En 2020, les cartes de crédit ont été utilisées pour effectuer 27 % de tous les paiements, selon une étude de la Federal Reserve Bank of San Francisco. Ce niveau était le plus élevé depuis le début de l'étude en 2016. Les cartes de débit ont constitué 28 % des paiements. L'utilisation des espèces s'est élevée à 19 % de tous les paiements, en baisse de sept points de pourcentage depuis 2019. Les autres instruments de paiement, y compris les paiements ACH, les paiements par numéro de compte bancaire, le paiement de factures en ligne et les cartes prépayées, ont représenté 26 %.

Accepter les cartes de paiement signifie que votre entreprise doit se conformer aux normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS) pour protéger les données des clients.

Cet article couvre les principes de base du PCI DSS et de la conformité afin de vous aider à comprendre les éléments essentiels de ce cadre et comment il s'applique à votre entreprise.

Qu'est-ce que PCI DSS et que signifie-t-il ?

PCI DSS signifie Payment Card Industry Data Security Standard. Ce cadre est un ensemble d'exigences de sécurité pour les commerçants et les prestataires de services qui stockent, traitent, transmettent ou peuvent influencer la sécurité des données des titulaires de carte.

Le PCI DSS est administré et géré par le PCI Security Standards Council, un organisme indépendant créé par les principales marques de cartes de paiement telles que Visa, MasterCard, American Express, Discovery et JCB. Ce sont les marques de paiement qui sont responsables de l'application de la conformité.

PCI DSS est-il une loi ?

Bien que le PCI ne soit pas une loi, il fait partie d'une relation contractuelle entre une banque acquéreuse et les sociétés de cartes de paiement avec lesquelles elles ont une relation. Puisque les banques acquéreuses sont responsables en cas de non-conformité par les marques de cartes, elles détermineront comment leurs commerçants doivent déclarer la conformité PCI DSS et répercuteront probablement toutes les amendes sur ceux-ci.

De plus, dans certains États comme le Nevada, le Minnesota et Washington, certaines parties du PCI DSS ont été inscrites dans la loi étatique.

Qu'est-ce que la conformité PCI DSS ?

La conformité PCI DSS signifie travailler avec vos clients ou banques acquéreuses pour déterminer comment votre service peut influencer les données des titulaires de carte, déterminer exactement quelles exigences PCI DSS votre organisation doit respecter et adhérer aux contrôles de sécurité applicables énumérés dans le cadre PCI DSS.

Ces exigences couvrent un large éventail de contrôles opérationnels et techniques qui influencent non seulement la manière dont les données des titulaires de carte sont stockées, traitées ou transmises, mais aussi assurent la sécurité des machines et des réseaux impliqués dans ces processus et du personnel responsable de l'administration de ces contrôles.

Les 12 exigences sont les suivantes :

1. Installer et maintenir des contrôles de sécurité réseau : Cette première exigence concerne principalement la sécurité de votre réseau de données des titulaires de carte. Mettre en place des composants de réseau sur la base d'une norme de configuration, établir des règles de pare-feu pour ne permettre que le trafic nécessaire à l'entreprise et mettre en œuvre des contrôles de sécurité réseau tels que la segmentation interne du réseau et exiger des logiciels pare-feu personnel sur les postes de travail.
2. Appliquez des configurations sécurisées à tous les composants du système : Les contrôles de l'exigence 2 concernent spécifiquement la mise en œuvre des systèmes dans votre environnement de données de titulaires de carte. Les réseaux, serveurs et autres ressources implantés dans le réseau doivent être configurés de manière sécurisée avant la mise en œuvre en utilisant des normes de configuration telles que CIS ou la documentation du fournisseur. En utilisant les directives de mise en œuvre, cela aidera à s'assurer que les ID ou mots de passe par défaut du fournisseur sont supprimés des systèmes avant leur mise en œuvre dans votre environnement de données de titulaires de carte..
3. Protéger les données de compte stockées : L'exigence 3 est spécifiquement liée à la protection des données des titulaires de carte stockées. Cette exigence spécifie quelles données peuvent être stockées et les contrôles pour stocker les données de manière sécurisée, y compris les exigences de cryptage, la gestion des clés de cryptage, y compris les responsabilités des gardiens de clé et la manière de supprimer en toute sécurité les données des titulaires de carte lorsqu'elles sont éliminées ou dépassent les limites de rétention.
4. Protéger les données de titulaires de carte avec une cryptographie forte lors de la transmission sur des réseaux publics ouverts : L'exigence 4 couvre la sécurité des données des titulaires de carte lors de leur transmission. Les exigences spécifiques incluent l'assurance que le cryptage fort est utilisé lorsque les données des titulaires de carte sont transmises sur Internet et la transmission sécurisée des données sur les technologies de messagerie des utilisateurs finaux et les réseaux sans fil.
5. Protéger tous les systèmes et réseaux contre les logiciels malveillants : L'exigence 5 concerne l'utilisation de logiciels anti-virus sur tous les serveurs et stations de travail considérés comme couramment affectés par les logiciels malveillants et la manière dont la surveillance est effectuée pour les systèmes considérés comme non couramment affectés par les logiciels malveillants. Cette exigence comporte des contrôles liés à la fréquence des analyses, à l'incapacité des utilisateurs à désactiver le logiciel anti-virus et à la consignation appropriée de tous les logiciels anti-virus.
6. Développer et maintenir des systèmes et des logiciels sécurisés : L'exigence 6 tourne autour de la sécurité des processus de développement de logiciels et de l'assurance que les systèmes sont patchés en temps opportun. Cette exigence couvre des contrôles tels que la formation sécurisée des développeurs au codage, l'assurance que les applications Web sont protégées contre les vulnérabilités de sécurité courantes, et l'installation des correctifs de sécurité critiques sur les systèmes dans un délai défini.
7. Restreindre l'accès aux composants du système et aux données des titulaires de carte en fonction des besoins professionnels : L'exigence 7 concerne le contrôle d'accès logique. Les exigences concernent spécifiquement le fait de permettre l'accès uniquement pour les besoins liés aux activités professionnelles et d'établir un refus par défaut pour tous les accès non spécifiquement définis comme autorisés.
8. Identifier les utilisateurs et authentifier l'accès aux composants du système : L'exigence 8 couvre les contrôles d'authentification et les exigences telles que les revues d'accès, la révocation de l'accès en temps opportun et les exigences de mot de passe. Mise en œuvre de configurations telles que le délai d'expiration de la session, la complexité du mot de passe et les restrictions d'accès des utilisateurs pour les comptes partagés.
9. Restreindre l'accès physique aux données des titulaires de carte : L'exigence 9 tourne autour de la sécurité physique de votre CDE, y compris les emplacements de bureaux, les centres de données et la gestion des supports physiques. Assurez-vous que les contrôles de sécurité physique sont en place, tels que la gestion des visiteurs, les mécanismes de contrôle d'accès et la gestion appropriée des supports physiques contenant des données de titulaires de carte.
10. Consigner et surveiller tous les accès aux composants du système et aux données des titulaires de carte : L'exigence 10 couvre les contrôles de consignation et de surveillance tels que des métriques de sécurité spécifiques qui doivent être consignées, notifiées et résolues par une équipe de sécurité de l'information. La détection et la réponse rapides à ces événements de sécurité sont requises et couvertes par des contrôles tels que l'exigence de configuration de la consignation pour tous les systèmes concernés, le personnel surveillant les événements 24/7 et l'établissement d'un processus de réponse aux événements.
11. Tester régulièrement la sécurité des systèmes et des réseaux : L'exigence 11 contient des contrôles liés à l'établissement d'un processus de gestion des vulnérabilités. Les contrôles incluent la réalisation de scans de vulnérabilité internes et externes trimestriels et d'un test de pénétration annuel.
12. Soutenir la sécurité de l'information avec des politiques et des programmes organisationnels : L'exigence 12 contient des contrôles liés à la sécurité opérationnelle de votre organisation, tels que la gestion des politiques et procédures, la méthodologie d'évaluation des risques et les protocoles de réponse aux incidents.

La conformité PCI DSS est-elle obligatoire?

Oui. La conformité PCI DSS est requise pour tout commerçant ou fournisseur de services qui traite, stocke, transmet ou peut affecter la sécurité des données des titulaires de carte, quelle que soit la taille et l'échelle de votre entreprise.

Une petite entreprise qui traite 100 transactions par carte par an doit se conformer au PCI DSS, tout comme une entreprise de niveau entreprise qui traite 1 million de transactions.

Cependant, la conformité PCI pour une petite entreprise sera un peu différente de celle d'une organisation de niveau entreprise.