La norme de sécurité de l’industrie des cartes de paiement (PCI-DSS) consiste en un ensemble de normes de conformité contenant des politiques de protection des données de paiement et des données financières des consommateurs. Lorsqu’elles stockent des informations de paiement de consommateurs, les entreprises ont l’obligation de se conformer à la norme PCI-DSS, faute de quoi elles s’exposent à de lourdes sanctions en cas de violation. Des lignes directrices en matière de sécurité sont donc proposées aux organisations afin qu’elles respectent les normes.
Qu’est-ce que la certification PCI-DSS?
Pour prouver qu’une entreprise est réellement conforme à la norme PCI-DSS, elle doit obtenir la certification PCI-DSS, qui prouve qu’elle respecte les lignes directrices prévues. Les sociétés financières qui contrôlent les cartes de crédit fixent les normes à respecter et, compte tenu de la rapidité avec laquelle le paysage de la sécurité informatique évolue, elles se réunissent régulièrement pour revoir leurs politiques de sécurité et modifier leurs exigences. La norme PCI-DSS définit un ensemble de règles que les organisations doivent respecter pour être certifiées. Voici quelques-unes des pratiques requises pour la certification PCI-DSS:
- Installation de pare-feu si nécessaire
- Cryptage des données envoyées aux fournisseurs et en provenance de ceux-ci
- Installation d’un antivirus sur tous les appareils de l’entreprise
- Surveillance des demandes d’accès aux ressources du réseau
- Contrôles d’autorisation des données des titulaires de cartes
Niveaux de conformité à la norme de sécurité de l’industrie des cartes de paiement
Tous les fournisseurs n’ont pas le même volume d’activité et les mêmes ressources de réseau. C’est pourquoi la norme PCI-DSS prévoit différents niveaux de conformité en fonction du niveau du fournisseur. Les niveaux sont déterminés par le volume des transactions par carte de crédit Visa. Tous les vendeurs ont l’obligation de se conformer à la norme PCI-DSS, quelle que soit leur taille, mais le niveau auquel ils appartiennent détermine les mesures qu’ils doivent prendre pour se mettre en conformité.
PCI-DSS niveau 1
Ceux qui traitent plus de six millions de transactions Visa par an appartiennent au niveau 1. Il s’agit généralement de grandes entreprises internationales, mais Visa peut classer un fournisseur à sa discrétion en vue de réduire les risques. Une fois par an, la conformité sera évaluée par un auditeur de Visa et les fournisseurs de niveau 1 sont tenus de soumettre une analyse de conformité PCI par l’intermédiaire d’un organisme agréé.
PCI-DSS niveau 2
Tout vendeur dont le volume annuel de transactions Visa est compris entre un et six millions. Ceux qui appartiennent au niveau 2 doivent soumettre un questionnaire d’auto-évaluation (SAQ) pour s’assurer qu’ils respectent les exigences du niveau 2 et se soumettre à un contrôle de conformité PCI tous les trimestres.
PCI-DSS niveau 3
Ceux dont le volume de transactions de commerce électronique Visa est compris entre 20 000 et un million par an. Les vendeurs de niveau 3 doivent soumettre un questionnaire d’auto-évaluation (SAQ) pour prouver qu’ils satisfont aux exigences de niveau 3, en plus de devoir effectuer des analyses trimestrielles de conformité PCI.
PCI-DSS niveau 4
Lorsque le nombre de transactions de commerce électronique Visa est inférieur à 20 000 par an ou inférieur à un million de transactions Visa standard par an, les vendeurs appartiennent au niveau 4. Pour satisfaire aux exigences du niveau 4, ils doivent soumettre un questionnaire d’auto-évaluation (SAQ) et effectuer des analyses trimestrielles de conformité PCI.
Exigences de la norme PCI-DSS
Bien que la plupart des réglementations en matière de conformité exigent généralement des modifications majeures de l’infrastructure et l’adoption d’outils de sécurité spéciaux, la norme PCI-DSS comporte très peu d’exigences, mais elles sont très importantes. Toute erreur ou négligence dans le respect de ces exigences peut entraîner de lourdes sanctions. Il est donc essentiel que les entreprises respectent les lignes directrices PCI-DSS en prenant les mesures de contrôle appropriées.
Les sociétés émettrices de cartes de crédit imposent 12 exigences aux entreprises pour qu’elles restent conformes aux normes PCI-DSS. L’objectif des normes étant de protéger les données des titulaires de cartes, les exigences concernent essentiellement la protection des informations sensibles contre les cybermenaces. Toute modification des exigences est annoncée et rendue publique par le Conseil de sécurité, de sorte que les entreprises devront les revoir chaque année pour s’assurer que les exigences de conformité sont toujours respectées.
Les 12 exigences de la norme PCI-DSS sont les suivantes:
1 – Installer des pare-feu en les configurant pour bloquer le trafic dangereux
La plupart des entreprises disposent certainement déjà d’un pare-feu dans leur réseau, qui sert de barrière entre l’infrastructure interne et l’Internet externe. Mais dans les réseaux plus vastes et plus structurés, où le Wi-Fi public est peut-être également proposé et où les différents départements doivent être séparés, il est nécessaire de disposer de pare-feux supplémentaires. Par exemple, pour protéger les données des détenteurs de cartes, un pare-feu doit être utilisé pour séparer le département financier et ses données du département des ventes.
2 – Ne pas utiliser les mots de passe système par défaut fournis par les fabricants d’appareils
Afin de faciliter le travail des administrateurs de réseau, chaque dispositif de réseau est fourni déjà fonctionnel, avec un mot de passe par défaut défini par le fabricant. Ces mots de passe sont toutefois diffusés publiquement, ce qui rend les ressources du réseau accessibles aux attaquants. Après avoir connecté un appareil au réseau, la première chose qu’un administrateur doit faire est de changer le mot de passe par défaut par un nouveau mot de passe sécurisé, difficile à deviner mais suffisamment facile à mémoriser.
3 – Protéger les données financières stockées par les consommateurs
Cela peut sembler évident, mais toutes les entreprises ne stockent pas les données relatives aux cartes de crédit et toutes ne prennent pas les mesures nécessaires pour garantir leur sécurité. Par exemple, les données relatives aux cartes de crédit doivent être cryptées lorsqu’elles sont stockées dans une base de données et personne au sein de l’entreprise ne doit pouvoir y accéder librement. Toute demande d’accès doit être contrôlée et un journal d’audit doit être conservé pour être consulté en cas de violation.
4 – Les données financières circulant sur les réseaux publics doivent être cryptées
Pour circuler sur l’internet et dans les réseaux publics, les données financières doivent être cryptées afin d’éviter les écoutes clandestines. Les utilisateurs saisissent les données de leur carte de crédit sur un site de commerce électronique et ces informations doivent être cryptées. Le vendeur envoie les données de la carte de crédit à un processeur qui doit lui aussi être crypté. Certaines entreprises, les plus structurées, cryptent également le trafic au sein du réseau de l’entreprise.
5 – Installer et mettre à jour régulièrement un logiciel antivirus
Tous les serveurs et postes de travail de l’entreprise doivent être équipés d’un logiciel antivirus. Mieux encore, un antivirus devrait également être installé sur tout appareil mobile qui stocke ou traite des données de cartes de crédit. Avec la popularité croissante des smartphones, la protection de tous les types de terminaux et l’investissement dans la sécurité mobile devraient devenir une priorité pour les entreprises qui acceptent les paiements par le biais d’appareils mobiles.
6 – S’équiper de systèmes intégrés de protection des données
Les systèmes au sein du réseau sont en constante évolution et, au fur et à mesure que l’entreprise se développe, les administrateurs en ajoutent toujours de nouveaux. Chaque fois qu’un nouveau système est installé dans l’infrastructure de l’entreprise, il doit être intégré en tenant compte de la sécurité. La nouvelle infrastructure doit être sécurisée et chaque ressource doit être configurée de manière à garantir la sécurité des données relatives aux cartes de crédit.
7 – Utiliser la norme de privilège minimum pour l’accès aux données
Les utilisateurs ne devraient être autorisés à accéder aux données des cartes de crédit que si cela est nécessaire à l’accomplissement de leurs tâches. Les données relatives aux cartes de crédit sont exposées au risque de menaces internes, de sorte que seuls les employés qui ont strictement besoin d’y accéder pour effectuer une certaine tâche doivent y être autorisés. Dans certains cas, une partie du numéro de la carte de crédit est masquée pour accroître la sécurité. Par exemple, les employés du service clientèle ne peuvent voir que les quatre derniers chiffres de la carte de crédit, contrairement aux employés du service de facturation qui peuvent voir le numéro complet afin d’aider les clients à changer le numéro de la carte dans leur dossier.
8 – Suivi de toutes les demandes d’accès aux données relatives aux cartes de crédit par l’intermédiaire de l’identifiant de l’utilisateur
Qu’il s’agisse d’un compte compromis ou d’une menace interne, l’enregistrement des demandes d’accès avec l’identifiant de l’utilisateur laissera une trace utile en cas d’enquête. Les enquêteurs et les forces de l’ordre utilisent les pistes d’audit pour identifier l’auteur d’une violation, et de la même manière, elles sont importantes dans les phases de réponse aux incidents car elles aident à identifier l’étendue des dommages et les consommateurs qui ont été affectés par une violation de données.
9 – Restreindre l’accès physique aux données des cartes de crédit
Les serveurs sur lesquels sont stockées les informations relatives aux cartes de crédit doivent disposer de mesures de sécurité physique adéquates. Pour les entreprises qui stockent des données de cartes de crédit dans le nuage, les fournisseurs de services en nuage doivent eux-mêmes se conformer à la norme PCI-DSS. Toute demande d’accès à l’infrastructure doit être enregistrée, afin de laisser une trace pour d’éventuels audits et enquêtes.
10 – Enregistrer et surveiller les demandes d’accès aux ressources du réseau où sont stockées les données relatives aux cartes de crédit
Le contrôle de l’accès aux données est une exigence courante dans de nombreuses réglementations. Les journaux et la surveillance vont de pair dans le domaine de la sécurité et de la protection des données. Les journaux gardent la trace des demandes d’accès, tandis que les outils de surveillance utilisent ces événements pour identifier les anomalies qui déclenchent des notifications aux administrateurs. La surveillance permet aux analystes d’identifier rapidement les incidents et de réagir rapidement pour les contenir et limiter les dommages résultant d’une violation.
11 – Tester régulièrement les systèmes et les procédures de sécurité
Il peut arriver que les systèmes de sécurité tombent en panne ou ne fonctionnent pas comme ils le devraient. Il est donc important que les administrateurs vérifient périodiquement les contrôles de sécurité dans l’ensemble de l’infrastructure. Certaines entreprises organisent des événements axés sur la sécurité, offrant des récompenses aux employés qui parviennent à trouver des vulnérabilités dans les systèmes et les ressources. Outre les audits annuels, les administrateurs doivent évaluer périodiquement la documentation relative à la conformité à la norme PCI-DSS afin de s’assurer qu’ils sont toujours en conformité.
12 – Documenter les politiques de sécurité et les distribuer aux employés
Les employés ne peuvent pas suivre les politiques de sécurité s’ils n’en ont pas connaissance. La norme PCI-DSS exige que les employeurs préparent et documentent les politiques de sécurité afin que les employés puissent s’y référer pour comprendre clairement ce qui doit être fait et la manière correcte de traiter les données des clients.
Quels sont les avantages de la norme PCI-DSS?
Il est donc dans votre intérêt de suivre les lignes directrices et de vous conformer aux exigences de sécurité fixées par la norme PCI-DSS, en faisant tout ce qui est nécessaire pour protéger les données des titulaires de cartes.
Les avantages sont les suivants:
- Une plus grande confiance de la part des clients. Lorsqu’ils effectuent des paiements, les clients veulent être tranquils et savoir que leurs données sont en sécurité. La certification de conformité à la norme PCI-DSS indique que votre entreprise fait le nécessaire pour protéger les informations relatives aux cartes de crédit.
- Prévenir les violations de données. Toute organisation qui stocke des données sensibles telles que des données de cartes de crédit doit accorder la priorité à la sécurité. Les normes PCI-DSS aident les entreprises à prévenir et à bloquer les cyberattaques susceptibles de causer des dommages et des pertes financières considérables.
- Rester conforme aux normes mondiales. Le Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI SSC) regroupe les principales sociétés de cartes de crédit au niveau mondial et propose des mises à jour sur les dernières tendances en matière de cybersécurité. Certains fournisseurs peuvent exiger que vous restiez conforme à la norme PCI-DSS pour pouvoir faire des affaires avec eux.
- Elle aide à mettre en œuvre des contrôles de sécurité appropriés. Il n’est pas facile de démêler les innombrables solutions de sécurité disponibles sur le marché si l’on ne dispose pas d’une équipe interne spécialisée dans la cybersécurité. Les cadres PCI-DSS offrent des conseils à cet égard. La mise en œuvre de la norme PCI-DSS donne également aux administrateurs des indications sur les contrôles de sécurité à adopter pour protéger efficacement les données des cartes de crédit.
- Il fournit des lignes directrices pour d’autres normes de conformité. La plupart des entreprises sont tenues d’adhérer à plusieurs normes de conformité. L’application des normes PCI-DSS permet à l’entreprise de se conformer également à d’autres normes. Par exemple, les cadres PCI-DSS sont également importants pour la conformité HIPAA et GDPR.
Non-respect de la norme PCI-DSS
Le non-respect de la norme PCI-DSS est lourd de conséquences. Une violation de données peut coûter à une entreprise des millions d’euros pour réparer les dommages et couvrir les coûts des litiges résultant des actions collectives. Les cinq principales conséquences sont les suivantes:
- Sanctions mensuels: une infrastructure non conforme met en danger les données des cartes de crédit des consommateurs. C’est pourquoi la norme PCI-DSS prévoit de lourdes pénalités mensuelles en cas de violation, allant de 5 000 à 100 000 dollars par mois, en fonction du niveau du fournisseur.
- Compromission des systèmes et violation des données: des systèmes de sécurité insuffisants laissent la place à des vulnérabilités exploitées par des cybercriminels pour violer des données, ce qui entraîne des dommages économiques pouvant atteindre des millions d’euros en réponse à des incidents. Il en résulte des dommages économiques qui peuvent atteindre des millions d’euros en cas d’incident, ainsi que de longues enquêtes, une perte de confiance de la part des clients et de probables litiges.
- Poursuites judiciaires: les violations les plus graves amènent les clients à s’organiser en véritables actions collectives pour obtenir réparation des dommages subis. Les entreprises devront également faire face aux frais de conseil juridique et aux éventuels remboursements accordés par les tribunaux.
- Atteinte à la réputation de l’entreprise: si une entreprise est connue pour son manque d’attention à la sécurité, les clients se tourneront vers un concurrent. L’atteinte à l’image qui en résulte a un impact négatif sur la fidélité et la confiance des clients.
- Pertes économiques: les clients se tournant vers la concurrence, l’entreprise perd des revenus, qui sont encore plus érodés par les coûts engendrés par une action en justice.
Best practice en matière de conformité à la norme PCI-DSS
La plupart des best practice PCI-DSS suivent les exigences, mais les entreprises ont la possibilité de mettre en œuvre des politiques supplémentaires pour renforcer la sécurité. Voici quelques pratiques supplémentaires à prendre en considération:
- Maintenir les logiciels à jour: les développeurs publient périodiquement des mises à jour qui corrigent les problèmes de sécurité dans leurs logiciels. Il est donc important de toujours appliquer les mises à jour et les correctifs de sécurité pour éviter de laisser l’infrastructure vulnérable.
- Tokéniser les données des cartes de crédit le processus de tokenisation est similaire au cryptage. Il remplace les données sensibles par des données non sensibles tout en ne conservant que les éléments des données d’origine qui sont essentiels pour assurer la continuité des opérations commerciales.
- Attribuer un identifiant unique à chaque utilisateur et à chaque ressource: les administrateurs attribuent des identifiants uniques aux utilisateurs, mais tout composant accédant à des données devrait également avoir un identifiant unique afin de garder une trace des demandes d’accès.
- Protéger les mots de passe: exiger de tous les utilisateurs qu’ils stockent leurs mots de passe en toute sécurité. Nous recommandons l’utilisation de gestionnaires de mots de passe pour garantir la sécurité des mots de passe.
- Logiciel de test d’intrusion et de configuration du réseau: engager un hacker « chapeau blanc » pour tester votre infrastructure vous permettra d’identifier les failles de sécurité et les vulnérabilités de votre réseau et de vos logiciels, afin que vous puissiez prendre des contre-mesures pour les résoudre.
Comment 365TRUST peut vous aider
365TRUST propose de nombreuses solutions qui permettent aux entreprises d’atteindre et de maintenir la conformité PCI-DSS, en garantissant le respect des exigences de protection des données dans un large éventail d’industries, telles que PCI, HIPAA et GDPR, ainsi que la protection de vos données commerciales les plus sensibles, telles que la propriété intellectuelle, les documents juridiques et les accords de fusion et d’acquisition. Nos outils et ressources de protection des données garantissent la sécurité des données des consommateurs et les protègent contre les attaques.
Le maintien de la conformité est important pour la continuité de l’activité, même si la seule conformité ne suffit pas à mettre votre entreprise à l’abri de toutes les menaces. Les entreprises sont généralement tenues de se conformer à de multiples réglementations et 365TRUST vous aidera à trouver le bon équilibre entre conformité et sécurité.