Les risques liés aux logiciels malveillants, à l’hameçonnage par courriel, aux mots de passe faibles et au manque de formation sont les principales causes de compromission des données des comptes de cartes de paiement. La norme PCI DSS est une norme obligatoire de sécurité de l’information conçue avec les contrôles et garanties nécessaires pour protéger les données des comptes de cartes de paiement. Les commerçantes et commerçants de toute taille qui acceptent, traitent et stockent les données des comptes de cartes de paiement, ou qui y ont accès, doivent protéger ces données conformément à la norme PCI DSS.

Le succès de la norme PCI DSS repose sur une approche collaborative entre les parties prenantes de secteur des paiements afin de relever les défis posés par l’évolution des menaces visant les données des comptes de cartes de paiement. Ces parties prenantes sont, entre autres, le Conseil des normes de sécurité de l’industrie des paiements (PCI SSC), les réseaux de cartes de paiement (American Express, Discover, JCB, Mastercard, UnionPay et Visa), les fournisseurs de services de paiement comme Moneris et les commerçantes et commerçants comme vous.

La norme PCI DSS est structurée en six principes directeurs comprenant douze exigences de sécurité. Ces exigences décrivent les contrôles et les pratiques nécessaires pour protéger les données des comptes de cartes de paiement et se conformer à la norme PCI DSS. Le respect de la norme PCI DSS signifie que votre entreprise a mis en place les pratiques et contrôles applicables décrits dans les douze exigences de sécurité.

La norme PCI DSS et ses exigences en matière de sécurité peuvent être consultées à l’adresse suivante : https://www.pcisecuritystandards.org/lang/fr-fr/.

Les douze exigences ainsi que les six principes directeurs sont les suivants :

Créer et Maintenir un Réseau et des Systèmes Sécurisés

Exigence 1 : Installer et maintenir des contrôles de sécurité du réseau

Exigence 2 : Appliquer des configurations sécurisées à tous les composants du système

Protéger les Données de Carte

Exigence 3 : Protéger les données stockées des comptes

Exigence 4 : Protéger les données des titulaires de carte par une cryptographie forte lors de leur transmission sur des réseaux ouverts et publics

Maintien d’un programme de gestion de la vulnérabilité

Exigence 5 : Protéger tous les systèmes et réseaux contre les logiciels malveillants

Exigence 6 : Développer et maintenir des systèmes et des logiciels sécuritaires

Mise en œuvre de fortes mesures de contrôle des accès

Exigence 7 : Restreindre l’accès aux composants du système et aux données des titulaires de carte aux personnes qui en ont besoin dans le cadre de leur travail

Exigence 8 : Identifier les utilisatrices et utilisateurs et authentifier l’accès aux composants du système

Exigence 9 : Restreindre l’accès physique aux données des titulaires de carte

Surveillance et tests réguliers des réseaux

Exigence 10 : Enregistrer et surveiller tous les accès aux composants du système et aux données des titulaires de carte

Exigence 11 : Tester régulièrement la sécurité des systèmes et des réseaux

Maintien d’une politique de sécurité de l’information

Exigence 12 : Soutenir la sécurité de l’information par des politiques et des programmes organisationnels

Une fois que votre entreprise a mis en place les pratiques et contrôles applicables, l’étape suivante consiste à valider la conformité de votre entreprise à la norme PCI DSS à l’aide de documents approuvés de validation.

Les exigences en matière de validation de la conformité varient en fonction de la taille de l’entreprise et du niveau de la commerçante ou du commerçant. Moneris aide ses commerçantes et commerçants à confirmer leur niveau ainsi que les exigences de validation associées, et les soutient tout au long de leurs parcours de conformité. Les documents de validation de la norme PCI DSS complétés sont ensuite soumis à Moneris pour examen.

Vous trouverez ci-dessous un aperçu général des niveaux de commerçante et commerçant, leurs critères et les exigences de validation. Ces critères et exigences de validation peuvent varier d’un réseau de cartes de paiement à l’autre.

Documents et références de validation de conformité à la norme PCI DSS 

Les documents et références de validation de conformité à la norme PCI DSS peuvent être consultés aux liens ci-dessous :

• Les documents de certification des rapports annuels de conformité (ORC), des questionnaires d’autoévaluation (SAQ) et des attestations annuelles de conformité (AOC) se trouvent ici : https://www.pcisecuritystandards.org/lang/fr-fr/.
• La liste des évaluatrices qualifiées et évaluateurs qualifiés de sécurité (QSA) se trouve ici : https://listings.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors.
• Des renseignements supplémentaires sur le programme d’évaluation interne (ISA) se trouvent ici : https://www.pcisecuritystandards.org/assessors_and_solutions/become_isa/.
• La liste des fournisseurs d’évaluation approuvés se trouve ici : https://listings.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors.

• Comprenez et documentez la manière dont votre entreprise traite, collecte, stocke et interagit avec les données des comptes de cartes de paiement. C’est ce qu’on appelle la portée.
• Si vous n’avez pas besoin des données des comptes de cartes de paiement, ne les stockez pas.
• Limitez l’accès aux données et aux systèmes des comptes de cartes de paiement au personnel qui a besoin de connaître ces renseignements.
• Limitez le nombre de personnes, de processus et de technologies nécessaires pour exécuter les fonctions d’acceptation des cartes de paiement.
• Utilisez et conservez des mots de passe forts pour l’accès aux systèmes.
• Remplissez les documents de validation à la norme PCI DSS applicables pour démontrer la conformité de votre entreprise.
• Inspectez les terminaux de paiement et protégez-les contre toute modification ou altération non autorisée.
• Vérifiez que les logiciels sont à jour avec les derniers correctifs ainsi que les versions les plus récentes.
• Travaillez avec des fournisseurs de service tiers conformes à la norme PCI DSS, des fournisseurs d’évaluation approuvés et des évaluatrices qualifiées et évaluateurs qualifiés de sécurité.
• Formez votre personnel en continu aux meilleures pratiques en matière de sécurité.

Les données des comptes de cartes de paiement sont les renseignements d’une carte de paiement. Il s’agit des données d’authentification de la titulaire ou du titulaire de carte et des données d’authentification sensibles.

Les données relatives à la titulaire ou au titulaire de carte sont les principaux identifiants de la carte de paiement utilisée pour effectuer les paiements. Les données d’authentification sensibles sont les éléments de données utilisés par la banque émettrice de la carte de paiement pour authentifier la cliente ou le client.

La norme PCI DSS et ses contrôles et pratiques s’appliquent aux données des comptes de cartes de paiement et aux entreprises qui traitent et stockent les données des comptes de cartes de paiement ou y ont accès. Cela inclut l’obligation de ne pas conserver ou stocker les données d’authentification sensibles après autorisation, même si elles sont cryptées.

La portée est le processus de détermination et de validation des personnes, des processus et des technologies qui traitent et stockent les données, qui y accèdent ou qui peuvent avoir une incidence sur la sécurité des données des comptes de cartes de paiement. Réduire au minimum le nombre de personnes, de processus et de technologies nécessaires pour exécuter les fonctions d’acceptation des cartes de paiement est un moyen efficace de minimiser les risques pour les données des comptes de cartes de paiement.

Oui. Moneris maintient son statut de fournisseur de services se conformant à la norme PCI DSS de niveau 1. Ce statut est transmis annuellement à tous les principaux réseaux de cartes de paiement.

Moneris est l’un des plus importants fournisseurs de services de paiement et offre une gamme complète de produits et de solutions de paiement. L’engagement de Moneris à maintenir le plus haut niveau de sécurité est démontré par sa conformité aux exigences la norme PCI DSS, tant pour ses produits que pour son infrastructure.

Des renseignements supplémentaires sur l’approche de Moneris en matière de sécurité PCI DSS pour ses produits et solutions de paiement, y compris une matrice de responsabilité, se trouvent ici : https://www.moneris.com/fr-ca/soutien/conformit%C3%A9-et-s%C3%A9curit%C3%A9/matrice-de-responsabilite.

Des renseignements supplémentaires sur les fournisseurs de service tiers conformes à la norme PCI DSS sont accessibles en consultant les listes des réseaux de cartes de paiement ci-dessous.

Mastercard : Information à l’intention des commerçants (mastercard.ca)

Visa : Programme de fournisseurs de services mondiaux de Visa, résultats de la recherche (en anglais seulement)

Dans l’éventualité d’une compromission présumée des données d’un compte de cartes de paiement, nous vous conseillons de communiquer avec Moneris rapidement par téléphone au 1 866 319-7450 ou de contacter l’équipe de conformité à la norme PCI DSS de Moneris en utilisant le formulaire en ligne que vous pourrez trouver en cliquant sur le lien ci-dessous.

Des renseignements supplémentaires à propos de la norme PCI DSS peuvent être obtenus auprès du PCI SSC et des réseaux de cartes de paiement en cliquant sur les liens ci-dessous.

• PCI SSC : Conseils des normes de sécurité de l’industrie des paiements
• American Express : Conformité à la norme PCI et sécurité des données, American Express^MD
• Discover : Résumé de la conformité à la norme PCI, Discover Global Network (en anglais seulement)
• Mastercard : Programme de protection des données des sites (SDP), conformité à la norme PCI DSS
• Visa : Sécurité et détection des fraudes sur les cartes de crédit pour les marchands, Visa

Si vous avez d’autres questions sur la norme PCI DSS, vous pouvez communiquer avec l’équipe de Moneris responsable de la conformité à la norme PCI DSS pour les commerçantes et commerçants en cliquant sur le lien ci-dessous.