Comment devenir conforme PCI gratuitement?

Ferre Lecomte
Ferre Lecomte
13 min de lecture
Les petites entreprises peuvent se conformer gratuitement à la norme PCI
Les processus requis pour assurer et maintenir la conformité peuvent être coûteux si vous passez un contrat avec l'une des nombreuses sociétés de sécurité des données, mais dans la plupart des cas, les petites entreprises peuvent se conformer gratuitement à la norme PCI.

Si vous possédez ou exploitez une entreprise - que ce soit en ligne ou dans un emplacement physique - et acceptez les paiements par carte de crédit de votre client, vous devez vous assurer que vos systèmes répondent aux exigences de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). La conformité n'est pas une obligation légale, mais les marques de cartes telles que Visa et MasterCard peuvent infliger de lourdes amendes aux commerçants qui ne respectent pas les normes appropriées de sécurité des données. Les processus requis pour assurer et maintenir la conformité peuvent être coûteux si vous passez un contrat avec l'une des nombreuses sociétés de sécurité des données, mais dans la plupart des cas, les petites entreprises peuvent se conformer gratuitement à la norme PCI. Cependant, gardez à l'esprit que la conformité PCI n'est pas une chose ponctuelle, mais un processus continu avec des exigences de rapports annuels et parfois trimestriels.

Partie 1 sur 4: construire un réseau sécurisé

  1. 1
    Déterminez votre niveau de marchand. Les exigences PCI DSS varient en fonction du nombre de transactions Visa que vous traitez chaque année.
    • Tous les commerçants qui acceptent les paiements directs de clients utilisant des cartes de crédit ou de débit appartiennent à l'un des quatre niveaux de commerçants en fonction du volume de transactions Visa que le commerçant traite au cours d'une période de 12 mois.
    • Le volume des transactions est un agrégat, donc si vous avez plus d'un magasin ou d'un emplacement opérant sous la même entité commerciale, vous souhaitez examiner le total des transactions sur tous ces emplacements. Par exemple, si vous avez un magasin physique ainsi qu'un site Web, vous devez connaître le nombre total de transactions Visa en un an à la fois dans le magasin et sur le site Web.
    • La plupart des petites entreprises appartiendront au niveau marchand 4. Ce niveau comprend les marchands traitant moins de 20000 transactions Visa en ligne et tout autre marchand traitant jusqu'à 1 million de transactions Visa par an.
    • Les commerçants de niveau 4 peuvent généralement devenir conformes à la norme PCI gratuitement car des documents de validation moins élaborés sont requis, et les commerçants peuvent remplir des questionnaires d'auto-évaluation plutôt que d'avoir à engager un fournisseur de numérisation approuvé (ASV) tel que ControlScan.
    • Gardez à l'esprit que si vous acceptez les paiements par carte de crédit directement via votre site Web, vous devez toujours passer un contrat avec un ASV pour des analyses de vulnérabilité trimestrielles. Par conséquent, si vous souhaitez maintenir la conformité PCI sans encourir de dépenses supplémentaires, vous devez éviter d'accepter les paiements par carte de crédit directement en ligne.. Au lieu de cela, vous voudrez peut-être créer votre vitrine en ligne via un autre site Web, tel qu'eBay ou Etsy, qui est conforme à la norme PCI et traitera les paiements pour vous.
  2. 2
    Travaillez avec des entrepreneurs conformes aux normes PCI. Si vous utilisez d'autres entreprises ou services, tels que votre service d'hébergement Web, vous devez comprendre et mettre en œuvre des mesures de sécurité conformes à la norme PCI DSS.
    • Votre hébergeur doit comprendre la norme PCI et être en mesure de travailler avec votre entreprise pour assurer la conformité, en particulier si vous envisagez de proposer des produits à la vente en ligne.
    • Gardez à l'esprit que pour que votre entreprise reste conforme à la norme PCI, chaque fournisseur, partenaire ou fournisseur de services avec lequel vous travaillez doit également être conforme à la norme PCI s'il est exposé aux données des titulaires de carte.
  3. 3
    Cryptez les données sur tous les ordinateurs et serveurs. Si vous stockez des données sensibles de titulaire de carte, même pour une courte période, le cryptage des données permet de sécuriser ces données.
    • Dans la mesure du possible, évitez de stocker des numéros de carte de crédit et d'autres informations de ce type sur les ordinateurs de votre entreprise ou sur votre réseau. Si vous le faites, l'ensemble de votre système physique doit également respecter les normes de conformité PCI, ce qui peut impliquer des dépenses pour mettre à jour les fonctionnalités de sécurité et installer une protection supplémentaire.
    • Si vous stockez les données des titulaires de carte, vous aurez généralement besoin d'un cryptage sur tous les ordinateurs et serveurs utilisés par votre entreprise, y compris les lecteurs de sauvegarde et les fichiers de restauration.
    • Le cryptage empêche quelqu'un qui pourrait voler vos ordinateurs ou les pirater d'accéder aux données qui y sont stockées sans la clé de cryptage.
    • Bien que les programmes de cryptage puissent être assez faciles à installer et à mettre en œuvre sur votre système, vous devrez engager des coûts supplémentaires sous la forme de frais de licence utilisateur pour le programme.
  4. 4
    Installez un logiciel antivirus. Garder votre logiciel antivirus à jour protège votre réseau et vos symptômes contre les virus et les logiciels malveillants.
    • Votre logiciel antivirus doit être conçu pour empêcher quiconque de télécharger ou d'installer un programme à moins qu'il n'entre un mot de passe administrateur. Ne fournissez des mots de passe administrateur qu'aux employés essentiels et modifiez-les régulièrement.
    • Votre logiciel antivirus doit également être capable de générer des journaux d'audit pour tous les processus terminés sur vos ordinateurs ou votre réseau.
  5. 5
    Protégez votre réseau avec des pare-feu. Les pare-feu peuvent aider à empêcher les pirates d'infiltrer votre réseau et de compromettre les données des titulaires de carte.
    • Gardez à l'esprit que les réseaux sans fil sont particulièrement vulnérables aux pirates. Vous trouverez peut-être plus facile et plus rentable d'utiliser des réseaux câblés, en particulier pour la transmission de données sensibles de titulaire de carte.
  6. 6
    Utilisez des mots de passe forts. Tout fournisseur ou mot de passe par défaut doit être immédiatement remplacé par un mot de passe unique
    • Votre routeur sans fil doit également être protégé par mot de passe pour empêcher les utilisateurs malveillants d'accéder à votre réseau et de le corrompre.
    • Gardez à l'esprit que plus un mot de passe est long, plus il est difficile à déchiffrer. N'utilisez pas de mots ou d'expressions du dictionnaire qui vous sont manifestement liés, tels que votre adresse e-mail, le nom de votre entreprise ou le nom de votre ordinateur.
    • Il existe de nombreux services disponibles en ligne qui vous fourniront des mots de passe hexadécimaux générés de manière aléatoire, ce qui peut fournir une des protections par mot de passe les plus solides. Même si vous obtenez des mots de passe forts en utilisant un tel service, vous devez toujours changer votre mot de passe fréquemment.
    • N'écrivez jamais les mots de passe sur papier et ne les laissez jamais à proximité des ordinateurs où quelqu'un pourrait les voir ou les copier.
Pour vous assurer d'être entièrement conforme à la norme PCI
Ainsi, pour vous assurer d'être entièrement conforme à la norme PCI, vous devez avoir une connaissance et une familiarité avec les normes de toutes les marques de cartes que vous acceptez.

Partie 2 sur 4: développer une politique de sécurité de l'information

  1. 1
    Désigner un responsable de la conformité. Votre personnel doit inclure une personne chargée de maintenir et de tester la conformité PCI.
    • Votre responsable de la conformité doit examiner régulièrement les réglementations PCI DSS pour se familiariser avec elles et surveiller les informations mises à disposition par le Conseil des normes de sécurité PCI concernant l'interprétation et la mise en œuvre de ces réglementations.
    • Votre responsable de la conformité peut télécharger les documents PCI DSS les plus récents à partir de la bibliothèque de documents en ligne du Conseil des normes de sécurité, disponible à l'adresse https://pcisecuritystandards.org/security_standards/documents.php.
    • Bien que PCI DSS s'applique à toutes les grandes marques de cartes, chacune peut avoir des exigences de conformité légèrement différentes. Votre responsable de la conformité doit connaître les normes spécifiques à chaque type de carte que vous acceptez.
    • Les directives générales de conformité fournies par le Conseil des normes de sécurité ne sont que le minimum - chaque fournisseur de carte peut exiger des protections supplémentaires. Ainsi, pour vous assurer d'être entièrement conforme à la norme PCI, vous devez avoir une connaissance et une familiarité avec les normes de toutes les marques de cartes que vous acceptez.
    • Si votre entreprise ne peut pas se permettre d'embaucher quelqu'un spécifiquement pour ce rôle, vous devriez quand même avoir un responsable particulier dans le personnel qui s'occupe de la conformité PCI. Vous pouvez également contacter la banque qui traite vos transactions par carte de crédit - généralement appelée votre banque acquéreur - et lui demander comment vous conformer au mieux aux normes. Beaucoup de ces banques ont des ressources et des conseils d'experts qu'elles vous offriront gratuitement.
  2. 2
    Achetez et utilisez uniquement des dispositifs de saisie de code PIN et des logiciels de paiement approuvés. Les appareils et logiciels approuvés et vérifiés sont déjà conformes aux normes de conformité PCI.
  3. 3
    Changez régulièrement les mots de passe des employés. Avoir une politique de changement des mots de passe des employés sur une base régulière ou lorsque certains événements se produisent peut aider à empêcher des parties non autorisées d'accéder à votre système.
    • Interdisez aux employés d'écrire leurs mots de passe ou de les laisser à côté de l'ordinateur ou partout où quelqu'un d'autre pourrait y accéder.
    • Modifiez tous les mots de passe des employés chaque fois qu'un employé quitte votre entreprise pour quelque raison que ce soit, et supprimez l'ancien mot de passe de cet employé du système. Permettre à quelqu'un qui n'est plus employé par votre entreprise d'avoir un accès continu à votre système pourrait entraîner une grave faille de sécurité.
    • Ayez des mots de passe individuels pour les employés avec des niveaux d'accès qui correspondent à leur rôle dans votre entreprise, plutôt que d'avoir des comptes administratifs génériques ou de donner à tout le monde un accès administratif.
  4. 4
    Former le personnel à la sécurité des données. Tous les employés qui traitent des données sensibles de titulaires de carte doivent savoir comment protéger au mieux ces informations et que faire en cas de violation de la sécurité.
    • Assurez-vous que tout le monde sait qui est le responsable de la conformité et comment le contacter si une violation est découverte.
    • En règle générale, votre responsable de la conformité sera également chargé de communiquer vos politiques et procédures de sécurité des données à vos autres employés et de les tenir informés de tout changement ou mise à jour.
    • Insistez auprès du personnel sur l'importance de protéger les données des titulaires de carte et sanctionnez les employés qui enfreignent vos politiques de sécurité des informations.
  5. 5
    Sécurisez physiquement tous les dossiers papier. Vous voulez éviter de conserver des dossiers papier qui incluent des données de titulaire de carte telles que des numéros de carte de crédit complets sur papier.
    • Contrôlez strictement l'accès à tous les enregistrements papier contenant des données de titulaire de carte.
    • N'écrivez jamais le numéro complet de la carte de crédit d'un client, en particulier avec toute autre information d'identification telle que son nom ou la date d'expiration de la carte.
    • Assurez-vous que le numéro de compte complet du client est masqué sur tous les reçus, y compris la copie du client.
    • Gardez à l'esprit que vous devrez peut-être installer un système de sécurité physique comprenant des caméras de sécurité et des alarmes de porte, qui peuvent ne pas être couverts ou inclus dans votre bail immobilier. Vous pouvez éviter ces coûts supplémentaires en ne stockant pas les informations du titulaire de la carte sur votre propre système.
  6. 6
    Créer un plan de réponse aux incidents. En cas de faille de sécurité, tous les responsables doivent savoir quelles mesures doivent être prises immédiatement pour sécuriser votre réseau.
    • Gardez à l'esprit que la plupart des États ont des lois exigeant la notification des titulaires de carte en cas de violation de données.
    • Vous devez vérifier la loi de l'État ou des États dans lesquels votre entreprise exerce ses activités pour déterminer le type de notification requis pour les atteintes à la sécurité.
    • Vous devez travailler avec votre responsable de la conformité pour vous assurer que toutes les violations ou vulnérabilités découvertes sont corrigées ou corrigées dès que possible après leur première détection.
  7. 7
    Mettez à jour votre politique au besoin pour tenir compte des nouvelles réglementations. Lorsque les réglementations PCI DSS sont révisées, vous devez déterminer les modifications que vous devez apporter à votre système ou à vos procédures pour maintenir la conformité.[[Image:Be-a-Business-Analyst-in-Top-
Qui est conforme à la norme PCI
Au lieu de cela, vous voudrez peut-être créer votre vitrine en ligne via un autre site Web, tel qu'eBay ou Etsy, qui est conforme à la norme PCI et traitera les paiements pour vous.

Gestion-Étape-3-Version-2.jpg|center]]

  1. 1
    • Gardez à l'esprit que les normes doivent évoluer rapidement pour suivre le rythme des avancées technologiques. Les pirates s'efforcent de briser le nouveau protocole de sécurité au moment où il est mis en œuvre, votre politique doit donc rester flexible et adaptable à un environnement technologique en évolution rapide

Partie 3 sur 4: tester et surveiller votre réseau

  1. 1
    Effectuer des analyses de vulnérabilité trimestrielles. Si vous acceptez les paiements directement sur Internet, vous devez rechercher les failles de sécurité sur le réseau public.
    • Tous les commerçants ne sont pas tenus de soumettre des rapports d'analyse trimestriels. Si vous n'avez pas de boutique en ligne ou si vos processus de paiement en ligne sont entièrement sous-traités, vous n'avez pas à effectuer ces analyses pour rester conforme à la norme PCI.
    • Cependant, si vos processus de paiement ne sont que partiellement externalisés, ou si vous acceptez les paiements directement via un réseau public en ligne, vous devez effectuer des analyses trimestrielles et produire des rapports.
    • Gardez à l'esprit que la réalisation d'analyses trimestrielles coûtera de l'argent. Vous devez passer un contrat avec un fournisseur de numérisation approuvé tel que ControlScan pour maintenir la conformité. Ces analyses trimestrielles coûteront généralement quelques centaines de dollars par an.
    • Si vous devez soumettre des analyses trimestrielles, votre banque acquéreur peut recommander un fournisseur particulier. Vous pouvez faire appel à cette entreprise si vous le souhaitez, mais cela peut valoir la peine de faire le tour et de voir si vous pouvez trouver des solutions plus rentables avec un autre fournisseur. La seule exigence est que le vendeur doit être approuvé par le conseil PCI.
  2. 2
    Vérifiez régulièrement les appareils à code PIN et les ordinateurs. Les pirates peuvent attacher des «écumoires» ou des dispositifs similaires à vos machines pour capturer les données de carte de crédit telles qu'elles sont saisies par les employés ou les clients.
    • Les appareils peuvent être placés à l'extérieur des machines et peuvent être pratiquement indétectables à moins que vous ne regardiez de près votre machine. Un logiciel peut également être installé pour voler les données sensibles des titulaires de carte. Assurez-vous de vérifier régulièrement toutes les machines et tous les systèmes et que votre programme antivirus interdit l'installation de programmes ou de logiciels sans mot de passe administrateur.
  3. 3
    Implémentez des journaux de visiteurs et des pistes d'audit automatisées. En cas de violation ou de problème avec une transaction, ces journaux et traces vous fournissent des informations sur chaque fois que cette transaction a été consultée.[[Image:Work-Effectively-and-Keep-
L'ensemble de votre système physique doit également respecter les normes de conformité PCI
Si vous le faites, l'ensemble de votre système physique doit également respecter les normes de conformité PCI, ce qui peut impliquer des dépenses pour mettre à jour les fonctionnalités de sécurité et installer une protection supplémentaire.

Soi-même-au-milieu-des-diversités-Etape-3.jpg|center]]

  1. 1
    • Les journaux doivent avoir suffisamment de détails pour vous permettre de recréer tous les accès utilisateur individuels à toutes les données de titulaire de carte, les actions de toute personne utilisant un mot de passe administrateur, toutes les tentatives d'accès non valides et tout accès aux journaux eux-mêmes.
    • Chaque entrée de journal doit inclure l'identification de l'utilisateur, le type d'événement, la date et l'heure de l'événement, si la tentative d'accès a réussi ou échoué, où la tentative d'accès s'est produite et quelles données ont été impliquées.
Si vous stockez des données sensibles de titulaire de carte
Si vous stockez des données sensibles de titulaire de carte, même pour une courte période, le cryptage des données permet de sécuriser ces données.

Partie 4 sur 4: maintenir une documentation appropriée

  1. 1
    Soumettre des rapports d'analyse trimestriels. Si vous devez effectuer des analyses de vulnérabilité trimestrielles, vous devez envoyer les rapports de ces analyses à vos banques acquéreurs et à toutes les marques de cartes avec lesquelles vous faites affaire.
    • Le rapport fournit la preuve que vous avez réussi l'analyse de vulnérabilité menée par un fournisseur d'analyse approuvé.
    • Tous les 90 jours ou au moins une fois par trimestre, vous devez soumettre un rapport d'analyse réussi à votre banque acquéreur. En règle générale, la banque établira le calendrier qui dicte la date d'échéance de vos rapports.
  2. 2
    Remplissez votre questionnaire d'auto-évaluation (SAQ) chaque année. Dans la plupart des cas, les petites entreprises sont éligibles pour remplir un SAQ plutôt que de payer pour une validation plus élaborée.
    • Le SAQ est conçu pour les petites entreprises, et dans la plupart des cas, vous pouvez le remplir vous-même ou avec l'aide de votre responsable de la conformité, sans encourir de frais supplémentaires.
    • Le SAQ particulier que vous devez remplir chaque année dépendra des méthodes de traitement que vous utilisez et si vous traitez vos propres paiements ou si vous sous-traitez le traitement des paiements à un tiers validé PCI.
    • Vos rapports d'évaluation doivent être envoyés à votre banque acquéreur ainsi qu'à chaque marque de carte que vous acceptez dans votre entreprise.
  3. 3
    Tenir à jour la documentation de toutes les clés de chiffrement et de l'historique des pistes d'audit. Vous devez enregistrer et conserver toutes les clés cryptographiques nécessaires pour accéder aux données cryptées au cas où quelque chose arriverait à votre système et que vous deviez restaurer vos données.
    • Si vous avez un cryptage de données sur vos disques et votre réseau, vous devez conserver une documentation appropriée des clés afin que les fichiers de récupération puissent être décryptés.
    • Comme pour toutes les autres données, cette documentation doit également être sécurisée. Si vous conservez ces informations dans un fichier physique, elles doivent être conservées sous clé avec un accès strictement limité et surveillé. Cependant, dans le même temps, vous devez vous assurer que les personnes clés telles que votre responsable de la conformité peuvent accéder aux informations si nécessaire.
    • Les journaux des visiteurs doivent être conservés pendant au moins trois mois et l'historique des pistes d'audit doit être conservé pendant au moins un an.
Lisez aussi: Comment percevoir les paiements des clients en ligne?

Lisez aussi:

  1. Comment accepter les paiements sur Paypal?
  2. Comment contester une lettre de facturation?
  3. Comment calculer un escompte pour paiement anticipé?
Avertissement légal Le contenu de cet article est pour votre information générale et n'est pas destiné à se substituer à des conseils professionnels en droit ou en finance. De plus, il n'est pas destiné à être utilisé par les utilisateurs pour prendre des décisions d'investissement.
En parallèle
  1. Comment calculer un escompte pour paiement anticipé?Caroline Gingras
  2. Comment devenir marchand de cartes de crédit?Caroline Gingras
  3. Comment mettre en place un système de facturation?Milan Luyten
  4. Comment créer un compte marchand?Gérard Guillou-Muller
  5. Comment devenir conforme PCI?Christian-Léon Robert
  6. Comment réémettre une facture?Kaat Pauwels
FacebookTwitterInstagramPinterestLinkedInGoogle+YoutubeRedditDribbbleBehanceGithubCodePenWhatsappEmail