Vous êtes responsable de la sécurité des données du titulaire de carte.


Veiller à la sécurité des données transactionnelles de vos clients peut aider votre entreprise à créer et à conserver une image positive, à améliorer la confiance des clients et même à améliorer votre bénéfice net.

Dans le cadre des services de traitement des paiements par cartes de crédit et de débit de Moneris, nous souhaitons vous transmettre certains renseignements importants au sujet des normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS) et les programmes de conformité des associations de cartes.

Il est important que tous les commerçants et fournisseurs de services qui enregistrent, traitent et transmettent les données des titulaires de cartes respectent les normes PCI DSS et les programmes de conformité des associations de carte. Cependant, les exigences de certification varient en fonction des entreprises, et elles dépendent de votre niveau de commerçant ou de votre niveau de fournisseur de service. Si un commerçant ne respecte pas les normes PCI DSS et les programmes de conformité des associations de carte, il peut être soumis à des amendes, à des frais, à des évaluations ou à la cessation de ses services de traitement des paiements.

Les normes PCI DSS sont appliquées par les associations de cartes (American Express, Discover Financial Services, JCB, Mastercard Worldwide et Visa International). Moneris a pris les mesures nécessaires afin d’offrir à ses précieux clients les renseignements et les liens connexes dont ils ont besoin pour déterminer ce qu’ils doivent faire afin d’être conformes à ces normes.

À propos du Conseil PCI SSC

Le Conseil des normes de sécurité de l’industrie des paiements (PCI SSC) est un organisme indépendant fondé en septembre 2006 par les cinq principaux réseaux de cartes de crédit, soit American Express, Discover Financier, JCB, Mastercard Worldwide et Visa International. Le Conseil PCI SSC est responsable du développement et de l’évolution continue des normes de sécurité en matière de protection des données.
Le Conseil s’occupe actuellement des normes de sécurité suivantes :

  • les normes de sécurité des données PCI (DSS);
  • le programme PCI concernant les appareils traitant les transactions par NIP;
  • les normes de sécurité des données des applications de paiement (PA-DSS).
Le Conseil PCI SSC est également responsable de la formation et de la qualification des évaluateurs et des fournisseurs de sécurité qui valident la conformité des commerçants et des fournisseurs de service à ces normes. Il n’incombe pas au Conseil d’exiger le respect de ces normes; ce rôle est celui des associations de cartes.

Pour en savoir plus sur le Conseil PCI SSC, veuillez consulter le site https://fr.pcisecuritystandards.org.

À propos des normes PCI DSS


Les normes PCI DSS ont été créées afin de protéger les données des titulaires de carte. En raison de certaines importantes atteintes à la sécurité des données, il est devenu évident que des normes de sécurité des données globales étaient requises afin d’aider les commerçants et les fournisseurs de service à répondre aux exigences. Les normes PCI DSS sont basées sur douze principes et exigences. Elles exigent que les commerçants sécurisent leurs environnements de paiement physiques et virtuels afin de protéger les données des titulaires de carte. Tous les commerçants qui acceptent les cartes de crédit comme mode de paiement, ainsi que tous les fournisseurs de service qui participent au traitement des transactions par carte de crédit, doivent respecter les normes PCI DSS.

Renseignements additionnels

  • Douze principes et exigences des normes PCI DSS


    Les normes PCI DSS sont complexes et comprennent des exigences en matière de gestion de la sécurité, de politiques, de procédures, d’architecture de réseau, de conception logicielle et d’autres mesures de protection. Ces normes complètes ont pour but d’aider les entreprises à protéger de façon proactive les données des clients.

    Vous trouverez ci-dessous les douze principes et exigences des normes PCI DSS.

    Élaboration et maintien d’un réseau sécuritaire

    1. Installez et maintenez un pare-feu pour protéger les données des titulaires de carte.
    2. N’utilisez pas les mots de passe ni les autres paramètres de sécurité établis par défaut par les fournisseurs.

    Protection des données des titulaires de carte

    1. Protégez les données enregistrées des titulaires de carte.
    2. Chiffrez toutes les données des titulaires de carte transmises par des réseaux ouverts et publics.

    Maintien d’un programme de gestion de la vulnérabilité

    1. Utilisez un logiciel antivirus et mettez-le à jour régulièrement.
    2. Développez et maintenez des systèmes et des applications sécuritaires

    Mise en place de fortes mesures de contrôle des accès

    1. Restreignez l’accès aux données des titulaires de carte aux employés qui en ont besoin dans le cadre de leur travail.
    2. Assignez un identifiant unique à chaque personne ayant accès à un ordinateur.
    3. Restreignez l’accès physique aux données des titulaires de carte.

    Surveillance et tests réguliers des réseaux

    1. Surveillez tous les accès aux réseaux et aux données des titulaires de carte.
    2. Testez régulièrement la sécurité des systèmes et des processus.

    Maintien d’une politique de sécurité de l’information

    1. Maintenez une politique portant sur la sécurité de l’information.
    Vous pouvez consulter les normes PCI DSS et la documentation connexe sur le site https://fr.pcisecuritystandards.org.
  • Importance de la conformité aux normes PCI DSS et de la certification PCI DSS


    Moneris est tout à fait d’accord avec la nécessité de normes plus strictes concernant la gestion des données des titulaires de carte. De plus, elle prend des mesures proactives afin que tous les commerçants adoptent ces normes et qu’ils s’y conforment constamment.

    Le respect des normes PCI DSS est obligatoire. Si vos fournisseurs de service et vous ne respectez pas les normes PCI DSS, les associations de cartes pourraient vous imposer des frais et des amendes, et vos services de traitement des transactions pourraient prendre fin.

    Être conforme aux normes PCI DSS signifie que toutes les exigences sont respectées. Pour obtenir la certification PCI DSS, une entité doit avoir recours aux services d’un évaluateur de sécurité qualifié afin de confirmer la conformité de l’entité aux normes PCI DSS. L’objectif de l’évaluateur sera de cibler les éléments de non-conformité. Le commerçant doit remédier à chacun de ces éléments. Lorsque chacun des éléments de non-conformité aura été réglé, l’évaluateur évaluera de nouveau l’entité et confirmera la conformité de l’entité. Le commerçant doit assumer les frais liés à la certification PCI DSS.
  • Niveaux de commerçant et exigences de validation


    Il est important de noter que tous les commerçants qui enregistrent, traitent ou transmettent des données de titulaires de carte doivent respecter les normes PCI DSS, et ce, peu importe le volume de transactions traitées ou le mode de paiement utilisé. Cependant, les exigences de certification varient en fonction des entreprises, et ils dépendent de votre niveau de commerçant.

    Niveau Description du niveau
    1
    • Tout commerçant qui traite annuellement plus de 6 000 000 de transactions par cartes Visa ou Mastercard, et ce, peu importe le canal d’acceptation
    • Tout commerçant qui a subi une brèche ou une attaque de sécurité ayant entraîné la compromission des données d’un compte
    • Tout commerçant qui répond aux exigences de niveau 1 déterminées par une association de cartes, et ce, à sa seule discrétion
    2
    • Tout commerçant qui traite annuellement entre 1 000 000 et 6 000 000 de transactions par carte d’un programme de carte, soit Visa ou Mastercard
    3
    • Tout commerçant qui traite annuellement entre 20 000 et 1 000 000 de transactions électroniques par cartes Visa ou Mastercard
    4
    • Tout commerçant électronique qui traite annuellement moins de 20 000 transactions électroniques par cartes Visa ou Mastercard
    • Tout commerçant qui traite annuellement moins de 1 000 000 de transactions par cartes Visa ou Mastercard, et ce, peu importe le canal d’acceptation

    * Les normes PCI DSS nécessitent que tous les commerçants procèdent à une évaluation externe de réseau afin d’être conformes (exigence 11.2). Les acquéreurs de transaction peuvent exiger que commerçants de niveau 4 soumettent leurs rapports ou questionnaire d’évaluation.

    Exigences de validation du commerçant

    Niveau de commerçant Exigences de validation Validé par Date d’échéance de la validation
    1 Évaluation de sécurité des données PCI annuelle sur site Évaluateur de sécurité qualifié

    MasterCard:
    06-30-05

    Visa:
    12-31-05

    Questionnaire d’auto-évaluation PCI annuelle
    Évaluation de réseau trimestrielle  Fournisseur d’évaluation approuvé
    2 Questionnaire d’auto-évaluation PCI annuelle
    Évaluateur de sécurité qualifié MasterCard:
    12-31-08
    Visa:
    12-31-05
    Évaluation de réseau trimestrielle Fournisseur d’évaluation approuvé
    3 Questionnaire d’auto-évaluation PCI annuelle Évaluateur de sécurité qualifié MasterCard:
    06-30-04
    Visa:
    12-31-05
    Évaluation de réseau trimestrielle  Fournisseur d’évaluation approuvé
    4 Questionnaire d’auto-évaluation PCI annuelle Évaluateur de sécurité qualifié Discrétion de l’acquéreur de transactions
  • Fournisseurs de service

    Un fournisseur de service consiste en un organisme qui enregistre, traite ou transmet des données de titulaire de carte au nom des commerçants ou d’autres fournisseurs de service. Tous les fournisseurs de service doivent respecter les normes PCI DSS. De plus, tous les fournisseurs de service doivent valider leur conformité aux normes PCI DSS en ayant recours à un évaluateur de sécurité qualifié. Pour en savoir plus sur les fournisseurs de service, veuillez consulter les sites suivants (en anglais seulement) :


    Visa et Mastercard ont toutes deux publié une liste des fournisseurs de service conformes sur leur site Web. Pour obtenir une liste des fournisseurs de service dont la conformité aux normes PCI DSS a été confirmée, veuillez consulter les pages suivantes :

    Moneris et Trustwave

    Moneris a établi un partenariat avec Trustwave afin que ses commerçants puissent accéder au portail de conformité TrustKeeperMD, un portail de conformité en ligne qui peut les aider à respecter les normes PCI DSS. Trustwave est un évaluateur de sécurité qualifié (www.trustwave.com) ainsi qu’un évaluateur de sécurité qualifié en matière d’application de paiement (PA-QSA) pour les normes PCI DSS. Pour vous inscrire auprès de Trustwave, cliquez ici : https://pci.trustwave.com/moneris_solutions.

    Coordonnées de Trustwave : Questions générales : 1 312 873-7500 ou info@trustwave.com
    Ventes : 1 888 878-7817 ou infosales@trustwave.com
    Soutien : 1 800 363-1621 ou support@trustwave.com
  • Liens utiles

    Pour obtenir de plus amples renseignements au sujet des normes de sécurité du SCP et des programmes de conformité de l'association des cartes, veuillez consulter la section Questions fréquentes et les sites Web suivants :

    Sites Web de l'industrie
    PCI Security Standards Council
    VISA Canada AIS Program
    MasterCard Worldwide SDP Program
    Trustwave

    Documentation
    PCI DSS Supporting Documentation
    PCI SSC FAQ
    PCI DSS Self Assessment Questionnaires
    List of Qualified Security Assessors (QSA) and Approved Scanning Vendors (ASV)
    PA-DSS Documentation

    Les renseignements contenus dans le présent document sont fournis à titre d’information seulement et Solutions Moneris n’en garantit ni l’exactitude ni l’exhaustivité. Bien que nous estimions les renseignements fiables, nous ne pouvons garantir qu’ils ne seront modifiés subséquemment à cause de facteurs nouveaux comme des modifications apportées aux règlements par les associations de cartes de crédit. Les renseignements contenus dans le présent document peuvent être modifiés sans préavis. Nous vous invitons à revenir fréquemment à l’affût de mises à jour. Solutions Moneris n’accepte aucune responsabilité à l’égard des sites externes mentionnés dans le présent document.