Les bases de la conformité PCI : ce que vous devez savoir

Les informations de carte de crédit sont le type de données le plus précieux pour les cybercriminels, car ces ensembles de données valent des millions de dollars sur le marché noir.

Aujourd'hui, toutes les tailles d'entreprises traitent les informations de cartes de crédit et de débit des clients et reçoivent des paiements par carte de crédit. Chaque entreprise qui traite, stocke et transmet des données financières est sous le radar des acteurs malveillants et fait face aux risques de cyberattaque les plus élevés.

Pour ces raisons, les principales sociétés de cartes de crédit ont créé la norme PCI pour fournir des directives de sécurité aux entreprises afin de sécuriser les données financières des clients. Dans cet article, nous examinerons les bases de la conformité PCI.

Commençons par expliquer plus en détail la conformité PCI DSS.

Qu'est-ce que la conformité PCI DSS ?

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble technique et opérationnel de spécifications de sécurité visant à protéger les données des titulaires de cartes de crédit.

La conformité PCI a été fondée par les principales sociétés de cartes de crédit telles que Visa, Mastercard, American Express, Discover Financial Services et JCB Express. PCI cherche à mettre en place un cadre international pour sécuriser les données financières des clients.

Toutes les entreprises qui collectent, stockent et transmettent sont soumises à la conformité PCI DSS et sont tenues de suivre les directives et exigences de sécurité.

PCI DSS a quatre niveaux de conformité (1,2,3,4). Les niveaux de conformité PCI des entreprises sont déterminés en fonction du volume de transactions sur une année. Les entreprises qui relèvent du niveau 4 traitent moins de 20 000 transactions par an.

Le niveau 3 s'applique aux commerçants qui traitent entre 20 000 et 1 million de transactions par an. Le niveau 2 s'applique aux entreprises qui traitent des transactions entre 1 et 6 millions par an. Les entreprises qui traitent plus de 6 transactions par an relèvent du niveau 1.

Les exigences PCI deviennent plus strictes à mesure que le niveau passe de 4 à 1. Mais, quel que soit le niveau de conformité, toutes les entreprises sont tenues de respecter toutes les exigences PCI dans une certaine mesure.

Le cadre de traitement sécurisé des données des titulaires de carte est établi en six catégories par conformité PCI. Les catégories d'exigences PCI comprennent la protection des données des titulaires de carte, le plan de gestion des vulnérabilités, la surveillance du réseau, la gestion sécurisée du réseau et des systèmes, les restrictions de contrôle d'accès et la politique de sécurité des informations.

Le contenu de ces catégories construit un total de douze étapes d'exigence. Les exigences PCI garantissent la sécurité du traitement des données des titulaires de carte. Voici une liste de contrôle pour la conformité PCI.

Exigences PCI

1- Installer et maintenir un pare-feu pour la protection des données des titulaires de carte

Comme les pare-feu sont le premier mécanisme de défense du réseau, la configuration et la maintenance correctes d'un pare-feu sont essentielles pour assurer la sécurité des données du titulaire de la carte. Les pare-feu sont des outils très efficaces pour la protection des données sensibles contre les cybermenaces, car ils limitent le trafic réseau et bloquent les accès non autorisés. C'est pourquoi l'établissement d'un pare-feu est la première exigence.

02. Avoir une bonne protection par mot de passe

La majorité des services réseau, des systèmes de point de vente (POS) et des produits tiers sont configurés avec des paramètres par défaut.

Les cybercriminels peuvent facilement accéder aux réseaux et aux données sensibles si les organisations ne reconfigurent pas ces paramètres d'usine, car les mots de passe et les noms d'utilisateur par défaut sont largement connus.

Outre la modification des paramètres de mot de passe, les organisations doivent régulièrement modifier les mots de passe de tous les appareils et logiciels qui en ont besoin.

03. Protégez les données de titulaire de carte stockées

Toutes les données de titulaire de carte stockées doivent être cryptées. Les commerçants doivent assurer la protection de ces données sensibles grâce à des clés cryptographiques et des algorithmes et effectuer des scans réguliers.

04. Chiffrer les données transmises par les titulaires de carte

Le maintien de la sécurité des données des titulaires de carte est l'exigence la plus cruciale de la conformité PCI. Ainsi, les commerçants doivent également crypter et sécuriser la transmission des données des titulaires de carte sur les réseaux publics.

05. Utilisez un logiciel antivirus

Avoir un logiciel antivirus est une nécessité pour la protection des données contre les logiciels malveillants. Ainsi, les organisations doivent utiliser et mettre à jour fréquemment leur logiciel antivirus sur tous les appareils pour détecter et éliminer tout logiciel malveillant.

06. Maintenance des logiciels et du système

Tous les logiciels et systèmes doivent être mis à jour régulièrement pour corriger les vulnérabilités de sécurité. Gardez à l'esprit que certains logiciels tels que les bases de données, les logiciels antivirus et les pare-feu nécessitent des mises à jour plus fréquentes.

07. Restreindre l'accès aux données

Seul le personnel autorisé devrait avoir accès aux données des titulaires de carte en cas de besoin. Les tiers et les membres du personnel ne doivent pas avoir accès aux informations sensibles.

08. Identification unique pour l'accès des utilisateurs

Un ensemble unique de noms d'utilisateur et de mots de passe doit être attribué à chaque utilisateur autorisé ayant accès aux données du titulaire de la carte. Les informations d'identification d'accès des utilisateurs garantissent la responsabilité et réduisent le temps de réponse.

09. Restreindre l'accès physique

L'accès physique doit également être restreint autant que l'accès numérique pour protéger les données sensibles. Les organisations doivent stocker les données des titulaires de carte dans un endroit physiquement sécurisé et appliquer des contrôles et des autorisations stricts.

10- Suivre et surveiller l'accès au réseau

Tous les accès au réseau et le trafic doivent être suivis et surveillés en ce qui concerne les données des titulaires de carte et les numéros de compte principaux. Les journaux d'accès impliquant les données des titulaires de carte doivent être conservés et révisés en permanence.

11- Évaluation régulière des systèmes de sécurité

Des évaluations régulières du système de sécurité et des tests de pénétration doivent être effectués pour déterminer et corriger les vulnérabilités de sécurité. Cette procédure permet de déterminer l'état actuel des systèmes de sécurité et de l'améliorer en conséquence.

12- Maintenir une politique de cybersécurité

Toutes les exigences PCI doivent être traitées et documentées avec une politique de cybersécurité. En maintenant une politique de cybersécurité, les organisations peuvent assurer la conformité et la sécurité de leurs réseaux.

Conséquences du non-respect de la norme PCI DSS

Le non-respect de la norme PCI DSS peut entraîner des amendes et des pénalités élevées. Selon la gravité et la durée des infractions, les autorités PCI peuvent appliquer des amendes allant de 5 000 $ à 100 000 $ par mois.

Les amendes peuvent augmenter sur une base mensuelle à mesure que la durée de la violation s'allonge. De plus, après des incidents de violation de données, les entreprises peuvent être obligées de couvrir tous les coûts de réémission et de remédiation.

En dehors de ceux-ci, le non-respect de la norme PCI peut entraîner des pénalités supplémentaires telles qu'une augmentation des frais de transaction et la perte des commerçants de paiement par carte de crédit pendant un certain temps ou de façon permanente. Le respect des exigences PCI est essentiel pour éviter les pénalités et sécuriser les données financières confidentielles des clients.

Derniers mots

Les données financières des clients doivent être protégées à tout moment contre les cyberattaques.

La conformité à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) peut aider les entreprises à sécuriser les ensembles de données financières qui sont traitées, stockées et transmises.

À une époque où les cyber-risques, les amendes de conformité et les pénalités sont si élevées, chaque entreprise soumise à la norme PCI doit répondre à ses exigences et se conformer à la norme PCI.