Qu’est-ce que la norme PCI?

La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est une norme de sécurité de l’information imposée par les marques de cartes. Elle s’applique à toute organisation qui accepte, traite, stocke ou transmet des renseignements de carte de crédit.

Très bien, mais en quoi consiste exactement la conformité à la norme PCI?

En gros, c’est douze conditions que doivent respecter les entreprises qui traitent des paiements par carte de crédit. Pourquoi? Pour protéger l’entreprise et ses clients contre les fraudeurs qui essaient de voler des renseignements de carte de crédit.

Ces conditions vont de la mise en place de politiques de sécurité des données pour l’entreprise à la suppression des données de carte de votre système de traitement et de vos terminaux de paiement. Nous reviendrons sur ces conditions ultérieurement.

Comment se conformer à la norme PCI?

Il y a quatre niveaux de conformité; le niveau que doit respecter votre entreprise est déterminé par les transactions effectuées sur une période de 12 mois.

Niveau 1 : Les marchands traitant plus de 6 millions de transactions par carte annuellement.

Niveau 2 : Les marchands traitant de 1 à 6 millions de transactions par carte annuellement.

Niveau 3 : Les marchands traitant de 20 000 à 1 million de transactions par carte annuellement.

Niveau 4 : Les marchands traitant moins de 20 000 transactions par carte annuellement.

Pour atteindre le niveau 1 de conformité à la norme PCI, vous devez vous soumettre à un audit annuel sur place par un auditeur interne et à une analyse de vulnérabilité (une analyse de réseau de votre adresse IP pour vérifier qu’elle est sécurisée). Pour atteindre les niveaux 2, 3 et 4 de conformité à la norme PCI, vous devez répondre à un questionnaire d’autoévaluation et vous soumettre à une analyse de vulnérabilité.

Qu’est-ce que cela signifie? Pour la plupart des petites et moyennes entreprises, il suffit de remplir un questionnaire annuel et de se soumettre à une analyse. En fait, c’est un peu plus que cela… Le questionnaire permet de vérifier que votre entreprise est conforme à la norme PCI, mais pour pouvoir y répondre, votre entreprise doit satisfaire aux douze conditions destinées à protéger les données des titulaires de carte.

Quelles sont les douze conditions de la norme PCI? Et devrais-je être effrayé?

Satisfaire à douze conditions peut sembler intimidant, mais la majorité d’entre elles relèvent du bon sens et sont en fin de compte bénéfiques pour votre entreprise. De plus, comme vous êtes un propriétaire d’entreprise diligent et responsable, il y a de fortes chances que vous appliquiez déjà ces mesures!

1. Installer et gérer une configuration de pare-feu pour protéger les données du titulaire de carte.
2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur.
3. Protéger les données du titulaire de carte stockées.
4. Crypter la transmission des données du titulaire de carte sur les réseaux publics ouverts.
5. Protéger tous les systèmes contre les logiciels malveillants et mettre à jour régulièrement les logiciels antivirus ou programmes.
6. Développer et gérer des systèmes et des applications sécurisés.
7. Restreindre l’accès aux données du titulaire de carte aux seuls individus qui doivent les connaître.
8. Identifier et authentifier l’accès aux composants du système.
9. Restreindre l’accès physique aux données du titulaire de carte.
10. Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données du titulaire de carte.
11. Tester régulièrement les processus et les systèmes de sécurité.
12. Maintenir une politique qui adresse les informations de sécurité pour l’ensemble du personnel.

Quels sont les avantages d’être conforme à la norme PCI?

Imaginez que votre réseau sans fil est piraté ou qu’un employé vole les renseignements de carte de crédit d’un client. Si vous êtes conforme à la norme PCI, votre entreprise bénéficie d’une protection contre les violations de données pouvant aller jusqu’à 100 000 $. Si vous ne l’êtes pas, toutes les amendes et tous les dépens associés à de tels incidents peuvent rapidement gruger les fonds de votre entreprise.

Et maintenant, pensez à votre magasin préféré. Est-ce que vous continueriez à y faire des achats si vous saviez que vos renseignements de paiement n’étaient pas en sécurité? Bien sûr, vous pourriez, l’espace d’un instant, vous demander si être victime d’une fraude par carte de crédit est un prix juste à payer pour cette brioche à la vanille artisanale. Mais en fin de compte, vous finirez probablement par trouver un autre commerce pour satisfaire vos envies de pâtisseries. Un sondage mené par Visa dans douze pays a révélé que la sécurité des renseignements financiers est la principale préoccupation des consommateurs.

En résumé, si vous ne voulez pas perdre des sommes considérables et si vous souhaitez garder vos clients, la conformité à la norme PCI est un bien petit prix à payer.

Un instant, il y a des frais pour être conforme à la norme PCI?

La réponse courte est : parfois et en quelque sorte. La plupart des fournisseurs offrent du soutien et des outils de prévention de la fraude pour aider les marchands à demeurer conformes à la norme PCI, moyennant certains frais. Certains fournisseurs exigent des frais allant de 10 à 20 $ par mois, alors que d’autres ne chargent aucuns frais, puisque le coût de la conformité à la norme PCI est déjà inclus dans les frais mensuels.

Que se passera-t-il si vous n’êtes pas conforme?

En plus des violations de données susmentionnées, la non-conformité à la norme PCI pourrait notamment entraîner des amendes potentielles allant de 5 000 à 100 000 $, la résiliation du contrat par votre entreprise de traitement des paiements, des frais mensuels de la part de votre fournisseur, des frais juridiques, des audits, des pertes imputables à la fraude et la faillite.

Je comprends un peu mieux ce qu’est la conformité à la norme PCI. Que dois-je faire maintenant?

Lorsque vous choisissez une entreprise de traitement des paiements, il est judicieux de vous renseigner sur les services et produits qu’elle offre pour assurer la conformité à la norme PCI. En plus d’opter pour un fournisseur de confiance (Paystone, bien sûr), avoir un logiciel antivirus à jour, changer le mot de passe de votre système chaque mois et utiliser une plateforme sécurisée pour stocker les renseignements de facturation de vos clients sont des mesures qui rendent la conformité à la norme PCI très simple… et même amusante. D’accord, juste simple.