Qu'est-ce que la conformité PCI ?

click fraud protection

La conformité de l'industrie des cartes de paiement (PCI) est basée sur un ensemble de 12 normes techniques et opérationnelles développées par le PCI Security Standards Council (SSC), un organisme indépendant créé en 2006 par American Express, Discover, JCB International, Mastercard et Visa. Ces normes s'appliquent à toute entreprise qui accepte, transmet ou stocke des données de carte de crédit. Ils ont été créés pour garantir un environnement sécurisé qui protège les informations des clients et des entreprises contre des problèmes tels que les violations de données.

Pour mieux comprendre la conformité PCI, il est important de savoir ce que cela implique, les exigences et comment tout cela fonctionne.

Définition et exigences de conformité PCI

La conformité PCI est l'adhésion à un ensemble de normes de sécurité et de protection des cartes de crédit définies par le PCI SSC. Ces normes ont été créées pour garantir un environnement sécurisé pour toute entreprise qui traite les données des titulaires de carte.

Alors que le PCI SSC a développé les normes, les marques de paiement et les commerçants sont responsables de l'application de la conformité.

Chaque marque de carte de crédit peut avoir ses propres exigences PCI spécifiques que les entreprises doivent suivre. Les propriétaires d'entreprise doivent vérifier auprès de chaque marque de paiement pour s'assurer qu'ils répondent à toutes les exigences nécessaires.

  • Nom alternatif: Norme de sécurité des données de l'industrie des cartes de paiement
  • Acronyme: PCI, PCI DSS

Normes de conformité PCI

Il existe 12 normes créées par la norme PCI DSS qui couvrent à la fois les composants techniques et opérationnels du système:

  • Maintenir un pare-feu pour protéger les données des titulaires de carte
  • Utiliser des mots de passe de sécurité de haut niveau au lieu des mots de passe système par défaut
  • Protégez les données de titulaire de carte stockées grâce à des protocoles de sécurité appropriés
  • Crypter la transmission des données du titulaire de la carte
  • Protégez tous les systèmes contre les logiciels malveillants et mettez régulièrement à jour les programmes antivirus
  • Développer et maintenir des systèmes et des applications sécurisés
  • Restreindre l'accès aux informations sur les titulaires de carte
  • Identifier et authentifier l'accès à tous les composants du système
  • Restreindre l'accès physique aux informations du titulaire de la carte
  • Suivez et surveillez tous les accès au réseau et aux données des titulaires de cartes
  • Tester fréquemment les systèmes et processus de sécurité
  • Maintenir une politique de sécurité de l'information pour tout le personnel

Pour protéger les informations sensibles des titulaires de cartes, il incombe à chaque entreprise qui traite, transmet et stocke les données des cartes clients de s'assurer que les normes PCI sont respectées. Ces normes peuvent aider les commerçants à se prémunir contre les pirates et les voleurs d'informations.

Le non-respect de ces exigences peut rendre une entreprise plus vulnérable aux dommages financiers et entraîner des frais de non-conformité coûteux évalués par les marques de cartes de crédit.

Comment fonctionne la conformité PCI?

Chaque émetteur de carte a ses propres directives de conformité PCI, c'est donc une bonne idée pour les propriétaires d'entreprise de vérifier auprès de chaque émetteur pour s'assurer qu'ils répondent aux qualifications appropriées. Pour être considérées comme conformes à la norme PCI, les entreprises doivent passer par un processus en trois étapes qui comprend la définition de la portée, l'évaluation et la création de rapports.

Portée

Lors de la détermination de la portée, les propriétaires d'entreprise doivent identifier tous les systèmes qui, s'ils sont compromis, pourraient avoir un impact sur les données des titulaires de carte. Le cadrage est généralement un processus annuel qui implique l'évaluation de tous les systèmes et de la manière dont les données des titulaires de carte interagissent avec une entreprise. Ce processus aidera à déterminer le type d'évaluation nécessaire ainsi que l'ampleur et le coût.

Évaluer

La partie évaluation de la conformité PCI consiste soit en un questionnaire d'auto-évaluation, soit en un audit sur site effectué par un évaluateur de sécurité qualifié. L'évaluation dont une entreprise aura besoin est déterminée par les niveaux de marchand de la société de carte de crédit. Par exemple, les entreprises qui traitent chaque année un nombre de transactions par carte inférieur à celui spécifié par un émetteur peuvent n'avoir besoin que d'un questionnaire d'auto-évaluation.

Les propriétaires d'entreprise peuvent déterminer leur niveau de commerçant via le site Web désigné de chaque société de carte de crédit, comme ceux-ci pour Visa, MasterCard, et American Express.

Rapports

Une fois que les propriétaires d'entreprise auront terminé l'auto-évaluation, ils devront le signaler à la société de carte de crédit. Les entreprises qui se qualifient pour une évaluation en personne doivent soumettre un rapport de conformité directement à l'émetteur de la carte de paiement. Les évaluations de conformité PCI ne sont requises qu'une fois par an, mais les propriétaires d'entreprise peuvent avoir besoin d'analyses de vulnérabilité trimestrielles effectuées par un fournisseur d'analyse approuvé. Quelle que soit l'évaluation effectuée, la communication des résultats de l'audit aux émetteurs de cartes de paiement est la dernière étape de la conformité PCI.

Points clés à retenir

  • La conformité PCI est l'ensemble de normes de l'industrie des cartes de crédit que les entreprises qui acceptent, transmettent et stockent les données des titulaires de carte doivent suivre.
  • Il existe 12 normes techniques et opérationnelles que les entreprises doivent respecter pour se conformer à la norme PCI.
  • Il existe un processus en trois étapes pour devenir conforme à la norme PCI: cadrage, évaluation et rapport.
  • Le processus d'évaluation consiste soit à répondre à un questionnaire d'auto-évaluation, soit à effectuer un audit sur place.
Conseils pour embaucher un vendeur

Conseils pour embaucher un vendeur

Embaucher un vendeur qui ne réussira pas est une perte de temps et du leur. Chaque manager commettra tôt ou tard une erreur d’embauche, mais en prêtant une attention particulière à chaque étape du processus, vous pouvez minimiser ces erreurs. Ré...

Lire la suite
Apprenez à devenir policier

Apprenez à devenir policier

Les carrières dans les forces de l’ordre peuvent être passionnantes, enrichissantes et même amusantes. En fait, il existe d'innombrables raisons d'être policier. Des avantages sociaux à la sécurité d’emploi, l’attrait pour le maintien de l’ordre ...

Lire la suite
De bonnes raisons de devenir policier

De bonnes raisons de devenir policier

Pourquoi être flic? On parle beaucoup des récompenses du travail policier, mais les carrières dans l'application de la loi sont-elles vraiment si formidables? La réponse courte est souvent "Oui!" Malgré tous les dangers inhérents, il y a de nomb...

Lire la suite
Privacy2024 © Life About. ALL Rights Reserved.

Life About