Avec la technologie récente, le taux de cybercriminalité est à la hausse. C’est pour cette raison que de nombreuses entreprises suivent les directives de PCI lorsqu’elles traitent des informations de carte de crédit. Voici quelques questions fréquemment posées sur la sécurité des données PCI.
Qu’est-ce que la conformité PCI ?
Les directives PCI DSS garantissent que toutes les entreprises qui traitent les informations de carte de crédit le font dans un environnement sécurisé. Ces normes ont été élaborées pour améliorer la sécurité des comptes de paiement. Les règles sont administrées et gérées par un organisme créé par les marques de cartes de paiement MasterCard, Visa, Discover et American Express.
La pénalité pour non-conformité variera selon la marque de paiement et pourra aller de 5 000 $ à 10 000 $ par mois. La banque acquéreuse reportera l’amende jusqu’à ce qu’elle frappe le commerçant. De plus, la banque pourrait augmenter vos frais de transaction ou mettre fin à votre relation.
À qui s’appliquent les normes de sécurité des données PCI ?
PCI DSS affecte tous les commerçants de détail qui acceptent les paiements par carte de crédit de clients utilisant MasterCard, Discover et American Express. Conformité PCI s’applique également aux fournisseurs de services qui gèrent des services Internet comme Amazon Web Services.
Si une faille de sécurité peut mettre en danger les données de vos clients, vous devez vous conformer à la norme PCI DSS. Chaque année, vous devrez être conforme à la norme PCI pour sécuriser les données des clients. Les mandats PCI Data Security incluent la création de mots de passe forts et de protocoles de cybersécurité et le cryptage des informations envoyées via les réseaux publics à l’aide de programmes antivirus mis à jour.
Qu’est-ce qu’un hébergement conforme à la norme PCI ?
Étant donné que la conformité PCI implique la protection de l’environnement du serveur, les entreprises ne sont pas obligées d’utiliser un environnement d’hébergement partagé. Vous devez utiliser un serveur dédié ou virtuel géré par un hébergeur Web familiarisé avec les problèmes de conformité PCI.
Par exemple, si vous souhaitez héberger un site e-commerce, vous devez utiliser des machines virtuelles qui ne servent qu’à votre entreprise. Dans ce cas, vous devrez utiliser deux machines virtuelles – une pour votre base de données et l’autre pour votre site Web. Votre hôte doit avoir des règles de pare-feu qui permettent au serveur Web de puiser dans le serveur de base de données. Le coût moyen d’un hébergement conforme PCI est de 500 $ par mois.
Quelles sont les exigences de conformité PCI ?
L’une des actions de base que vous devez prendre pour être conforme à la norme PCI est d’utiliser un environnement d’hébergement sécurisé. Vous devriez également engager un fournisseur de numérisation approuvé pour vérifier votre site. Votre site devrait être scanné après 90 jours.
Une autre mesure que vous devez prendre pour être conforme à la norme PCI est de vous assurer que vos pratiques commerciales sont conformes aux normes PCI. Cela inclut la façon dont vous gérez les transactions en face à face et les données de carte de crédit. Vous devrez peut-être également soumettre un questionnaire d’auto-évaluation.
Comment commencez-vous?
La première étape que vous devez prendre pour vous conformer à la norme PCI est d’établir un comité. Le comité sera chargé de déterminer quelles directives et quels niveaux s’appliquent à votre organisation. Il doit également établir et tester les contrôles associés à la sécurité du traitement des paiements, au maintien de la conformité PCI DSS et à la correction des vulnérabilités de sécurité.
Les membres du comité doivent provenir de différentes parties des services de votre organisation. Certains des départements qui devraient être représentés incluent la sécurité de l’information, le juridique, les ressources humaines, la conformité, les finances, la gestion des risques, l’audit et la technologie de l’information.
Comment réduisez-vous vos coûts et vos risques ?
Une façon de réduire vos coûts et vos risques est de limiter votre portée de conformité PCI. Cela peut être réalisé en passant à un mode de paiement où le numéro de carte de crédit n’a pas à passer par votre réseau. Avec une telle approche, vous réduisez le risque et les exigences nécessaires pour être conforme à la norme PCI.
Par exemple, les méthodes de paiement telles que PayPal Standard retirent les utilisateurs de votre site et les renvoient plus tard. Étant donné que ces modes de paiement peuvent entraîner l’abandon de panier, de nombreuses personnes préfèrent des procédures de paiement qui permettent aux utilisateurs de rester sur votre site. Certains des fournisseurs de paiement qui limitent votre conformité PCI mais permettent également aux utilisateurs de rester sur votre site incluent la méthode de publication directe Authorize.Net, Amazon Checkout PayPal Payments Advanced et Braintree Payments.
En conclusion
Bien que la conformité PCI ne soit pas obligatoire pour toutes les entités, MasterCard et Visa exigent que les fournisseurs de services et les commerçants soient validés sur la base des normes PCI DSS. La lutte contre la cybercriminalité est la motivation des réglementations PCI DSS. En plus d’être pénalisée pour non-conformité, une faille de sécurité peut être coûteuse en termes d’enregistrements compromis et peut également ruiner la réputation de votre entreprise. Par conséquent, la conformité PCI est nécessaire pour assurer la sécurité des données des clients et des entreprises.