Digital Finance, Cryptofinance Daily News | Innovation, Transformation


              



Combattre les idées reçues sur la norme PCI-DSS


Par Eric Chauvigné, Directeur Général de PEER 1 Hosting.



La certification PCI DSS (Payment Card Industry Data Security Standards) est un ensemble de normes auxquelles l’industrie des cartes bancaires et les entreprises associées se conforment pour renforcer les contrôles sur les données bancaires, et pour réduire les fraudes à la carte bancaire via l’exposition de ces données.

La norme PCI a été créée en réponse à une augmentation des fraudes, avec en parallèle, une augmentation des détournements de cartes d’identité et de cartes bancaires. L’inefficacité de la réglementation des pouvoirs publics n’ayant fait qu’accroître ces problèmes, le secteur des cartes bancaires a créé la certification PCI DSS pour protéger ses intérêts professionnels.

Idées reçues sur la certification PCI DSS

Quelle que soit leur taille, tous les commerçants qui permettent à leurs clients de régler par carte bancaire doivent avoir connaissance de la norme PCI DSS. Celle-ci vise tous les composants système et tous les processus métier qui stockent, traitent ou transmettent des données bancaires. Elle s’intéresse à l’endroit par lequel les données entrent dans une entreprise et la manière dont elles en sortent, ainsi qu’à l’endroit où ces données sont stockées et l’utilisation que font les entreprises des données qu’elles traitent.

Pour sécuriser les données à chacune de ces étapes, les entreprises doivent prendre des précautions spécifiques. Elles doivent segmenter le réseau (firewalls/listes de contrôle d’accès), disposer d’une architecture tier-N adaptée (serveurs d’applications/de bases de données) et effectuer des contrôles physiques.

Bien qu’un certain nombre de sources crédibles et accessibles gratuitement expliquent ce qu’est la norme PCI DSS, certaines incompréhensions continuent de circuler :
- « Si j’utilise une application certifiée PCI DSS, je suis certifié PCI DSS »
- « Si je passe par un fournisseur de services certifié PCI DSS, je suis certifié PCI DSS »
- « Je ne traite pas suffisamment de transactions par carte bancaire pour avoir besoin de la certification PCI DSS »
- « Mon entreprise a rempli un questionnaire SAQ, donc elle est certifiée PCI DSS »
- « Si je ne stocke pas de données bancaires, je n’ai pas besoin d’être certifié PCI DSS »
- Et l’idée reçue la plus dangereuse : « qui dit certification dit sécurité ». La certification peut être considérée comme l’une des composantes de la sécurité, mais elle ne garantit pas à elle seule la sécurité des données.

En effet, la certification PCI DSS s’intéresse uniquement aux applications et à l’infrastructure informatique qui affectent les données bancaires. Lorsque les entreprises ont d’autres données sensibles ou à fort impact, elles doivent les sécuriser par d’autres moyens.

Combattre ces idées reçues

L’absence de certification PCI DSS peut porter atteinte à la sécurité des données et entraîner de lourdes conséquences telles que des amendes ou des coûts de procédures judiciaires, la perte d’opportunités commerciales, l’augmentation des frais de transactions facturés par les sociétés de cartes bancaires et la détérioration de l’image de marque de l’entreprise.

Il est donc important de sensibiliser les acteurs touchés par cette certification afin de leur faire prendre conscience des risques. PCI DSS représente également pour eux des avantages concurrentiels. Ils seront par exemple ravis d’apprendre qu’elle permet à un commerçant de renforcer la confiance de ses clients, prospects et partenaires commerciaux. De plus, de nombreuses entreprises abandonnent aujourd’hui les data centres internes au profit des fournisseurs de services Cloud. Pour préserver le capital confiance acquis auprès des clients, il est impératif de choisir un fournisseur de services lui aussi certifié PCI DSS. Dans le cas contraire, l’entreprise ne pourra pas utiliser les serveurs de son fournisseur de services pour ses données bancaires sans risquer de compromettre sa propre certification PCI DSS.

D’autre part, le conseil des normes de sécurité des paiements par carte bancaire vient d’édicter une nouvelle procédure d’auto-évaluation SAQ (Self Assessement Questionnaire) pour les cyber-marchands qui redirigent leurs clients vers une page de paiement externalisée. Elle s’adresse aux marchands qui externalisent même partiellement la fonction de paiement en redirigeant leurs clients vers une page de paiement hébergée et gérée par un fournisseur de service de paiement PSP (Payment Service Provider). Le conseil des normes PCI Council considère désormais que même si le cyber-marchand redirige le consommateur vers un prestataire en charge de réaliser le paiement, il est toujours responsable de la sécurité de la page web qui effectue cette redirection. Il a donc toujours la responsabilité de sa conformité à la norme PCI DSS. Les marchands qui reçoivent un courrier de leur partenaire bancaire à propos du PCI DSS devront donc s’auto-évaluer sur la base du questionnaire SAQ A-EP ou devront faire appel à un certificateur QSA (Qualified Security Assessor). Sans rendre la démarche obligatoire, le conseil recommande aux marchands de sécuriser leurs serveurs web et la page de redirection.

Un fois encore, il est impératif de mettre en lumière cette procédure afin que les cyber-marchands ne soient pas pris au dépourvu et puissent prendre les mesures nécessaires à temps !




Les médias du groupe Finyear

Lisez gratuitement chaque jour (5j/7) le quotidien Finyear.
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises de la finance d’entreprise.
Lien direct pour vous abonner : www.finyear.com/abonnement

Lisez gratuitement chaque mois :
- le magazine digital Finyear sur www.finyear.com/magazine
- la lettre digitale "Le Directeur Financier" sur www.finyear.com/ledirecteurfinancier
- la lettre digitale "Le Trésorier" sur www.finyear.com/letresorier
- la lettre digitale "Le Credit Manager" sur www.finyear.com/lecreditmanager
- la lettre digitale "Le Capital Investisseur" sur www.finyear.com/lecapitalinvestisseur
- la lettre digitale "GRC Manager" sur www.finyear.com/grcmanager
- la lettre digitale "Le Contrôleur de Gestion" (PROJET 2014) sur www.finyear.com/lecontroleurdegestion

Un seul formulaire d'abonnement pour 7 lettres



Mercredi 7 Mai 2014
Notez


Nouveau commentaire :
Twitter

Your email address will not be published. Required fields are marked *
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les derniers articles publiés sur Finyear

Recevez notre newsletter quotidienne comme plus de 40.000 professionnels de la gestion et de l'innovation financières


LE TRESORIER


Cryptocurrencies


Finyear - Daily News