurité. Ainsi, les éventuelles failles de sécurité sont traitées rapidement avant d'être exploitées par des individus malveillants.

Vous devez également tester toutes les nouvelles applications avant leur lancement pour vous assurer qu'elles ne présentent pas de failles ou de faiblesses susceptibles d'être exploitées.

Objectif n° 4

Une fois la configuration de votre programme de gestion des vulnérabilités achevée, il est l'heure de passer au quatrième objectif : la mise en place de mesures de contrôle d'accès solides. Cela consiste à limiter l'accès aux données des titulaires de cartes selon le rôle de l'utilisateur. Cet objectif implique le respect de trois exigences :

7. Restreindre l'accès aux données

Veillez à ce que seules les personnes qui ont besoin d'accéder aux données des titulaires de cartes y aient accès. Cela signifie que vous devez mettre en œuvre des mesures strictes de contrôle d'accès et veiller à ce que les comptes des utilisateurs soient fréquemment contrôlés et mis à jour.

L'un des moyens d'y parvenir est de veiller à ce que les données ne soient accessibles qu'aux personnes qui en ont besoin. Quel que soit son rôle, le personnel ne doit accéder aux données que si celles-ci lui sont nécessaires. Par ailleurs, selon la norme PCI DSS, vous devez documenter et mettre à jour régulièrement les rôles des individus qui doivent accéder aux données sensibles.

8. Attribuer des identifiants uniques à chaque personne ayant accès à un ordinateur

Un élément essentiel pour la sécurité des données consiste à savoir qui accède aux données et quand. En effet, si des employés ayant accès à des données sensibles utilisent des identifiants de connexion partagés, il sera difficile de déterminer lequel a accédé aux données.

Au lieu de cela, créez des identifiants uniques pour chaque utilisateur afin de vous assurer que seul le personnel autorisé peut accéder aux données. Vous pourrez éviter tout accès ou toute manipulation non autorisée des données des titulaires de cartes par la même occasion.

9. Restreindre l'accès physique aux données des titulaires de cartes

L'accès physique aux données des titulaires de cartes doit également être limité et contrôlé. Cela requiert la mise en place de mesures de sécurité physique telles que des portes verrouillées, des armoires sécurisées et des zones à accès restreint.

Vous devez également prévoir des mesures afin de surveiller, d'enregistrer les tentatives d'accès physique et de révoquer les comptes d'utilisateur lorsque les travailleurs quittent l'organisation.

Objectif n° 5

Disposer d'une excellente infrastructure et de systèmes efficaces ne suffit pas. Vous devez surveiller et tester vos réseaux de façon régulière. C'est tout l'enjeu de ce cinquième objectif. Ce dernier requiert le respect des deux exigences suivantes :

10. Suivre et contrôler tous les accès aux ressources du réseau et aux données des titulaires de carte

Une entrée dans le journal est nécessaire pour toutes les activités qui comprennent des numéros de compte primaires (PAN) ainsi que des données relatives aux titulaires de cartes. Néanmoins, le problème de sécurité le plus courant est celui des personnes qui ne disposent pas de la documentation adéquate ou qui ne conservent pas correctement les informations confidentielles auxquelles elles ont accès.

Afin de vous conformer aux exigences, vous devez déterminer comment les données parviennent dans votre entreprise et la fréquence à laquelle les individus doivent y accéder. Vous aurez également besoin d'un logiciel qui enregistre toutes les activités, pour plus de précision.

11. Analyser et tester les vulnérabilités

Pour remplir cet objectif, vous devez utiliser un outil d'analyse de la vulnérabilité fourni par un ASV (Approved Scanning Vendor). L'ASV analysera vos réseaux et vos applications afin d'identifier les éventuelles failles de sécurité ou les vulnérabilités.

En effectuant régulièrement des analyses, vous êtes assuré que vos systèmes sont à jour et que votre programme de gestion des vulnérabilités est conforme à la norme PCI DSS.

Objectif n° 6

Enfin, l'objectif 6 consiste à mettre à jour une politique de sécurité des informations. Il nécessite le respect d'une exigence :

12. Entretenir une politique de sécurité des informations

La création et la mise à jour d'une politique de sécurité des informations est la dernière exigence imposée par la norme PCI DSS. Cette politique doit définir les règles, les procédures et les rôles liés à la sécurité des données. Elle doit également indiquer les modalités de stockage, de transmission et d'utilisation des informations confidentielles.

Cette politique doit être mise à jour et approuvée par le conseil d'administration. Elle doit également être réétudiée régulièrement afin de s'assurer qu'elle demeure conforme aux réglementations en vigueur et aux pratiques d'excellence du secteur.

À qui s'adresse la norme PCI DSS ?

La norme de sécurité des données de l'industrie des cartes de paiement concerne toute entreprise qui collecte, stocke ou transmet les données des cartes de crédit de ses clients. Elle s'applique donc aux commerçants, aux processeurs de paiement, aux banques et aux fournisseurs de services.

Les organisations doivent prouver leur conformité PCI avec l'une des cinq sociétés de cartes de paiement afin de pouvoir traiter les transactions de leurs clients. S'y refuser pourrait entraîner des amendes, des litiges ou d'autres sanctions.

Les exigences de la norme PCI DSS s'étendent à l'infrastructure physique et numérique d'une organisation. Tous les travailleurs impliqués dans le traitement des paiements doivent également se conformer à la norme.

Quel effet de la norme PCI DSS sur les clients ?

Les clients jouent un rôle majeur dans le succès de la conformité PCI. En tant qu'entreprise, vous devez veiller à ce que les clients connaissent les risques associés aux paiements par carte ainsi que les mesures que vous prenez pour assurer leur sécurité.

En se mettant en conformité, les organisations peuvent s'assurer que les données des clients sont protégées et que leurs paiements par carte sont sécurisés. Cette démarche peut renforcer la confiance des clients et contribuer à établir une relation positive entre l'entreprise et ses clients.

Les avantages de la conformité PCI

La norme de sécurité des données du secteur des cartes de paiement (PCI DSS) assiste les entreprises de toutes tailles sur la manière de traiter les informations relatives aux cartes de crédit en toute sécurité. Malgré son apparence complexe, la conformité est vitale et peut être plus facile à réaliser qu'on ne le pensait initialement, surtout avec les bons outils.

Avec la conformité, vous profiterez de divers avantages :

  • La conformité à la norme PCI améliore votre réputation auprès de vos partenaires commerciaux, tels que les acquéreurs et les marques de paiement.
  • La conformité à cette norme renforce la confiance des clients à votre égard et à celui de vos capacités, ce qui se traduit par une augmentation des ventes et une fidélisation des clients.
  • La conformité réduit les menaces de sécurité internes et externes, réduisant ainsi le risque de violation des données et de fraude.
  • Elle peut vous aider à économiser de l'argent en rendant les paiements plus sûrs.
  • En plus d'atteindre facilement la conformité PCI, vous constaterez qu'il est beaucoup plus simple de se conformer aux autres réglementations, telles que l'HIPAA ou la SOX.
  • La conformité PCI vous rend susceptible d'améliorer l'efficacité de votre infrastructure informatique.
  • Bien qu'il ne s'agisse que d'un point de départ, la conformité PCI continue de contribuer aux stratégies de sécurité des entreprises.

En fin de compte, la conformité à la norme PCI DSS participera à protéger les données des clients en prouvant que votre organisation prend la sécurité des informations au sérieux. Cela peut avoir un effet positif sur la fidélisation et l'acquisition de clients, entraînant ainsi une augmentation des ventes et des bénéfices.

Les effets de la non-conformité sur les clients et les commerçants

La non-conformité à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) n'est pas sans conséquence pour les clients et les commerçants.

Pour les clients, la non-conformité signifie que leurs données risquent d'être compromises, ce qui peut donner lieu à une usurpation d'identité ou une perte financière. Pour les commerçants, la non-conformité peut les exposer à des amendes de la part des sociétés de cartes de paiement, mais aussi à des actions en justice et à une réputation écornée.

Il est important de noter que la non-conformité affecte toutes les parties concernées, et pas seulement les commerçants. Pour aider à protéger les clients et votre entreprise, il est donc crucial de se conformer aux exigences de la norme PCI DSS.

Comment les entreprises peuvent-elles satisfaire aux exigences de conformité PCI ?

Les organisations peuvent satisfaire aux exigences de conformité PCI en suivant un ensemble de pratiques d'excellence définies par le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC). Ces pratiques d'excellence nécessitent de :

  • veiller à ce que les données des titulaires de cartes soient sécurisées et stockées dans un environnement sûr ;
  • mettre en œuvre de mesures de contrôle d'accès rigoureuses pour empêcher tout accès non autorisé aux données des titulaires de cartes ;
  • effectuer régulièrement des analyses de vulnérabilité afin d'identifier les risques potentiels pour la sécurité ;
  • s'assurer que tous les travailleurs sont formés et informés des pratiques de sécurisation relatives aux données des titulaires de cartes ;
  • mettre en place d'un plan de réponse aux incidents efficace, pour faire face à tout incident lié aux données des titulaires de cartes ;
  • surveiller et tester régulièrement les réseaux pour détecter les problèmes de sécurité.

En suivant les pratiques d'excellence définies par le Conseil des normes de sécurité du secteur des cartes de paiement (PCI SSC), vous pouvez vous assurer que votre entreprise reste conforme aux dernières normes de sécurité et protéger les données de vos clients.

Gardez le contrôle de votre conformité PCI

La norme de sécurité des données du secteur des cartes de paiement (PCI DSS) est un ensemble complexe de contrôles de sécurité conçus pour protéger les données des clients titulaires de cartes. Se conformer à la norme peut être décourageant, mais il n'est pas nécessaire que cette tâche soit fastidieuse.

Avec les bons outils et processus, vous pouvez rapidement et facilement assurer la conformité PCI. Plus important encore, vous aurez besoin du partenaire approprié. Et c'est à ce moment là que Veritas entre en jeu. Nous avons à notre actif plusieurs années d'expérience en assistance aux organisations dans leurs démarches de conformité à la norme PCI, et nous pouvons vous aider à faire de même.

Nous proposons une gamme de produits conçus pour faciliter la démarche de conformité, ainsi que des services adaptés à vos besoins. Contactez-nous dès aujourd'hui, et laissez-nous vous montrer comment vous pouvez satisfaire aux exigences PCI sans effort.

 

Veritas compte parmi ses clients 95 % des entreprises du Fortune 100, et NetBackup™ est le premier choix des entreprises qui cherchent à protéger de grandes quantités de données.

 

Découvrez comment Veritas assure la protection totale de vos données sur les charges de travail virtuelles, physiques, , en nuage et héritées avec ses services de protection des données pour les entreprises.