Comment devenir conforme PCI?
PCI, souvent appelé PCI DSS, signifie Payment Card Industry Data Security Standard. En bref, PCI est un ensemble de normes industrielles utilisées pour mesurer la sécurité des entreprises qui acceptent, traitent, stockent et transmettent des informations de carte de crédit. Les entreprises conformes à la norme PCI sont moins susceptibles de subir des violations de données qui pourraient exposer les clients à un vol d'identité. Si vous avez un identifiant de commerçant et que vous acceptez les cartes de crédit dans votre entreprise physique ou virtuelle, vous êtes alors soumis aux normes de l'industrie PCI DSS. Le Conseil des normes de sécurité PCI est un groupe indépendant de professionnels du secteur qui enquêtent sur les problèmes de sécurité PCI émergents. et créer les programmes et les normes pour maintenir l'intégrité du système de cartes de paiement.
Partie 1 sur 3: examen des bases de la norme PCI DSS
- 1Confirmez votre niveau de marchand. La première étape consiste à discuter et à vérifier votre niveau de marchand avec la banque ou la chambre de compensation qui gère vos transactions par carte de crédit. Les commerçants sont divisés en quatre catégories en fonction des transactions par carte VISA sur 12 mois. Votre niveau de marchand déterminera le degré de rigueur de vos programmes de conformité PCI.
- Un commerçant de niveau 1 traite plus de 6 millions de transactions VISA par an ou est désigné niveau 1 par la société VISA.
- Un commerçant de niveau 2 accepte entre 1 et 6 millions de transactions VISA par an. Cela comprend en personne et en ligne.
- Un commerçant de niveau 3 traitera entre 20000 et 1 million de transactions VISA par an.
- Un commerçant de niveau 4, considéré comme un petit commerçant, reçoit moins de 20000 paiements VISA par an.
- Les exigences PCI DSS s'appliquent également aux entreprises qui acceptent d'autres cartes de crédit, telles que European Express, MasterCard et Discover. VISA est utilisé comme référence pour établir les niveaux des commerçants.
- 2Comprenez les sanctions en cas de violation de la norme PCI DSS. Les entreprises qui ne sont pas conformes à la norme PCI DSS peuvent être passibles d'amendes, de sanctions et de perte de privilèges de la part de la chambre de compensation qui traite les paiements par carte de crédit. Si l'échec PCI entraîne une perte réelle de données, l'entreprise pourrait faire face à des amendes, des frais plus élevés et d'autres sanctions de la part des banques et des processeurs de cartes de crédit.
- Les entreprises qui ne sont pas conformes à la norme PCI peuvent faire l'objet de poursuites judiciaires et de poursuites gouvernementales pour ne pas avoir protégé les données des clients.
- 3Familiarisez-vous avec les meilleures pratiques de sécurité. La première norme PCI DSS, mise en œuvre en septembre 2009 (DSS v 1,2), a introduit les 12 exigences qu'un commerçant doit examiner pour être conforme à la norme PCI. Selon votre niveau de marchand, la quantité de technologie, de formation et d'expertise pour mettre en œuvre les normes variera. Par exemple, un réseau qui traite 2 millions de transactions sera plus sophistiqué qu'un réseau qui traite 2000.
- PCI 3,1 est entré en vigueur en juin 2015 et traite des nouvelles normes technologiques et corrige les vulnérabilités des programmes de cryptage courants.
- Les meilleures pratiques de conformité PCI se répartissent en cinq catégories générales: réseau sécurisé, protection des données, gestion des vulnérabilités, contrôle d'accès, surveillance et politique de sécurité. Le Conseil PCI a un questionnaire d'auto-évaluation pour aider les petites entreprises à déterminer la conformité aux normes de sécurité.
Partie 2 sur 3: mise en œuvre des programmes de conformité PCI
- 1Construisez et maintenez un réseau sécurisé. Pour les entreprises, cela signifie développer une relation avec un entrepreneur de confiance. À moins que vous ne soyez un professionnel de l'informatique, vous ne devez pas installer votre propre réseau s'il stocke des données client. Même un système prêt à l'emploi peut présenter des vulnérabilités s'il n'est pas installé et mis à jour correctement.
- Gardez vos pare-feu à jour et opérationnels. Ne laissez pas les employés désactiver les pare-feu à quelque fin que ce soit.
- Modifiez immédiatement les mots de passe fournis par le fournisseur. Mettez également en place un programme de mot de passe pour vos employés. Les mots de passe doivent être changés régulièrement conformément aux instructions du fournisseur. Par exemple, les mots de passe doivent être des combinaisons de caractères alphanumériques qui ne sont pas des mots du dictionnaire. Si votre fournisseur travaille sur votre système, vous devez modifier tous les mots de passe lorsqu'il revient en ligne.
- 2Protégez les informations du titulaire de la carte. Si vous traitez manuellement les cartes de crédit, les feuillets et les reçus doivent être conservés dans des fichiers verrouillés avec un accès limité. Si les informations du titulaire de la carte sont stockées sur votre réseau, elles doivent être cryptées et protégées derrière les pare-feu de l'entreprise
- 3Créez un programme de gestion des vulnérabilités. Votre système doit être protégé par un logiciel antivirus approprié. Vous devriez également avoir un programme d'entreprise qui interdit l'ajout de logiciels, tels que des jeux, qui pourraient compromettre le système.
- 4Mettre en place un contrôle d'accès. L'accès par mot de passe à votre système doit être restreint. Chaque employé ne devrait avoir que l'accès dont il a besoin pour faire son travail. Expliquez que cela protège à la fois vos employés et vos clients. En cas de violation de données, un accès restreint réduira les possibilités et facilitera l'enquête.
- Pour votre réseau, attribuez à chaque utilisateur et à chaque terminal un numéro d'identification unique. En cas de violation confirmée ou suspectée, vos informaticiens seront en mesure d'identifier rapidement le point d'entrée.
- Sécurisez les enregistrements physiques contenant les données des clients et des titulaires de carte. Utilisez soit un système de clé à carte, soit un verrou et une clé physiques.
Partie 3 sur 3: tester et maintenir la conformité PCI
- 1Surveillez et testez vos réseaux. Votre programme de sécurité doit inclure des analyses et des tests réguliers pour suivre et surveiller le flux de données client à travers votre réseau. Votre informaticien ou fournisseur peut mettre en œuvre des tests à la fois lorsque le système est peu utilisé (par exemple, tard dans la nuit le week-end) et en temps réel lorsque le système est utilisé.
- Tenir un journal des résultats des tests. Discutez de la durée de conservation des enregistrements de test avec votre banque et votre compagnie d'assurance.
- 2Élaborer une politique de sécurité de l'information. Toutes les étapes de votre programme de conformité PCI doivent être documentées dans votre politique de sécurité. Ce document doit détailler toutes les mesures prises par votre entreprise pour sécuriser les données des clients. Pour les commerçants de niveau 1 à 3, ce programme peut s'exécuter sur plusieurs volumes et intégrer le manuel de l'employé.
- Les commerçants de niveau 1 à 3 passeront probablement un contrat avec un professionnel de la sécurité ou disposeront d'un personnel dédié formé aux subtilités de la rédaction et du maintien de la politique de sécurité de l'information.
- Un commerçant de niveau 4 doit contacter la chambre de compensation des cartes de crédit pour obtenir des conseils et de l'aide sur la création de la politique de sécurité. Si le processeur ne fournit pas de modèle de programme, vous devriez envisager de passer un contrat avec un professionnel de la sécurité pour créer le document. À moins que vous ne soyez un professionnel de l'informatique, il est peu probable que vous connaissiez suffisamment les détails techniques de votre système pour créer une politique de sécurité conforme à la norme PCI. Une fois créé, il n'aura besoin d'être mis à jour que lorsque votre réseau sera étendu ou mis à jour. Votre sous-traitant informatique peut vous fournir les documents dont vous avez besoin pour maintenir à jour votre politique de sécurité.
- La plupart de votre programme de sécurité sera de nature technique, comme le choix du pare-feu et du logiciel de sécurité, ainsi que les protocoles de test. Cependant, vous devez également inclure des sections sur le processus lorsqu'un employé quitte l'entreprise et que les mots de passe sont révoqués.
- Développez un processus pour garder une trace des clés et des cartes-clés. Les clés maîtresses devraient être aussi strictement réglementées que les mots de passe de haut niveau.
- 3Évaluez, corrigez et signalez votre conformité PCI. Une fois que les 12 parties des meilleures pratiques PCI sont mises en œuvre, vous devez périodiquement exécuter le processus d'examen en trois étapes du Conseil PCI pour vous assurer que la conformité est maintenue.
- Faites l'inventaire de vos systèmes informatiques et de vos processus métier. Si quelque chose a changé, mettez à jour vos programmes de sécurité et vos plans de gestion des vulnérabilités.
- Si vous trouvez une faiblesse dans votre système, remédiez au problème. Cela peut nécessiter de nouveaux équipements ou logiciels, une formation des utilisateurs ou une mise à jour de votre réseau. Les professionnels de l'informatique doivent mettre en œuvre ces changements.
- Conservez des enregistrements de vos actions et soumettez des rapports sur vos efforts de conformité à votre banque et à vos sociétés émettrices de cartes de crédit. Vos rapports, efforts et informations peuvent aider une autre entreprise à protéger les données des clients.
- Les commerçants de niveau 4 doivent discuter de la conformité PCI avec la banque ou la chambre de compensation des cartes de crédit et suivre les recommandations.
- Si vous êtes un très petit commerçant, comme une entreprise à domicile, il est peu probable que vous stockiez des données de carte sur votre réseau personnel. Cependant, vous devriez toujours revoir vos processus avec votre banque. Le PCI Council propose des formations et des ressources en ligne pour vous aider à prévenir le vol de données client.
Questions et réponses
- Comment savoir si ma conformité est à jour?