PCI DSS est l’abréviation de Payment Card Industry Data Security Standard (norme de sécurité des données de l’industrie des cartes de paiement). Il s’agit d’un ensemble spécifique d’exigences visant à garantir que toutes les entreprises qui stockent, transmettent ou conservent des données relatives aux titulaires de cartes maintiennent un environnement sécurisé. Les organisations telles que les commerçants, les émetteurs, les acquéreurs et les entreprises de traitement relèvent toutes de cette norme. En résumé, si vous acceptez le paiement de biens ou de services par carte de débit ou de crédit, en ligne, par téléphone ou en personne, la norme PCI DSS s’applique à vous !
Quelles sont les exigences de conformité à la norme PCI ?
Pour se conformer à la norme PCI DSS, les entreprises doivent satisfaire à 12 exigences spécifiques :
- Utiliser un pare-feu pour protéger les données des titulaires de cartes
- Réinitialisation des mots de passe par défaut
- Protéger les données stockées des titulaires de cartes
- Cryptage des données des titulaires de cartes en transit
- Maintenir un logiciel anti-virus
- Assurer la sécurité des applications et des systèmes
- Contrôles d’accès aux données des titulaires de cartes basés sur le minimum requis
- Identités uniques pour chaque personne ayant accès à l’ordinateur
- Réduire au minimum l’accès physique aux données des titulaires de cartes
- Tester périodiquement les systèmes de sécurité
- Élaborer des politiques pour le personnel
Chacun de ces éléments présente un ensemble unique de complexités et de détails et doit être mis en œuvre en conséquence.
Niveaux de conformité PCI DSS
Il est important que vous déterminiez correctement le niveau de conformité PCI de votre organisation afin de pouvoir répondre à toutes les exigences pertinentes, dont la portée diffère selon le niveau. Il existe quatre niveaux de conformité PCI, déterminés en fonction du volume de transactions par carte sur une période de 12 mois.
- Les entreprises de niveau 4 sont celles qui effectuent moins de 20,000 transactions par an.
- Les entreprises de niveau 3 sont celles qui effectuent entre 20,000 et 1 million de transactions par an.
- Les entreprises de niveau 2 sont celles qui effectuent entre 1 et 6 millions de transactions par an.
- Les entreprises de niveau 1 sont celles qui effectuent plus de 6 millions de transactions par an.
Un détail important est que les entreprises de niveau 1 doivent faire l’objet d’un audit par une tierce partie pour être en conformité, alors que les entreprises des niveaux 2 à 4 procèdent à une auto-évaluation.
Mais la conformité à la norme PCI ne se limite pas à éviter les pénalités ; la conformité à la norme PCI DSS peut être un moteur pour les entreprises. La question « Êtes-vous conforme à la norme PCI ? » sera l’une des premières que posera un client avant de s’engager dans une affaire. L’un des principaux avantages de la conformité à la norme PCI est donc l’accès à de grands contrats d’entreprise exigeant que leurs fournisseurs soient conformes à la norme PCI.
N’interrompez pas le processus d’appel d’offres ou de partenariat en le retardant parce que vous n’êtes pas encore conforme à la norme PCI. Utilisez la conformité PCI pour prouver votre confiance tout au long de votre cycle de vente et assurez à vos prospects que vous prenez la sécurité au sérieux. Laissez Mindsec vous aider!
