Les données de titulaire de carte, ou les informations associées à une carte de crédit ou de débit particulière, sont extrêmement précieuses pour les malfaiteurs qui peuvent les utiliser pour commettre des fraudes et des vols.
En fait, de 2017 à 2019 et de nouveau au premier semestre 2022, la fraude à la carte de crédit était le type de vol d'identité le plus courant.
PCI DSS a établi de nouvelles normes pour la protection des données de paiement afin de prévenir ces activités illégales. Pour se conformer à celles-ci, les commerçants et les prestataires de services doivent comprendre ce que sont les données de titulaire de carte et comment protéger ces données sous la norme PCI DSS.
Commerçant PCI vs. prestataire de services
Avant de déterminer votre niveau de conformité PCI DSS, vous devez identifier dans quelle catégorie se situe votre entreprise : commerçant ou prestataire de services.
Les commerçants sont des entreprises qui acceptent les paiements par carte de l'un des cinq membres du Conseil des normes de sécurité PCI (American Express, Discover, JCB, MasterCard ou Visa).
Les prestataires de services ne sont pas des marques de paiement par carte, mais peuvent être directement impliqués dans le traitement, le stockage et la transmission des données de titulaire de carte pour le compte d'un commerçant, impactant généralement la sécurité des données de titulaire de carte de leurs clients.
Les prestataires de services incluent également les entreprises qui fournissent des services susceptibles d'affecter la sécurité des données de titulaire de carte. Des exemples de prestataires de services incluent les fournisseurs de services gérés qui offrent des pare-feux gérés et des hébergeurs.
Les marques de cartes de paiement répartissent les commerçants et les prestataires de services en différents niveaux de déclaration en fonction du nombre de transactions qu'ils traitent au cours d'une année donnée. Jetons un œil aux niveaux de chaque groupe ci-dessous.
Données de Titulaire de Carte selon la norme PCI DSS
Selon la norme PCI DSS, les données de titulaire de carte sont définies comme le numéro de compte principal (PAN) complet. Les informations suivantes — nom du titulaire de la carte, date d'expiration et code de service — sont également considérées comme des données de titulaire de carte lorsqu'elles sont gérées avec le PAN complet.
Selon la Exigence 3 de la norme PCI DSS, les organisations peuvent stocker des numéros de compte principal complets, des noms de titulaires de carte, des dates d'expiration et des codes de service. Cependant, les organisations ne peuvent pas stocker de données d'authentification sensibles après l'autorisation à moins que cette organisation ne soit un émetteur.
Données d'authentification sensibles
Selon la norme PCI DSS, les données d'authentification sensibles sont des informations liées à la sécurité utilisées pour authentifier les titulaires de carte et/ou autoriser les transactions par carte de paiement. Des exemples incluent les codes/valeurs de validation de carte tels que les données CVV2 et CVC2, les données de piste complètes de la bande magnétique ou l'équivalent sur une puce, les numéros d'identification personnels (PIN) et les blocs PIN.
Ces éléments de données supplémentaires peuvent être transmis ou traités dans le cadre d'une transaction de paiement, mais ne peuvent pas être stockés après l'autorisation selon la norme PCI DSS à moins que vous ne soyez un émetteur.