Sécurité des données PCI
Protéger les renseignements de la carte de vos clients doit être la priorité afin d’établir une marque de confiance et de connaître le succès. Respecter la norme de sécurité des données PCI protège votre image de confiance.
Renseignements additionnels
-
Douze principes et exigences des normes PCI DSS
Les normes PCI DSS sont complexes et comprennent des exigences en matière de gestion de la sécurité, de politiques, de procédures, d’architecture de réseau, de conception logicielle et d’autres mesures de protection. Ces normes complètes ont pour but d’aider les entreprises à protéger de façon proactive les données des clients.
Vous trouverez ci-dessous les douze principes et exigences des normes PCI DSS.
Élaboration et maintien d’un réseau sécuritaire- Installez et maintenez un pare-feu pour protéger les données des titulaires de carte.
- N’utilisez pas les mots de passe ni les autres paramètres de sécurité établis par défaut par les fournisseurs.
Protection des données des titulaires de carte- Protégez les données enregistrées des titulaires de carte.
- Chiffrez toutes les données des titulaires de carte transmises par des réseaux ouverts et publics.
Maintien d’un programme de gestion de la vulnérabilité- Utilisez un logiciel antivirus et mettez-le à jour régulièrement.
- Développez et maintenez des systèmes et des applications sécuritaires
Mise en place de fortes mesures de contrôle des accès- Restreignez l’accès aux données des titulaires de carte aux employés qui en ont besoin dans le cadre de leur travail.
- Assignez un identifiant unique à chaque personne ayant accès à un ordinateur.
- Restreignez l’accès physique aux données des titulaires de carte.
Surveillance et tests réguliers des réseaux- Surveillez tous les accès aux réseaux et aux données des titulaires de carte.
- Testez régulièrement la sécurité des systèmes et des processus.
Maintien d’une politique de sécurité de l’information- Maintenez une politique portant sur la sécurité de l’information.
Vous pouvez consulter les normes PCI DSS et la documentation connexe sur le site https://fr.pcisecuritystandards.org.
-
Importance de la conformité aux normes PCI DSS et de la certification PCI DSS
Moneris est tout à fait d’accord avec la nécessité de normes plus strictes concernant la gestion des données des titulaires de carte. De plus, elle prend des mesures proactives afin que tous les commerçants adoptent ces normes et qu’ils s’y conforment constamment.
Le respect des normes PCI DSS est obligatoire. Si vos fournisseurs de service et vous ne respectez pas les normes PCI DSS, les associations de cartes pourraient vous imposer des frais et des amendes, et vos services de traitement des transactions pourraient prendre fin.
Être conforme aux normes PCI DSS signifie que toutes les exigences sont respectées. Pour obtenir la certification PCI DSS, une entité doit avoir recours aux services d’un évaluateur de sécurité qualifié afin de confirmer la conformité de l’entité aux normes PCI DSS. L’objectif de l’évaluateur sera de cibler les éléments de non-conformité. Le commerçant doit remédier à chacun de ces éléments. Lorsque chacun des éléments de non-conformité aura été réglé, l’évaluateur évaluera de nouveau l’entité et confirmera la conformité de l’entité. Le commerçant doit assumer les frais liés à la certification PCI DSS. -
Niveaux de commerçant et exigences de validation
Il est important de noter que tous les commerçants qui enregistrent, traitent ou transmettent des données de titulaires de carte doivent respecter les normes PCI DSS, et ce, peu importe le volume de transactions traitées ou le mode de paiement utilisé. Cependant, les exigences de certification varient en fonction des entreprises, et ils dépendent de votre niveau de commerçant.Niveau Description du niveau 1 - Tout commerçant qui traite annuellement plus de 6 000 000 de transactions par cartes Visa ou Mastercard, et ce, peu importe le canal d’acceptation
- Tout commerçant qui a subi une brèche ou une attaque de sécurité ayant entraîné la compromission des données d’un compte
- Tout commerçant qui répond aux exigences de niveau 1 déterminées par une association de cartes, et ce, à sa seule discrétion
2 - Tout commerçant qui traite annuellement entre 1 000 000 et 6 000 000 de transactions par carte d’un programme de carte, soit Visa ou Mastercard
3 - Tout commerçant qui traite annuellement entre 20 000 et 1 000 000 de transactions électroniques par cartes Visa ou Mastercard
4 - Tout commerçant électronique qui traite annuellement moins de 20 000 transactions électroniques par cartes Visa ou Mastercard
- Tout commerçant qui traite annuellement moins de 1 000 000 de transactions par cartes Visa ou Mastercard, et ce, peu importe le canal d’acceptation
* Les normes PCI DSS nécessitent que tous les commerçants procèdent à une évaluation externe de réseau afin d’être conformes (exigence 11.2). Les acquéreurs de transaction peuvent exiger que commerçants de niveau 4 soumettent leurs rapports ou questionnaire d’évaluation.
Exigences de validation du commerçant
Niveau de commerçant Exigences de validation Validé par Date d’échéance de la validation 1 Évaluation de sécurité des données PCI annuelle sur site Évaluateur de sécurité qualifié MasterCard:
06-30-05Visa:
12-31-05Questionnaire d’auto-évaluation PCI annuelle Évaluation de réseau trimestrielle Fournisseur d’évaluation approuvé 2 Questionnaire d’auto-évaluation PCI annuelle
Évaluateur de sécurité qualifié MasterCard:
12-31-08Visa:
12-31-05Évaluation de réseau trimestrielle Fournisseur d’évaluation approuvé 3 Questionnaire d’auto-évaluation PCI annuelle Évaluateur de sécurité qualifié MasterCard:
06-30-04Visa:
12-31-05Évaluation de réseau trimestrielle Fournisseur d’évaluation approuvé 4 Questionnaire d’auto-évaluation PCI annuelle Évaluateur de sécurité qualifié Discrétion de l’acquéreur de transactions -
Fournisseurs de service
Un fournisseur de service consiste en un organisme qui enregistre, traite ou transmet des données de titulaire de carte au nom des commerçants ou d’autres fournisseurs de service. Tous les fournisseurs de service doivent respecter les normes PCI DSS. De plus, tous les fournisseurs de service doivent valider leur conformité aux normes PCI DSS en ayant recours à un évaluateur de sécurité qualifié. Pour en savoir plus sur les fournisseurs de service, veuillez consulter les sites suivants (en anglais seulement) :
- Programme de fournisseurs de services mondiaux de Visa
- Programme de protection des données de Mastercard Worldwide - Fournisseur de service
Visa et Mastercard ont toutes deux publié une liste des fournisseurs de service conformes sur leur site Web. Pour obtenir une liste des fournisseurs de service dont la conformité aux normes PCI DSS a été confirmée, veuillez consulter les pages suivantes :
- Liste des fournisseurs de services mondiaux de Visa
- Liste des fournisseurs de services de Mastercard Worldwide
Moneris recommande aux commerçants et partenaires ayant besoin d’une analyse de leur site à des fins de conformité aux normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS) de consulter la liste des prestataires d’analyses approuvés (ASV) par le Conseil PCI, qui se trouve sur la page suivante (en anglais seulement) : https://pcidss.com/listing-category/asv-authorized-scanning-vendor/
-
Liens utiles
Pour obtenir de plus amples renseignements au sujet des normes de sécurité du SCP et des programmes de conformité de l'association des cartes, veuillez consulter la section Questions fréquentes et les sites Web suivants :
Sites Web de l'industrie
Conseils des normes de sécurité de l’industrie des paiements
Programme de prévention et de sécurité de VISA Canada
Programme SDP de Mastercard Worldwide
TrustwaveDocumentation (en anglais seulement)
Documentation concernant les normes PCI DSS
FAQ sur les normes PCI SSC
Questionnaires d’auto-évaluation concernant les normes PCI DSS
Liste des évaluateurs de sécurité qualifiés et des fournisseurs d’évaluation approuvés
Documentation concernant les normes PA DSS
