OSB et la Cybersécurité

 

Le standard PCI DSS


Au cours d’une transaction, des données sensibles (numéro de carte, date de fin de validité, etc.) sont transmises, traitées et parfois conservées pour de brefs instants.

Afin de s’assurer que ces données sensibles sont correctement protégées durant toutes les étapes du processus transactionnel, la norme PCI DSS impose, à l’ensemble des acteurs de l’industrie du paiement, l’adoption de mesures de sécurité.

En obtenant la conformité PCI DSS, l’OSB montre à la fois son attachement au progrès mais aussi sa volonté de rassurer ses clients et partenaires sur sa capacité à garantir un maximum de sécurité.

Qu’est-ce que PCI DSS ?


 

PCI DSS est l’acronyme anglais de Payment Card Industry Data Security Standard.
Une traduction française serait : standard de sécurité des données pour l’industrie des cartes de paiement.

Ce standard est composé d’un ensemble d’exigences de sécurité à respecter, réparties en douze chapitres :

 

Établir et maintenir un réseau informatique sécurisé
  1. Installer et maintenir une configuration de pare-feu pour protéger les données des détenteurs de cartes de crédit.
  2. Ne pas utiliser les paramètres par défaut du fournisseur en ce qui concerne les mots de passe pour le système et les autres paramètres de sécurité.
Protéger les données des détenteurs de cartes de crédit
  1. Protéger les données des détenteurs de cartes de crédit stockées.
  2. Chiffrer la transmission des données des détenteurs de cartes et de l’information confidentielle par le biais des réseaux publics.
Maintenir un programme de gestion de la vulnérabilité
  1. Utiliser et mettre régulièrement à jour un logiciel antivirus.
  2. Développer et maintenir des systèmes informatiques et des applications sécurisées.
Mettre en place des mesures de contrôle d’accès strictes
  1. Restreindre l’accès aux données des détenteurs de cartes aux seules personnes qui doivent les connaître.
  2. Attribuer un code d’utilisateur exclusif à chaque personne ayant accès à l’ordinateur.
  3. Restreindre l’accès physique aux données des détenteurs de cartes.
Surveiller et tester régulièrement les réseaux informatiques
  1. Effectuer le suivi et surveiller tous les accès aux ressources du réseau et aux données des détenteurs de cartes
  2. Tester régulièrement les systèmes et les processus de sécurité.
Maintenir une politique de sécurité des informations
  1. S’assurer de mettre en place des règles et une politique en matière de sécurité des informations.

Qui est concerné ?


 

La norme PCI DSS s’adresse à tous les acteurs qui capturent, traitent,
stockent et par lesquels transitent des données de cartes bancaires :

 

Les commerçants

Les commerçants
sur Internet

Les réseaux
de transports




 

Les centres d’appels

 

Les banques

 

Les émetteurs
et les acquéreurs de carte

 

Les acteurs qui traitent manuellement et stockent des supports papiers sont aussi concernés
(reçu papier, talon de commande, données reçues par fax ou mails, etc.)

OSB en tant que fournisseur de service de paiement est directement concerné par ce standard.

Pourquoi se conformer à PCI DSS ?


Sensibilisation à la cybersécurité


L’OSB considère avec sérieux l’entretien et le progrès d’une véritable culture de la cyber sécurité en son sein. Pour développer la vigilance et impliquer chaque utilisateur dans la protection de son patrimoine informationnel, l’OSB met en œuvre chaque année un programme de sensibilisation à la cyber sécurité à destination de ses collaborateurs.

En effet, bien que la mise en place de solutions de sécurité reste fondamentale, celles-ci demeurent inutiles si des actions humaines viennent l’affaiblir.

Parce qu’avant d’être un utilisateur d’un SI, un salarié (ou autre), nous sommes tous des citoyens soumis à des risques informatiques “de base”, l’OSB met à votre disposition un spot de sensibilisation.

Pour en savoir plus

Consultez le site officiel du PCI Security Standard