Le standard PCI-DSS

Au cours d'une transaction, des données sensibles (numéro de carte, la date de fin de validité, etc.) sont transmises, traitées et parfois conservées pour de brefs instants. 

 
 
Afin de s'assurer que ces données sensibles sont correctement protégées durant toutes les étapes du processus transactionnel, la norme PCI DSS impose, à l'ensemble des acteurs de l'industrie du paiement, l'adoption de mesures de sécurité.
 
En obtenant la conformité PCI DSS, l'OSB montre à la fois son attachement au progrès mais aussi sa volonté de rassurer ses clients et partenaires sur sa capacité à garantir un maximum de sécurité. 
 

Qu'est-ce que PCI DSS ? 

 
PCI DSS est l'acronyme anglais de Payment Card Industry Data Security Standard. Une traduction française serait : standard de sécurité des données pour l'industrie des cartes de paiement. 
 
Ce standard est composé d'un ensemble d'exigences de sécurité à respecter, réparties en douze chapitres : 
 

Établir et maintenir un réseau informatique sécurisé

 
1. Installer et maintenir une configuration de pare-feu pour protéger les données des détenteurs de cartes de crédit.
2. Ne pas utiliser les paramètres par défaut du fournisseur en ce qui concerne les mots de passe pour le système et les autres paramètres de sécurité.
 

Protéger les données des détenteurs de cartes de crédit

 
3. Protéger les données des détenteurs de cartes de crédit stockées.
4. Chiffrer la transmission des données des détenteurs de cartes et de l'information confidentielle par le biais des réseaux publics.
 

Maintenir un programme de gestion de la vulnérabilité

 
5. Utiliser et mettre régulièrement à jour un logiciel antivirus.
6. Développer et maintenir des systèmes informatiques et des applications sécurisées.
 

Mettre en place des mesures de contrôle d'accès strictes

 
7. Restreindre l'accès aux données des détenteurs de cartes aux seules personnes qui doivent les connaître.
8. Attribuer un code d'utilisateur exclusif à chaque personne ayant accès à l'ordinateur.
9. Restreindre l'accès physique aux données des détenteurs de cartes.
 

Surveiller et tester régulièrement les réseaux informatiques

 
10. Effectuer le suivi et surveiller tous les accès aux ressources du réseau et aux données des détenteurs de cartes
11. Tester régulièrement les systèmes et les processus de sécurité.
 

Maintenir une politique de sécurité des informations

 
12. S'assurer de mettre en place des règles et une politique en matière de sécurité des informations.
 

Qui est concerné ? 

 
La norme PCI DSS s'adresse à tous les acteurs qui capturent, traitent, stockent et par lesquels transitent des données de cartes bancaires : 
- Les commerçants
- Les commerçants sur internet
- Les réseaux de transports
- Les centres d'appels
- Les banques
- Les émetteurs et les acquéreurs de carte
- Etc.
 
Les acteurs qui traitent manuellement et stockent des supports papiers sont aussi concernés (reçu papier, talon de commande, données reçues par fax ou mails, etc.)
 
OSB en tant que fournisseur de service de paiement est directement concerné par ce standard. 
 

Pourquoi se conformer à PCI DSS ? 

 
- Pour témoigner du haut niveau de sécurité de vos systèmes à vos clients, et préserver votre image. Le maintien de cette confiance permet de  fidéliser, mais aussi accroître votre clientèle. 
 
- Parce que la conformité est un processus continu, et non un événement ponctuel, sa mise en place est une prévention contre les violations de sécurité et le vol de données cartes aujourd'hui, mais surtout dans la durée.
 
- Pour vous doter d'un avantage concurrentiel: un argument commercial positif et un avantage stratégique, particulièrement pour les fabricants de logiciels de caisse et leurs distributeurs.
 
- Pour sensibiliser vos employés à la protection des données confidentielles : Enrichir les connaissances en matière de sécurisation des données tout en favorisant de bonnes pratiques sécuritaires chez tous vos employés est une réussite en soi.
 
- Pour vous joindre activement au mouvement global de lutte contre la fraude. 
 

Pour en savoir plus

 
Consultez le site officiel du PCI Security Standard