Investor's wiki
fr Français
Navigation
Home Glossary
InvestirStocksObligationsCryptoFinances personnellesAnalyse fondamentaleAnalyse techniqueCommerceBanqueTaxes
Disclaimer Terms of Use Privacy Policy Cookie Policy
Navigation
Home Glossary
InvestirStocksObligationsCryptoFinances personnellesAnalyse fondamentaleAnalyse techniqueCommerceBanqueTaxes
Disclaimer Terms of Use Privacy Policy Cookie Policy

Conformité PCI

Conformité PCI
Finances personnellesCarte de créditCartes de crédit

Qu'est-ce que la conformité PCI ?

La conformité de l'industrie des cartes de paiement (PCI) est mandatée par les sociétés de cartes de crédit pour aider à assurer la sécurité des transactions par carte de crédit dans l'industrie des paiements. La conformité de l'industrie des cartes de paiement fait référence aux normes techniques et opérationnelles que les entreprises suivent pour sécuriser et protéger les données de carte de crédit fournies par les titulaires de carte et transmises par le biais de transactions de traitement de carte. Les normes PCI de conformité sont élaborées et gérées par le Conseil des normes de sécurité PCI.

Comprendre la conformité PCI

La Federal Trade Commission (FTC) est responsable de la surveillance du traitement des cartes de crédit car il relève du besoin de protection et de surveillance des consommateurs. Bien qu'il n'y ait pas nécessairement de mandat réglementaire pour la conformité PCI, elle est considérée comme obligatoire par la jurisprudence.

En général, la conformité PCI est un élément central du protocole de sécurité de toute société de carte de crédit. Il est généralement mandaté par les sociétés de cartes de crédit et discuté dans les accords de réseau de cartes de crédit.

Le Conseil des normes PCI est responsable du développement des normes de conformité PCI. Ces normes s'appliquent au traitement des commerçants et ont également été étendues pour définir les exigences relatives aux transactions Internet cryptées . Parmi les autres entités clés qui sont également associées à l'établissement de normes dans l'industrie des cartes de crédit, citons The Card Association Network et la National Automated Clearing House (NACHA).

Exigences pour la conformité PCI

Les normes de conformité PCI exigent que les commerçants et autres entreprises traitent les informations de carte de crédit de manière sécurisée, ce qui contribue à réduire la probabilité que les titulaires de carte se fassent voler des informations sensibles sur les comptes financiers. Si les commerçants ne traitent pas les informations de carte de crédit conformément aux normes PCI, les informations de carte pourraient être piratées et utilisées pour une multitude d'actions frauduleuses. De plus, des informations sensibles sur le titulaire de la carte pourraient être utilisées dans le cadre d'une usurpation d' identité.

Être conforme à la norme PCI signifie adhérer systématiquement à un ensemble de directives établies par le Conseil des normes PCI. La conformité PCI est régie par le PCI Standards Council, une organisation créée en 2006 dans le but de gérer la sécurité des cartes de crédit.

Les exigences élaborées par le Conseil sont connues sous le nom de Normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS). PCI DSS a 12 exigences clés, 78 exigences de base et plus de 400 procédures de test. Les lignes directrices sont également considérées comme des pratiques exemplaires en matière de sécurité. Ses 12 principales exigences sont les suivantes :

  1. Mettre en place des pare-feux pour protéger les données

  2. Protection par mot de passe appropriée

  3. Protégez les données des titulaires de carte

  4. Cryptage des données de titulaire de carte transmises

  5. Utilisez un logiciel antivirus

  6. Mettre à jour les logiciels et maintenir les systèmes de sécurité

  7. Restreindre l'accès aux données du titulaire de carte

  8. Identifiants uniques attribués aux personnes ayant accès aux données

  9. Restreindre l'accès physique aux données

  10. Créer et surveiller les journaux d'accès

  11. Testez régulièrement les systèmes de sécurité

  12. Créer une politique qui est documentée et qui peut être suivie

La version la plus récente de PCI DSS a été publiée en mai 2018 et est appelée version 3.2.1. Dans l'ensemble, les six objectifs et les 12 exigences décrivent une série d'étapes que les processeurs de cartes de crédit doivent suivre en permanence. Les entreprises sont d'abord invitées à évaluer leurs réseaux et systèmes, qui impliquent l'infrastructure des technologies de l'information, les processus commerciaux et les procédures de traitement des cartes de crédit.

Avantages de la conformité PCI

La maintenance et l'évaluation constantes de toute faille de sécurité sont également très importantes pour éviter le vol d'informations sensibles sur les titulaires de carte, telles que les numéros de sécurité sociale et de permis de conduire, dans la mesure du possible.

Les entreprises sont tenues de fournir régulièrement des rapports de conformité dans le cadre de leurs accords de traitement de cartes. La surveillance, les évaluations et les audits des normes de sécurité des données de l'industrie des cartes de paiement constituent tous une partie importante du service de sécurité d'une entreprise.

Toutes les entreprises qui traitent les informations de carte de crédit sont tenues de maintenir la conformité PCI conformément à leurs accords de traitement de carte. La conformité PCI est la norme de l'industrie et les entreprises sans elle peuvent entraîner des amendes substantielles pour violation d'accord et négligence. Sans conformité PCI, les entreprises sont également très vulnérables au vol, à la fraude et aux violations de données.

95%

Le pourcentage d' atteintes à la cybersécurité causées par une erreur humaine.

Les avantages de la conformité incluent le risque réduit de violation de données, la protection des données des titulaires de carte, évitant ainsi les risques d'usurpation d'identité. C'est une bonne pratique pour les entreprises d'être en conformité car cela réduit les amendes liées aux violations de données, contribue à la réputation de la marque d'une entreprise,. garde les clients heureux et confiants qu'ils font affaire avec une entreprise responsable, ce qui conduit à la fidélité à la marque.

Au cours du premier semestre 2020, 36 milliards d'enregistrements ont été exposés par le biais de violations de données. Quatre-vingt-six pour cent des violations étaient motivées par des raisons financières et, avec le marché mondial de la sécurité de l'information qui devrait atteindre 170 milliards de dollars en 2020, le risque financier est encore plus élevé. Protéger les données des titulaires de carte n'est pas seulement bon pour les affaires, c'est aussi la bonne chose à faire, en veillant à ce que les personnes ne soient pas lésées ou ne subissent aucune perte financière.

Conformité PCI et violations de données

La conformité PCI aide à éviter les activités frauduleuses et atténue les violations de données. Verizon fournit une évaluation annuelle de la sécurité des paiements dans son « Verizon Payment Security Report ». Le rapport 2019 consacre une section entière à la norme PCI DSS, intitulée « L'état de la conformité à la norme PCI DSS, 2019 : et 12 exigences clés ». Voici quelques points saillants de la norme PCI DSS du « Rapport sur la sécurité des paiements Verizon 2019 » :

  • 36,7 % des organisations maintenaient activement des programmes PCI DSS en 2018.

  • La rĂ©gion Asie-Pacifique a surperformĂ© les AmĂ©riques, l'Europe, le Moyen-Orient et l'Afrique.

  • Du point de vue de l'industrie, l'hĂ´tellerie est quelque peu en retard par rapport aux autres secteurs.

FAQ sur la conformité PCI

Que signifie conforme Ă  la norme PCI ?

Conforme à la norme PCI signifie que toute entreprise ou organisation qui accepte, transmet ou stocke les données privées des titulaires de carte respecte les diverses mesures de sécurité décrites par le PCI Security Standard Council pour garantir la sécurité et la confidentialité des données.

La conformité PCI est-elle requise par la loi ?

Il n'y a pas de mandat réglementaire qui exige la conformité PCI, mais il est considéré comme obligatoire par la jurisprudence.

Comment puis-je me conformer Ă  la norme PCI ?

Pour devenir conforme à la norme PCI, vous devez d'abord déterminer quel questionnaire d'auto-évaluation vous devez suivre pour devenir conforme. Une fois que vous avez terminé le questionnaire, vous devez remplir et conserver la preuve d'une analyse de vulnérabilité réussie avec un fournisseur d'analyse approuvé par PCI SSC. Le scan ne s'applique qu'à certains commerçants. Vous devrez ensuite remplir l'Attestation de conformité. La dernière étape consistera à soumettre toutes les informations ci-dessus.

Qui doit ĂŞtre conforme Ă  la norme PCI ?

Toute entreprise ou organisation qui accepte, transmet ou stocke les données privées des titulaires de carte.

L'essentiel

La conformité PCI fait référence aux normes techniques et opérationnelles définies par le Conseil des normes de sécurité PCI que les organisations doivent mettre en œuvre et maintenir. L'objectif d'être conforme à la norme PCI est de protéger les données des titulaires de carte et s'applique à toute organisation qui accepte, transmet ou stocke ces données. Être conforme à la norme PCI est une bonne pratique commerciale en ce sens qu'elle place la sécurité des données des consommateurs au premier plan et profite également à une organisation grâce à une réputation de marque positive.

Points forts

  • Les entreprises qui respectent et respectent les normes de sĂ©curitĂ© des donnĂ©es de l'industrie des cartes de paiement (PCI DSS) sont considĂ©rĂ©es comme conformes Ă  la norme PCI.

  • ĂŠtre conforme Ă  la norme PCI rĂ©duit les violations de donnĂ©es, protège les donnĂ©es des titulaires de carte, Ă©vite les amendes et amĂ©liore la rĂ©putation de la marque.

  • PCI DSS a 12 exigences clĂ©s, 78 exigences de base et 400 procĂ©dures de test pour garantir que les organisations sont conformes Ă  la norme PCI.

  • Le Conseil des normes de sĂ©curitĂ© PCI est responsable du dĂ©veloppement de la norme PCI DSS.

  • La conformitĂ© PCI n'est pas requise par la loi mais est considĂ©rĂ©e comme obligatoire par la jurisprudence.