Pour déterminer les responsabilités des commerçants quant aux appareils semi-intégrés, à Moneris, nous nous sommes appuyés sur les directives trouvées dans les critères d’admissibilité des commerçants du questionnaire d’auto-évaluation B-IP (SAQ B-IP) pour les appareils autonomes (sans fil/par adresse IP) et les appareils semi-intégrés. Ce questionnaire d’auto-évaluation ne comprend que les exigences de la norme PCI DSS applicables aux commerçants qui traitent des données de compte comme indiqué ci-dessous.
Les commerçants admissibles au questionnaire SAQ B-IP confirment que, pour ce canal de paiement :
– Le commerçant utilise un appareil autonome de point d’interaction approuvé par l’industrie des cartes de paiement et conforme à la norme PTS (à l’exception des lecteurs de carte à puce et des lecteurs de carte à puce pour NIP), connecté par adresse IP au serveur du fournisseur de services de paiement pour recueillir les renseignements de la carte de paiement du client;
– Les appareils autonomes de point d’interaction à connexion IP sont certifiés par le programme PTS POI en plus d’être mentionnés sur le site Web du Conseil des normes de sécurité PCI (à l’exception des lecteurs de carte à puce et des lecteurs de carte à puce pour NIP);
– Les appareils autonomes de point d’interaction à connexion IP conformes à la norme PTS ne sont connectés à aucun autre système au sein de l’environnement du commerçant (p. ex. en segmentant le réseau pour isoler les appareils de point d’interaction des autres systèmes);
– Seuls les appareils de point d’interaction conformes à la norme PTS peuvent transmettre des données de compte, et ce, uniquement au fournisseur de services de paiement;
– L’appareil de point d’interaction conforme à la norme PTS ne dépend pas d’autres appareils (p. ex. ordinateur, téléphone mobile, tablette) pour se connecter au serveur du fournisseur de services de paiement;
– Les données de compte que le commerçant pourrait conserver sont sur papier (par exemple, des rapports ou des reçus imprimés), et ces documents ne sont pas reçus électroniquement.
Ce questionnaire d’auto-évaluation ne comprend que les exigences qui s’appliquent à un type précis d’environnement pour le commerçant, comme défini dans les critères d’admissibilité ci-dessus. Si des exigences de la norme PCI DSS applicables à l’environnement de données des titulaires de carte ne sont pas abordées dans ce questionnaire d’auto-évaluation, cela peut indiquer qu’il n’est pas adapté à l’environnement du commerçant.
Pour déterminer les responsabilités des commerçants pour les appareils intégrés, à Moneris, nous nous sommes appuyés sur les directives trouvées dans les critères d’admissibilité des commerçants du questionnaire d’auto-évaluation C (SAQ C) pour les appareils autonomes (sans fil/par adresse IP) et les appareils intégrés. Ce questionnaire d’auto-évaluation ne comprend que les exigences de la norme PCI DSS applicables aux commerçants qui traitent des données de compte comme indiqué ci-dessous.
Les commerçants admissibles au questionnaire SAQ C confirment que, pour ce canal de paiement :
– Le commerçant dispose d’un système d’application de paiement et d’une connexion Internet sur le même appareil ou le même réseau local (LAN);
– Le système d’application de paiement n’est connecté à aucun autre système au sein de l’environnement du commerçant (p. ex. en segmentant le réseau pour isoler le système d’application de paiement ou l’appareil avec connexion Internet des autres systèmes);
– L’emplacement physique de l’environnement du point de vente n’est pas rattaché à d’autres locaux ou emplacements, et le réseau local est réservé à un commerce unique;
– Les données de compte que le commerçant pourrait conserver sont sur papier (par exemple, des rapports ou des reçus imprimés), et ces documents ne sont pas reçus électroniquement.
Ce questionnaire d’auto-évaluation ne comprend que les exigences qui s’appliquent à un type précis d’environnement pour le commerçant, comme défini dans les critères d’admissibilité ci-dessus. Si des exigences de la norme PCI DSS applicables à l’environnement de données des titulaires de carte ne sont pas abordées dans ce questionnaire d’auto-évaluation, cela peut indiquer qu’il n’est pas adapté à l’environnement du commerçant.
Détermination des critères d’admissibilité des commerçants pour les appareils de chiffrement point à point (P2PE) (SAQ P2PE)
Pour déterminer les responsabilités des commerçants quant aux appareils de chiffrement point à point (P2PE), à Moneris, nous nous sommes appuyés sur les directives trouvées dans les critères d’admissibilité des commerçants du questionnaire d’auto-évaluation pour les appareils de chiffrement point à point (SAQ P2PE). Ce questionnaire d’auto-évaluation ne comprend que les exigences de la norme PCI DSS applicables aux commerçants qui traitent des données de compte par l’intermédiaire d’une solution P2PE certifiée par le Conseil PCI. Les commerçants admissibles au questionnaire SAQ P2PE n’ont pas accès à des données de compte en texte clair sur aucun système informatique et saisissent uniquement des données de compte par l’intermédiaire d’appareils de paiement d’une solution P2PE certifiée par le Conseil PCI. Les commerçants admissibles au questionnaire SAQ P2PE peuvent être soit des commerçants ayant pignon sur rue (carte présente), soit des commerçants qui effectuent des transactions liées à des commandes postales ou téléphoniques (carte non présente). Par exemple, un commerçant qui effectuent des transactions liées à des commandes postales ou téléphoniques pourrait être admissible au questionnaire SAQ P2PE s’il reçoit des données de compte sur papier ou par téléphone et les saisit directement dans le terminal de paiement seulement d’une solution P2PE certifiée par le Conseil PCI.
Les commerçants admissibles au questionnaire SAQ P2PE confirment que, pour ce canal de paiement :
– Tous les paiements sont traités par l’intermédiaire d’une solution P2PE certifiée par le Conseil PCI;
– Les seuls systèmes au sein de l’environnement du commerçant qui stockent, traitent ou transmettent des données de compte sont les appareils de paiement d’une solution P2PE certifiée par le Conseil PCI;
– Le commerçant ne reçoit pas, ne transmet pas et ne stocke pas des données de compte par voie électronique;
– Les données de compte que le commerçant pourrait conserver sont sur papier (par exemple, des rapports ou des reçus imprimés), et ces documents ne sont pas reçus électroniquement;
– Le commerçant a mis en œuvre tous les contrôles prévus dans le manuel d’instructions de la solution P2PE fourni par le fournisseur de solution P2PE.
Ce questionnaire d’auto-évaluation ne comprend que les exigences qui s’appliquent à un type précis d’environnement pour le commerçant, comme défini dans les critères d’admissibilité ci-dessus. Si des exigences de la norme PCI DSS applicables à l’environnement de données des titulaires de carte ne sont pas abordées dans ce questionnaire d’auto-évaluation, cela peut indiquer qu’il n’est pas adapté à l’environnement du commerçant.
Détermination des critères d’admissibilité des commerçants pour les passerelles de paiement (SAQ D)
Pour déterminer les responsabilités des commerçants quant aux passerelles de paiement, à Moneris, nous nous sommes appuyés sur les critères d’admissibilité des commerçants du questionnaire d’auto-évaluation D. Le questionnaire SAQ D s’applique aux commerçants qui peuvent remplir un questionnaire d’auto-évaluation, mais qui ne répondent pas aux critères des autres questionnaires SAQ. Ce questionnaire d’auto-évaluation ne comprend que les exigences de la norme PCI DSS applicables aux commerçants qui traitent des données de compte comme indiqué ci-dessous.
Les exemples d’environnements auxquels le questionnaire SAQ D peut s’appliquer comprennent notamment :
– Les commerçants en ligne qui acceptent des données de compte sur leur site Web;
– Les commerçants qui stockent des données de compte sous forme électronique;
– Les commerçants qui ne stockent pas de données de compte électroniquement et qui ne répondent pas aux critères des autres questionnaires SAQ;
– Les commerçants dont l’environnement peut répondre aux critères d’un autre questionnaire SAQ, mais qui doivent répondre à des exigences supplémentaires de la norme PCI DSS applicables à leur environnement.
Détermination des critères d’admissibilité des commerçants pour les solutions hébergées (Moneris Checkout) (SAQ A-EP)
Pour déterminer les responsabilités du commerçant quant aux solutions hébergées, à Moneris, nous nous sommes appuyés sur les critères d’admissibilité des commerçants du questionnaire SAQ A-EP. Le questionnaire SAQ A-EP ne comprend que les exigences de la norme PCI DSS applicables aux commerçants en ligne qui disposent d’un ou de plusieurs sites Web qui ne reçoivent pas de données de compte, mais qui compromettent la sécurité de la transaction de paiement ou l’intégrité de la page qui accepte les données de compte du client. Les commerçants admissibles au questionnaire SAQ A-EP sont des commerçants en ligne qui externalisent partiellement leur canal de paiement de commerce en ligne à des tiers certifiés et conformes à la norme PCI DSS et qui ne stockent, ne traitent ou ne transmettent pas électroniquement de données de compte dans leurs systèmes ou emplacements. Ce questionnaire d’auto-évaluation ne comprend que les exigences de la norme PCI DSS applicables aux commerçants qui traitent des données de compte comme indiqué ci-dessous.
Les commerçants admissibles au questionnaire SAQ A-EP confirment que, pour ce canal de paiement :
– Le commerçant n’accepte que des transactions de commerce électronique;
– Le traitement des données de compte, à l’exception de la page de paiement, est entièrement confié à un fournisseur de service tiers ou à un fournisseur de services de paiement conforme à la norme PCI DSS;
– Le site Web de commerce électronique du commerçant ne reçoit pas de données de compte, mais contrôle la manière dont les clients, ou leurs données de compte, sont redirigés vers un fournisseur de service tiers ou un fournisseur de services de paiement conforme à la norme PCI DSS;
– Si le site Web du commerçant est hébergé par un fournisseur de service tiers, ce dernier respecte toutes les exigences de la norme PCI DSS applicables (y compris l’annexe A de la norme PCI DSS si le fournisseur de service tiers est un fournisseur d’hébergement à locataires multiples);
– Chaque élément de la ou des pages de paiement transmis au navigateur du client provient soit du site Web du commerçant, soit d’un fournisseur de service tiers conforme à la norme PCI DSS;
– Le commerçant ne stocke pas, ne traite pas et ne transmet pas électroniquement des données de compte dans ses systèmes ou ses emplacements, mais confie entièrement à un ou à plusieurs fournisseurs de service tiers la gestion de toutes ces fonctions;
– Le commerçant a examiné les formulaires d’attestation de conformité à la norme PCI DSS de ses fournisseurs de services tiers et a confirmé qu’ils sont conformes à la norme PCI DSS pour les services auxquels il a recours;
– Les données de compte que le commerçant pourrait conserver sont sur papier (par exemple, des rapports ou des reçus imprimés), et ces documents ne sont pas reçus électroniquement.
Ce questionnaire d’auto-évaluation ne comprend que les exigences qui s’appliquent à un type précis d’environnement pour le commerçant, comme défini dans les critères d’admissibilité ci-dessus. Si des exigences de la norme PCI DSS applicables à l’environnement de données des titulaires de carte ne sont abordées dans ce questionnaire d’auto-évaluation, cela peut indiquer qu’il n’est pas adapté à l’environnement du commerçant.
Détermination des critères d’admissibilité des commerçants pour les solutions hébergées (appareils virtuels) (SAQ C-VT)
Pour déterminer les responsabilités du commerçant quant aux solutions hébergées (appareils virtuels), à Moneris, nous nous sommes appuyés sur les critères d’admissibilité des commerçants du questionnaire SAQ C-VT. Le questionnaire SAQ C-VT ne comprend que les exigences de la norme PCI DSS applicables aux commerçants qui traitent des données de compte uniquement au moyen de solutions de terminaux de paiement virtuels de tiers sur un appareil informatique isolé connecté à Internet. Un terminal de paiement virtuel est une solution tierce utilisée pour soumettre les transactions par carte de paiement à un site Web d’un fournisseur de service tiers conforme à la norme PCI DSS aux fins d’autorisation. Cette solution permet au commerçant de saisir manuellement des données de compte à partir d’un appareil informatique isolé par l’intermédiaire d’un navigateur Web connecté de manière sécurisée. Contrairement aux appareils physiques, les appareils de paiement virtuels ne lisent pas les données directement à partir d’une carte de paiement. Cette option du questionnaire d’auto-évaluation vise uniquement les commerçants qui saisissent manuellement les transactions une à la fois, à l’aide d’un clavier, dans un terminal de paiement virtuel qui se trouve sur Internet. Les commerçants admissibles au questionnaire SAQ C-VT peuvent être soit des commerçants ayant pignon sur rue (carte présente), soit des commerçants qui effectuent des transactions liées à des commandes postales ou téléphoniques (carte non présente), et ils ne stockent pas de données de compte sur un système informatique. Ce questionnaire d’auto-évaluation ne comprend que les exigences de la norme PCI DSS applicables aux commerçants qui traitent des données de compte comme indiqué ci-dessous.
Les commerçants admissibles au questionnaire SAQ C-VT confirment que, pour ce canal de paiement :
– Le traitement des paiements se fait uniquement par l’intermédiaire d’un terminal de paiement virtuel auquel on accède par un navigateur Web connecté à Internet;
– La solution de terminal de paiement virtuel est fournie et hébergée par un fournisseur de services tiers conforme à la norme PCI DSS;
– La solution de terminal de paiement virtuel conforme à la norme PCI DSS n’est accessible qu’au moyen d’un appareil informatique isolé en un seul lieu et non connecté à d’autres emplacements ou systèmes;
– L’appareil informatique n’est pas muni d’un logiciel permettant de stocker des données de compte (par exemple, il n’y a aucun logiciel de traitement par lots ou de transaction différée);
– L’appareil informatique n’est pas muni de périphériques utilisés pour enregistrer ou stocker des données de compte (par exemple, il n’y a aucun lecteur de carte);
– Le commerçant ne reçoit pas, ne transmet pas et ne stocke pas de données de compte par voie électronique au moyen d’autres canaux (par exemple, par l’intermédiaire d’un réseau interne ou d’Internet);
– Les données de compte que le commerçant pourrait conserver sont sur papier (par exemple, des rapports ou des reçus imprimés), et ces documents ne sont pas reçus électroniquement.
Ce questionnaire d’auto-évaluation ne comprend que les exigences qui s’appliquent à un type précis d’environnement pour le commerçant, comme défini dans les critères d’admissibilité ci-dessus. Si des exigences de la norme PCI DSS applicables à l’environnement de données des titulaires de carte ne sont pas abordées dans ce questionnaire d’auto-évaluation, cela peut indiquer qu’il n’est pas adapté à l’environnement du commerçant.
Légende de la matrice des responsabilités des fournisseurs de service tiers
Les responsabilités liées aux exigences de la norme PCI DSS qui ont été attribuées dans le cadre des responsabilités des fournisseurs de service tiers sont définies comme suit :
1. Moneris : Moneris, en tant qu’entreprise qui fournit des services tiers, est entièrement responsable du respect de l’exigence de la norme PCI DSS concernée.
2. Moneris : Le commerçant est entièrement responsable du respect de l’exigence de la norme PCI DSS concernée.
3. S. O. : La responsabilité ne s’applique ni à Moneris ni au commerçant.
