|
|
| |
| À propos de la sécurité des données des titulaires de cartes |
|
|
En protégeant l’information relative aux cartes utilisées par vos clients, vous aidez votre entreprise à projeter une image positive, à augmenter la confiance que vos clients lui témoignent et même à augmenter son chiffre d’affaires.
Dans le cadre de l’engagement de MONEXgroup à assister ses marchands avec leurs besoins de traitement pour les transactions réglées par carte de débit et de crédit, nous voulons vous faire part de renseignements importants au sujet de la Norme de sécurité des données du secteur des cartes de paiements (SCP/PCI) et des programmes de conformité des associations de cartes de crédit.
Il est essentiel de noter que tous les commerçants et fournisseurs de services qui conservent, traitent ou transmettent des données sur les titulaires de cartes doivent se conformer à la Norme de sécurité des données du SCP/PCI et aux programmes de conformité des associations de cartes de crédit. Les exigences pour la certification, toutefois, varient en fonction de l’entreprise et dépendent de votre «
niveau de commerçant » ou « niveau de fournisseur de services ». Le fait de manquer de se conformer à la Norme de sécurité des données du SCP/PCI et aux programmes de conformité des associations de cartes de crédit peut faire que les commerçants soient assujettis à des amendes, frais ou imputations et (ou) à la résiliation des services de traitement.
MONEXgroup a entrepris des démarches pour fournir à ses clients les renseignements et les liens qui les aideront à déterminer les mesures à prendre pour se conformer à la Norme de sécurité des données du SCP/PCI.
|
| |
 À propos du Conseil des normes de sécurité du secteur des cartes de paiement PCI SSC
Le Conseil des normes de sécurité du secteur des cartes de paiement (PCI SSC) est un conseil indépendant fondé en septembre 2006 par American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa International. Le PCI SSC est responsable du développement, de la gestion, de l’éducation et de la sensibilisation en ce qui concerne les normes de sécurité du secteur des cartes de paiement, notamment :
∙ les normes de sécurité des données (Data Security Standard, DSS)
∙ les exigences des dispositifs de saisie du NIP (PED)
∙ la norme de sécurité des données des applications de paiement (PA-DSS)
La mission du Conseil des normes de sécurité PCI est d'améliorer la sécurité des données des comptes de paiement en favorisant l'éducation et la sensibilité aux normes de sécurité PCI. The PCI SSC est également responsable pour la formation et la qualification des évaluateurs qui valident la conformité des fournisseurs de service et des marchands contre ces standards. The PCI SSC n’est toutefois pas responsable de faire respecter la conformité de ces standards. L’imposition de conformité est gérée de façon indépendante par l’Association des Cartes Bancaires. Pour plus d’informations à propos du PCI SSC veuillez vous rendre sur le site de
www.pcisecuritystandards.org
| » |
Programme d'Artifices d'Entrée de code confidentiel de
PCI (PED) |
| » |
Norme de Sécurité de Données d'Application de Paiement de
PCI (PAPA-DSS) |
| |
|
|
Le PCI SSC est aussi responsable de l'entraînement et de la qualification
d'assesseurs de sécurité et de vendeurs qui valident le négociant et
l'acquiescement de pourvoyeur de service contre ces normes. Le PCI SSC n'est pas
responsable de faire respecter l'acquiescement à ces normes. La mise en vigueur
d'acquiescement est dirigée de façon indépendante par les Associations de Carte.
Pour plus d'informations sur le PCI SSC visitez s'il vous plaît
www.pcisecuritystandards.org |
|
|
Douze exigences de base pour PCI DSS
PCI DSS est une norme de sécurité à plusieurs facettes pour satisfaire aux exigences de la gestion de la sécurité, aux questions de politiques générales, aux procédures d’opération, à l’architecture de réseau, à la conception de logiciels et autres mesures critiques de protection. Cette norme détaillée est destinée aux organisations pour qu’elles soient à l’avant-garde dans la protection des données des titulaires de cartes de crédit.
Les Normes de sécurité des données de PCI sont constituées de 12 exigences de base, comportant chacune des sous-exigences plus détaillées :
| » |
Établir et maintenir un réseau sécuritaire |
| |
| » |
Installer et maintenir une configuration de pare-feu pour protéger les données. |
| » |
Ne pas utiliser les paramètres par défaut du fournisseur dans le cas des mots de passe et des autres paramètres de sécurité. |
|
| » |
Protéger les données des titulaires de carte |
| |
| » |
Protéger les données conservées. |
| » |
Chiffrer la transmission des données des titulaires de carte et de l’information de nature délicate par le biais des réseaux publics.
|
|
| » |
Maintenir un programme de gestion de la vulnérabilité |
| |
| » |
Utiliser et mettre régulièrement à jour un logiciel d’anti-virus. |
| » |
Développer et maintenir des systèmes et des applications sécuritaires. |
|
| » |
Mettre en place de solides mesures de contrôle de l’accès |
| |
| » |
Restreindre l’accès aux données aux personnes qui ont besoin de les connaître. |
| » |
Attribuer un code d’utilisateur unique à chaque personne ayant accès à l’ordinateur. |
| » |
Restreindre l’accès physique aux données des titulaires de carte. |
|
| » |
Surveiller et tester régulièrement les réseaux |
| |
| » |
Assurer un suivi et une surveillance de tout accès aux ressources du réseau et aux données des titulaires de carte. |
| » |
Tester régulièrement les systèmes et les processus de sécurité. |
|
| » |
Maintenir une politique de sécurité de l’information |
| |
| » |
Maintenir une politique en matière de sécurité de l’information. |
|
| |
La documentation relative aux standards de sécurité PCI DSS peut être examinée sur
https://www.pcisecuritystandards.org. |
|
|
|
| |
Niveaux définis des marchants et validation de la conformité
Tous les marchands qui
stockent, traitent ou communiquent les données sur les titulaires de carte pour le compte des clients sont tenus de se conformer avec le PCI DSS et de valider leur conformité selon leur Niveau Marchand. |
|
| |
Niveau de marchands / Description
| Niveau |
Description du niveau |
| 1 |
| » |
Tout marchand, sans égard au réseau d’acceptation, traitant annuellement plus de
6 000 000 de transactions Visa ou MasterCard. |
| » |
Tout marchand ayant été victime d’une intrusion informatique non autorisée ayant causé la compromission des données concernant les comptes.
|
| » |
Tout marchand qui a été identifié par toute autre marque de carte de paiement comme faisant partie du niveau 1 |
|
| 2 |
| » |
Tout marchand, sans égard au réseau d’acceptation, traitant annuellement entre
1 000 000 et 6 000 000
de transactions Visa ou MasterCard. |
|
| 3 |
| » |
Tout marchand traitant annuellement de 20 000 à 1 000 000 de transactions Visa ou MasterCard par commerce électronique. |
|
| 4 |
| » |
Tout marchand traitant annuellement moins de 20 000 transactions Visa ou MasterCard par commerce électronique. |
| » |
Tous les marchands, (sans égard au réseau d’acceptation), traitant annuellement jusqu’à
1 000 000 de transactions Visa ou MasterCard. |
|
|
|
| |
Validation de la conformité des marchands
| Niveau de marchand |
Mesures de validation |
Validé par |
| 1 |
| » |
Questionnaire annuel de PCI |
| » |
Balayage trimestriel de sécurité de PCI |
| » |
Examen annuel de sécurité de PCI, sur place |
|
|
| 2 |
| » |
Questionnaire annuel de PCI |
| » |
Balayage trimestriel de sécurité de PCI |
|
|
| 3 |
| » |
Questionnaire annuel de PCI |
| » |
Balayage trimestriel de sécurité de PCI |
|
|
4 -
À la discrétion de l’acquéreur |
| » |
Questionnaire annuel de PCI |
| » |
Balayage trimestriel de sécurité de PCI |
|
|
|
|
QSA : Évaluateur qualifié en matière de sécurité
ASV : Fournisseur approuvé de services de balayage |
|
| |
Exigences de conformité pour les fournisseurs de service
Les fournisseurs de service sont des organisations qui stockent, traitent ou communiquent les données sur les titulaires de carte pour le compte des clients, des marchands ou autres fournisseurs de service dans le cadre de l'autorisation ou du paiement. Ainsi, tous les fournisseurs de service doivent se conformer à la norme PCI DSS en utilisant un évaluateur qualifié en matière de sécurité (QSA). |
| Pour plus d’informations à propos des fournisseurs de service veuillez consulter : |
|
|
|
| |
Programme de conformité en matière d’application de paiement
La norme de sécurité des données en
matière d’application de paiement est une norme gérée par le PCI SSC. Cette
norme est basée sur la norme de pratique exemplaire en matière d’application de
paiement de Visa (PABP).
Portée de la norme PA-DSS
La norme PA-DSS s'applique aux fournisseurs de logiciels qui développent des
applications de paiement qui stockent, traitent ou communiquent les données sur
les titulaires de carte dans le cadre de l'autorisation ou du paiement. De plus,
les critères de la norme PA-DSS s'appliquent aux applications de paiement
vendues, distribuées ou licenciées à des tiers. Parmi les applications de
paiement applicables on retrouve notamment, mais sans s'y restreindre, les
logiciels de PDV, les paniers d'achats virtuels et les applications de paiement
sur le Web. La norme PA-DSS ne s'applique pas aux applications de paiement
développées par des marchands ou des agents si elles sont utilisées à l'interne
uniquement (non vendues à un tiers). La norme PA-DSS ne s'applique pas aux
terminaux autonomes au PDV
PCI Security Standards
Visa |
|
| |
Règles en matière de sécurité de paiement
Visa Canada a mis en place des règles en vue d'éliminer l'utilisation des applications de paiement vulnérables du système de paiement Visa. Ces règles exigent des marchands « nouveaux participants » d'utiliser des applications de paiement conformes à la norme PA-DSS (PABP):
| Phase |
Mandat de conformité |
Entrée en vigueur |
| 1 |
D'ici le 1er octobre 2008, les acquéreurs doivent s'assurer que tout marchand qui est un nouveau participant utilisant un logiciel d'application de paiement n'utilise qu'un logiciel homologué conforme aux exigences de la norme PA-DSS. |
Le 01 octobre 2008 |
| 2 |
D'ici le 1er juillet 2010, les acquéreurs doivent s'assurer que leurs marchands (nouveaux et actuels) utilisant un logiciel d'application de paiement n'utilisent qu'un logiciel homologué conforme aux exigences de la norme PA-DSS (PABP). |
Le 01 juillet 2010 |
|
|
|
|
|
|
| |
|
|
|
|
|