Qu'est-ce que la conformité PCI et dois-je être conforme PCI ?

Conformité PCI : qu'est-ce que c'est ?

Les entreprises de cartes de crédit doivent adhérer à la conformité PCI pour aider à protéger la sécurité des transactions par carte de crédit dans le système financier. La conformité de l'industrie des cartes de paiement fait référence aux exigences techniques et opérationnelles des entreprises pour sauvegarder et préserver les données des titulaires de cartes fournies lors des opérations de traitement des cartes. Le Conseil des normes de sécurité PCI développe et gère les normes de conformité PCI.

Comprendre la conformité PCI

Le traitement des cartes de crédit est réglementé par la Federal Trade Commission (FTC) car il relève de la protection et de la réglementation des consommateurs. Bien qu'il n'y ait aucune contrainte législative pour la conformité PCI, elle est considérée comme requise par la jurisprudence des tribunaux.

La conformité PCI, en général, est un élément essentiel du processus de sécurité de chaque société de carte de crédit. Les sociétés de cartes de crédit l'exigent souvent, et cela est mentionné dans les accords de réseau de cartes de crédit.

Le PCI Requirements Council est responsable de l'élaboration des normes de conformité PCI. Ces normes s'appliquent au traitement des commerçants et ont été améliorées pour inclure des exigences pour les transactions Internet cryptées. D'autres institutions importantes impliquées dans le processus de normalisation de l'industrie des cartes de crédit sont le Card Association Network et la National Automated Clearing House (NACHA).

Que se passe-t-il si je ne suis pas conforme à la norme PCI ?

Alors que la conformité PCI est obligatoire, certains propriétaires d'entreprise se demandent s'ils peuvent éviter les normes - c'est une idée contraire à l'éthique et peut-être désastreuse. Si vous n'êtes pas conforme à la norme PCI, vous mettez en danger la sécurité de vos consommateurs et de votre entreprise. Sans les garanties fournies par la conformité PCI, votre entreprise peut être exposée à des attaques coûteuses et à des violations de données.

Si une violation de données se produit et que votre organisation n'est pas conforme à la norme PCI, vous pouvez être passible de sanctions et d'amendes allant de 5 000 $ à 500 000 $. Cependant, les pénalités ne sont que le début du préjudice causé par la non-conformité. Si vous n'êtes pas conforme à la norme PCI, vous risquez de perdre votre compte marchand, ce qui vous empêcherait complètement d'accepter les paiements par carte de crédit. De plus, votre entreprise peut figurer sur la liste MATCH (Member Alert to Control High-Risk Merchants), ce qui vous rend inéligible pendant de nombreuses années pour créer un nouveau compte marchand.

De plus, une violation de données peut entraîner des milliers de dollars de dommages, une perte de respect et de confiance des consommateurs et une perte de votre marque. En raison de la gamme de sanctions associées à la non-conformité PCI, il est toujours sage d'être aussi complètement conforme que possible pour éviter des amendes coûteuses et d'autres dommages.

Quelles sont les 12 exigences pour la conformité PCI DSS ?

Installer et maintenir des pare-feu

Les pare-feu empêchent efficacement l'accès aux données privées aux organisations extérieures ou inconnues. Ces précautions sont souvent la première ligne de protection contre les pirates (malveillants ou non). En raison de leur capacité à empêcher les accès non autorisés, les pare-feu sont nécessaires pour la conformité PCI DSS.

Protection efficace par mot de passe

Les routeurs, modems, systèmes de point de vente (POS) et autres biens tiers incluent souvent des mots de passe génériques et des mécanismes de sécurité facilement accessibles au grand public. Les entreprises échouent souvent à protéger ces vulnérabilités. Le maintien de la conformité dans ce domaine implique la tenue d'une liste de tous les appareils et applications protégés par mot de passe (ou toute autre sécurité d'accès). Avec un inventaire des appareils/mots de passe, une protection et des configurations essentielles doivent être mises en œuvre (par exemple, changer le mot de passe).

Protégez les données du titulaire de la carte

La troisième obligation de conformité PCI DSS consiste à sécuriser les données des titulaires de carte de deux manières. Les données du titulaire de carte doivent être cryptées à l'aide d'un algorithme particulier. Ces cryptages sont mis en œuvre à l'aide de clés de cryptage — qui doivent également être cryptées à des fins de conformité. La maintenance et l'analyse régulières des numéros de compte principaux (PAN) sont nécessaires pour vérifier qu'aucune donnée non chiffrée n'existe.

Crypter les données transmises

Les données des titulaires de carte sont envoyées par diverses voies conventionnelles (c'est-à-dire les processeurs de paiement, les bureaux à domicile des magasins locaux, etc.). Lorsque ces données sont transférées vers ces destinations connues, elles doivent être cryptées. De plus, les numéros de compte ne doivent jamais être donnés à des sites inconnus.

Utiliser et maintenir un antivirus

En dehors de la conformité PCI DSS, l'utilisation d'un logiciel antivirus est une pratique intelligente. Cependant, tous les appareils qui interagissent avec et stockent le PAN doivent avoir un logiciel antivirus installé. Ce logiciel doit être corrigé et mis à jour régulièrement. De plus, votre fournisseur de point de vente doit utiliser une protection antivirus dans les zones où elle ne peut pas être déployée directement.

Logiciel mis à jour

Les pare-feu et les logiciels antivirus devront être mis à jour régulièrement. De plus, il est sage de maintenir à jour tous les logiciels d'une entreprise. La majorité des logiciels intègrent des mesures de sécurité, telles que des correctifs pour remédier aux vulnérabilités nouvellement identifiées, dans le cadre de leurs mises à jour, offrant une couche de protection supplémentaire. Ces mises à niveau sont importantes pour tout logiciel exécuté sur des appareils qui interagissent avec ou stockent des données de titulaire de carte.

Restreindre l'accès aux données

Les informations sur le titulaire de la carte doivent être strictement "nécessaires à connaître". Tous les employés, cadres et tiers qui n'ont pas besoin de ces informations doivent se voir refuser l'accès. Les responsabilités nécessitant des données sensibles doivent être bien documentées et mises à jour régulièrement, comme l'exige la norme PCI DSS.

Codes d'accès uniques

Les employés qui ont accès aux données des titulaires de carte doivent être identifiés et chacun doit avoir ses propres informations d'identification. Par exemple, les données cryptées ne doivent pas être accessibles via une seule connexion, plusieurs travailleurs connaissant le nom d'utilisateur et le mot de passe. Les identifiants uniques réduisent la susceptibilité et permettent un temps de réaction plus rapide si les données sont compromises.

Limiter l'accès au niveau physique

Toutes les données sur les titulaires de carte doivent être stockées physiquement dans une zone sécurisée. Les données physiquement écrites ou dactylographiées et les données stockées numériquement (par exemple, sur un disque dur) doivent être sécurisées dans un coffre-fort, un tiroir ou une armoire. Non seulement l'accès doit être restreint, mais chaque fois que des données sensibles sont consultées, un enregistrement doit être conservé pour garantir la conformité.

Gérer les journaux d'accès

Toutes les transactions impliquant des données de titulaire de carte et des numéros de compte principaux (PAN) doivent être enregistrées. Le problème de non-conformité le plus répandu est peut-être le manque de tenue de registres et de documentation suffisante pour l'accès aux données sensibles. La conformité nécessite de suivre le flux de données entrant dans votre entreprise et la fréquence à laquelle l'accès est requis. De plus, des outils logiciels qui suivent l'accès sont nécessaires pour garantir l'exactitude.

Analyse et test des vulnérabilités

Chacun des dix critères de conformité précédents nécessite l'utilisation de nombreux produits logiciels, emplacements physiques et personnel. De nombreux éléments peuvent ne pas fonctionner correctement, devenir obsolètes ou faire l'objet d'erreurs humaines. Nous pouvons atténuer ces risques en adhérant aux critères PCI DSS pour les analyses régulières et les tests de vulnérabilité.

Politiques concernant les documents

La conformité nécessitera une documentation sur l'équipement, les logiciels et les travailleurs qui y ont accès. De plus, les enregistrements d'accès aux données des titulaires de carte nécessiteront une documentation. Il sera également nécessaire d'enregistrer comment les informations entrent dans votre entreprise, où elles sont conservées et utilisées au-delà du point de vente.

Avantages de la conformité PCI

Les avantages de la conformité incluent un risque réduit de violation de données, la protection des données des titulaires de carte et la prévention du vol d'identité. La conformité est une pratique exemplaire pour les entreprises car elle minimise les pénalités associées aux violations de données, profite à la réputation de la marque d'une entreprise et garantit que les consommateurs sont satisfaits et confiants qu'ils font affaire avec une entreprise responsable, ce qui se traduit par une fidélité à la marque.

Toutes les entreprises qui acceptent les informations de carte de crédit sont tenues, en vertu de leurs accords de traitement de cartes, de maintenir la conformité PCI. La conformité PCI est la norme de l'industrie, et les entreprises qui ne la respectent pas risquent d'encourir des pénalités importantes pour rupture de contrat et négligence. Les entreprises qui ne sont pas conformes à la norme PCI sont également très exposées au vol, à la fraude et aux violations de données.

Chez Fixed.net, nous vous recommandons fortement de ne jamais toucher aux données de la carte . Cela signifie, utilisez un fournisseur comme Stripe ou Braintree où les données de la carte sont tokenisées. Les données de la carte ne sont pas stockées par vous et ne sont même pas vues par vous. Un client saisit les détails à l'aide d'un widget intégré sur le site Web du fournisseur de paiement.

Conformité PCI et WordPress

WordPress est un logiciel open source et n'a pas de système de paiement intégré. Au lieu de cela, les systèmes de paiement sont fournis avec des plugins tels que WooCommerce. Ces plugins ont généralement la capacité d'associer des passerelles tierces comme Stripe. Si vous choisissez une passerelle où vous ne touchez pas aux données de la carte, vous n'avez pas besoin d'être conforme à la norme PCI.

Conformité PCI et WooCommerce

WooCommerce est livré avec un certain nombre d'options de paiement groupées et vous pouvez l'étendre avec des plugins tiers. Nous entrons dans les options de paiement dans divers autres guides sur ce blog. Cependant, la grande majorité des abonnés fixes ont tendance à utiliser une combinaison de Stripe et PayPal.