Articles

FAQ PCI

Bienvenue dans le Guide de conformité PCI.

Cliquez sur les liens ci-dessous pour trouver des réponses aux questions fréquemment posées.

Q1: Qu’est-ce que le PCI?
Q2 : À qui s’applique la norme PCI DSS ?
Q3: Où puis-je trouver la Norme de sécurité des données PCI (PCI DSS) ?
Q4 : Quels sont les  » niveaux » de conformité PCI et comment sont-ils déterminés ?
Q5: Que doit faire une petite à moyenne entreprise (commerçant de niveau 4) pour satisfaire aux exigences PCI DSS ?
Q6: Comment la prise de cartes de crédit par téléphone fonctionne-t-elle avec PCI?
Q7 : Si j’accepte uniquement les cartes de crédit par téléphone, la norme PCI DSS s’applique-t-elle toujours à moi?
Q8: Les organisations utilisant des processeurs tiers doivent-elles être conformes à la norme PCI DSS ?
Q9: Mon entreprise a plusieurs emplacements, chaque emplacement est-il nécessaire pour valider la conformité PCI?
Q10: Nous ne faisons que du commerce électronique. Quelle SAQ devrions-nous utiliser?
Q11: Mon entreprise ne stocke pas les données de carte de crédit, donc la conformité PCI ne s’applique pas à nous, n’est-ce pas?
Q12: Les transactions par carte de débit sont-elles possibles pour PCI?
Q13: Suis-je conforme à la norme PCI si j’ai un certificat SSL ?
Q14: Mon entreprise souhaite stocker les données de carte de crédit. Quelles méthodes pouvons-nous utiliser?
Q15: Quelles sont les sanctions en cas de non-conformité?
Q16: Qu’est-ce qui est défini comme ‘données du titulaire de carte »?
Q17: Quelle est la définition de ‘marchand’?
Q18 : Qu’est-ce qui constitue un fournisseur de services?
Q19 : Qu’est-ce qui constitue une application de paiement?
Q20 : Qu’est-ce qu’une passerelle de paiement?
Q21: Qu’est-ce que le PA-DSS?
Q22: Le numéro de carte de crédit complet peut-il être imprimé sur la copie du reçu du consommateur?
Q23: Ai-je besoin d’une analyse de vulnérabilité pour valider la conformité ?
Q24 : Qu’est-ce qu’une analyse de vulnérabilité ?
Q25: À quelle fréquence dois-je faire une analyse de vulnérabilité ?
Q26 : Que se passe-t-il si mon entreprise refuse de coopérer?
Q27: Si je dirige une entreprise depuis chez moi, suis-je une cible sérieuse pour les pirates informatiques?
Q28: Que dois-je faire si je suis compromis?
Q29: Les États ont-ils des lois exigeant des notifications de violation de données aux parties concernées?

Q1: Qu’est-ce que le PCI ?

R: La Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité conçues pour garantir que TOUTES les entreprises qui acceptent, traitent, stockent ou transmettent des informations de carte de crédit maintiennent un environnement sécurisé.

Le Conseil des Normes de Sécurité de l’Industrie des Cartes de paiement (PCI SSC) a été lancé le 7 septembre 2006 pour gérer l’évolution continue des normes de sécurité de l’Industrie des Cartes de paiement (PCI) en mettant l’accent sur l’amélioration de la sécurité des comptes de paiement tout au long du processus de transaction. Le PCI DSS est administré et géré par le PCI SSC (www.pcisecuritystandards.org ), un organisme indépendant créé par les grandes marques de cartes de paiement (Visa, MasterCard, American Express, Discover et JCB.). Il est important de noter que les marques de paiement et les acquéreurs sont responsables de l’application de la conformité, et non du conseil PCI. Une copie de la norme PCI DSS est disponible ici.

Haut de page

Q2 : À qui s’applique la norme PCI DSS ?

R : La norme PCI DSS s’applique à TOUTE organisation, indépendamment de la taille ou du nombre de transactions, qui accepte, transmet ou stocke des données de titulaire de carte.

Haut de page

Q3: Où puis-je trouver la Norme de sécurité des données PCI (PCI DSS) ?

R: Les documents PCI DSS actuels se trouvent sur le site Web du Conseil des normes de sécurité PCI.

Haut de page

Q4 : Quels sont les  » niveaux  » de conformité PCI et comment sont-ils déterminés ?

R : Tous les marchands se classeront dans l’un des quatre niveaux de marchands en fonction du volume de transactions Visa sur une période de 12 mois. Le volume des transactions est basé sur le nombre total de transactions Visa (y compris crédit, débit et prépayé) d’un commerçant faisant affaire sous le nom de ( » DBA « ). Dans les cas où une société de commerçants a plus d’un DBA, les acquéreurs de Visa doivent tenir compte du volume global des transactions stockées, traitées ou transmises par l’entité de la société pour déterminer le niveau de validation. Si les données ne sont pas agrégées, de sorte que l’entité ne stocke, ne traite ou ne transmet pas les données du titulaire de carte au nom de plusieurs AD, les acquéreurs continueront de prendre en compte le volume de transactions individuel de l’AD pour déterminer le niveau de validation.

Niveaux de marchands tels que définis par Visa:

Niveau marchand Description
1 Tout commerçant — quel que soit le canal d’acceptation — traite plus de 6 millions de transactions Visa par an. Tout commerçant que Visa, à sa seule discrétion, détermine doit satisfaire aux exigences du commerçant de niveau 1 afin de minimiser les risques pour le système de visa.
2 Tout commerçant — quel que soit le canal d’acceptation — traite 1 MILLION à 6 millions de transactions Visa par an.
3 Tout commerçant traitant 20 000 à 1 million de transactions de commerce électronique Visa par an.
4 Tout commerçant traitant moins de 20 000 transactions de commerce électronique Visa par an, et tous les autres commerçants – quel que soit le canal d’acceptation — traitant jusqu’à 1 million de transactions Visa par an.

* Tout commerçant victime d’une violation ayant entraîné une compromission des données de compte peut être porté à un niveau de validation supérieur.

Haut de page

Q5:Que doit faire une petite à moyenne entreprise (commerçant de niveau 4) pour satisfaire aux exigences PCI DSS?

R :Pour satisfaire aux exigences du PCI, un commerçant doit suivre les étapes suivantes :

  • Déterminer le questionnaire d’auto-évaluation (SAQ) que votre entreprise doit utiliser pour valider la conformité. Consultez le tableau ci-dessous pour vous aider à choisir. (Cliquez sur le graphique pour l’agrandir.)
    Carte PCI 3.0 SAQ
  • Remplissez le Questionnaire d’auto-évaluation selon les instructions qu’il contient.
  • Terminez et obtenez la preuve d’une analyse de vulnérabilité réussie avec un fournisseur d’analyse approuvé par PCI SSC (ASV). Remarque la numérisation ne s’applique pas à tous les marchands. Il est requis pour les SAQ A-EP, SAQ B-IP, SAQ C, SAQ D – Marchand et SAQ D – Fournisseur de Services.
  • Remplissez l’Attestation de conformité pertinente dans son intégralité (située dans l’outil SAQ).
  • Soumettez la SAQ, la preuve d’une analyse de passage (le cas échéant) et l’Attestation de conformité, ainsi que tout autre document demandé, à votre acquéreur.

Lisez notre article de blog, « Les bases du PCI / Guide rapide – Que doivent faire les Petits commerçants pour atteindre la Conformité PCI? »

Haut de page

Q6:Comment la prise de cartes de crédit par téléphone fonctionne-t-elle avec PCI?

R: L’article suivant, « Comment la prise de Cartes de crédit par téléphone Fonctionne-t-elle avec PCI? » explique vos responsabilités en matière de conformité PCI lorsque vous prenez des informations de carte de crédit par téléphone (par exemple, dans un centre d’appels). Notez que bien que cet article ait été publié en 2014, il est toujours d’actualité avec la version actuelle de la PCI DSS.

Haut de page

Q7: Si j’accepte uniquement les cartes de crédit par téléphone, la norme PCI DSS s’applique-t-elle toujours à moi ?

A: Oui. Toutes les entreprises qui stockent, traitent ou transmettent des données de titulaire de carte de paiement doivent être conformes à la norme PCI.

Haut de page

Q8 :Les organisations utilisant des processeurs tiers doivent-elles être conformes à la norme PCI DSS ?

A: Oui. Le simple recours à une entreprise tierce n’exclut pas une entreprise de la conformité à la norme PCI DSS. Cela peut réduire leur exposition au risque et, par conséquent, réduire les efforts de validation de la conformité. Cependant, cela ne signifie pas qu’ils peuvent ignorer la PCI DSS.

Haut de page

Q9: Mon entreprise a plusieurs emplacements, chaque emplacement est-il nécessaire pour valider la conformité PCI?

R : Si vos sites commerciaux traitent sous le même numéro d’identification fiscale, vous n’êtes généralement tenu de valider qu’une fois par an pour tous les sites. Et, soumettez des analyses de réseau trimestrielles par un fournisseur de numérisation approuvé par PCI SSC (ASV) pour chaque emplacement, le cas échéant.

Haut de page

Q10: Nous ne faisons que du commerce électronique. Quelle SAQ devrions-nous utiliser?

R: Cela dépend de la configuration de votre panier. Voir PCI SAQ 3.1 : Explication Des Options De Commerce Électronique.

Haut de page

Q11: Mon entreprise ne stocke pas les données de carte de crédit, donc la conformité PCI ne s’applique pas à nous, n’est-ce pas?

R : Si vous acceptez les cartes de crédit ou de débit comme moyen de paiement, la conformité PCI s’applique à vous. Le stockage des données de la carte est risqué, donc si vous ne stockez pas les données de la carte, il peut être plus facile de devenir sécurisé et conforme.

Haut de page

Q12:Les transactions par carte de débit sont-elles prévues pour PCI ?

A: Les cartes incluses dans le périmètre comprennent toutes les cartes de débit, de crédit et prépayées portant l’un des cinq logos d’associations de cartes/de marques participant au PCI SSC – American Express, Discover, JCB, MasterCard et Visa International.

Haut de page

Q13 : Suis-je compatible PCI si j’ai un certificat SSL ?

A: Non. Les certificats SSL ne protègent pas un serveur Web contre les attaques ou intrusions malveillantes. Les certificats SSL haute assurance offrent le premier niveau de sécurité et de réassurance du client, comme ci-dessous, mais il existe d’autres étapes pour atteindre la conformité PCI. Voir la question « Que doit faire une petite à moyenne entreprise (commerçant de niveau 4) pour satisfaire aux exigences PCI? »

  • Une connexion sécurisée entre le navigateur du client et le serveur web
  • Validation que les opérateurs du site Web sont une organisation légitime et légalement responsable

Voir l’article de blog connexe, « PCI DSS v3.1 et SSL: Ce que vous devez faire MAINTENANT. »
Haut de page

Q14:Mon entreprise souhaite stocker les données de carte de crédit. Quelles méthodes pouvons-nous utiliser?

R: La plupart des commerçants qui ont besoin de stocker des données de carte de crédit le font pour une facturation récurrente. La meilleure façon de stocker les données de carte de crédit pour une facturation récurrente consiste à utiliser un coffre-fort de carte de crédit et un fournisseur de tokenisation tiers. En utilisant un coffre-fort, les données de la carte sont retirées de votre possession et vous recevez un ”jeton » qui peut être utilisé à des fins de facturation récurrente. En faisant appel à un tiers, vous transférez le risque de stockage des données de la carte à une personne spécialisée dans ce domaine et disposant de tous les contrôles de sécurité en place pour protéger les données de la carte.

Si vous devez stocker vous-même les données de la carte, votre barre d’auto-évaluation est très élevée et vous devrez peut-être faire venir un évaluateur de sécurité qualifié (QSA) sur place et effectuer un audit pour vous assurer que vous disposez de tous les contrôles nécessaires pour répondre aux spécifications PCI DSS.

Voir l’article de blog connexe, « Pouvons-Nous Stocker en toute sécurité les Données des Cartes pour une Facturation récurrente? »

Haut de page

Q15:Quelles sont les sanctions en cas de non-conformité?

R: Les marques de paiement peuvent, à leur discrétion, infliger une amende à une banque acquéreuse de 5 000 à 100 000 dollars par mois pour violation de la conformité PCI. Les banques passeront très probablement cette amende jusqu’à ce qu’elle touche finalement le marchand. De plus, la banque mettra très probablement fin à votre relation ou augmentera les frais de transaction. Les sanctions ne sont pas ouvertement discutées ni largement médiatisées, mais elles peuvent être catastrophiques pour une petite entreprise. Il est important de bien connaître votre contrat de compte marchand, qui devrait décrire votre exposition.

En savoir plus sur les sanctions en cas de non-conformité dans notre article de blog,  » Comment vos Efforts de conformité PCI Peuvent-ils permettre à votre Entreprise d’Économiser de l’argent ?”

Haut de page

Q16: Qu’entend-on par  » données du titulaire de carte  » ?

R: Le Conseil des normes de sécurité PCI (SSC) définit les « données du titulaire de carte » comme le Numéro de Compte principal complet (PAN) ou le PAN complet ainsi que l’un des éléments suivants:

  • Nom du titulaire de carte
  • Date d’expiration
  • Code de service

Les données d’authentification sensibles, qui doivent également être protégées, comprennent les données complètes de bande magnétique, CAV2, CVC2, CVV2, CID, PINS, blocs de broches et plus encore.

Haut de page

Q17: Quelle est la définition de ‘marchand’?

A: Aux fins de la norme PCI DSS, un commerçant est défini comme toute entité qui accepte les cartes de paiement portant les logos de l’un des cinq membres de la norme PCI SSC (American Express, Discover, JCB, MasterCard ou Visa) comme moyen de paiement pour des biens et/ou des services. Notez qu’un commerçant qui accepte les cartes de paiement comme paiement de biens et / ou de services peut également être un fournisseur de services, si les services vendus entraînent le stockage, le traitement ou la transmission des données du titulaire de carte pour le compte d’autres commerçants ou fournisseurs de services. Par exemple, un FAI est un commerçant qui accepte les cartes de paiement pour la facturation mensuelle, mais est également un fournisseur de services s’il héberge des commerçants en tant que clients. Source : PCI SSC

Haut de page

Q18 : Qu’est-ce qui constitue un Fournisseur de services ?

R: Le PCI SSC définit ainsi un Fournisseur de services :
 » Entité commerciale qui n’est pas une marque de paiement, directement impliquée dans le traitement, le stockage ou la transmission des données du titulaire de carte. Cela inclut également les entreprises qui fournissent des services qui contrôlent ou pourraient avoir une incidence sur la sécurité des données du titulaire de carte.” (Source : www.normes de sécurité du PC.org)

Le rôle de « commerçant en tant que fournisseur de services” est en outre spécifié par le PCI SSC comme « un commerçant qui accepte les cartes de paiement comme paiement de biens et / ou de servicesif si les services vendus entraînent le stockage, le traitement ou la transmission des données du titulaire de carte pour le compte d’autres commerçants ou fournisseurs de services. » En savoir plus sur la façon d’atteindre la conformité en tant que fournisseur de services. Consultez notre article de blog,  » Conformité PCI et fournisseur de services. »

Haut de page

Q19 : Qu’est-ce qui constitue une application de paiement ?

A : Qu’est-ce qui constitue une application de paiement en ce qui concerne la conformité PCI ? Le terme application de paiement a une signification très large en PCI. Une application de paiement est tout ce qui stocke, traite ou transmet des données de carte par voie électronique. Cela signifie que tout ce qui provient d’un système de point de vente (par exemple, terminaux de balayage Verifone, terminaux ALOHA, etc.) dans un restaurant à un panier de commerce électronique de site Web (par exemple, CreLoaded, osCommerce, etc.) sont tous classés comme applications de paiement. Par conséquent, tout logiciel conçu pour toucher les données de carte de crédit est considéré comme une application de paiement.

Haut de page

Q20 : Qu’est-ce qu’une passerelle de paiement ?

A: Les passerelles de paiement connectent un commerçant à la banque ou au processeur qui sert de connexion frontale aux marques de cartes. Ils sont appelés passerelles car ils prennent de nombreuses entrées d’une variété d’applications différentes et acheminent ces entrées vers la banque ou le processeur approprié. Les passerelles communiquent avec la banque ou le processeur à l’aide de connexions commutées, de connexions Web ou de lignes louées privées.

Haut de page

Q21 : Qu’est-ce que le PA-DSS ?

A: PA-DSS fait référence à la Norme de sécurité des données des applications de paiement maintenue par le Conseil des normes de sécurité PCI (SSC) pour résoudre le problème critique de la sécurité des applications de paiement. Les exigences du PA-DSS sont conçues pour garantir que les fournisseurs fournissent des produits qui soutiennent les efforts des commerçants pour maintenir la conformité PCI DSS et éliminer le stockage des données sensibles des titulaires de carte.

Le PCI SSC administre le programme pour valider la conformité des applications de paiement par rapport au PA-DSS, et publie et tient à jour une liste des applications validées par le PA-DSS. Voir Normes de sécurité PCI pour plus d’informations. Consultez également notre article de blog sur la différence critique entre la PCI DSS et la PA-DSS ici.

Haut de page

Q22: Le numéro complet de la carte de crédit peut-il être imprimé sur la copie du reçu du consommateur?

A: L’exigence PCI DSS 3.3 indique « PANORAMIQUE du masque lorsqu’il est affiché (les six premiers et les quatre derniers chiffres sont le nombre maximum de chiffres à afficher). »Bien que l’exigence n’interdise pas l’impression du numéro de carte complet ou de la date d’expiration sur les reçus (que ce soit la copie du commerçant ou la copie du consommateur), veuillez noter que la norme PCI DSS ne remplace aucune autre loi qui légifère sur ce qui peut être imprimé sur les reçus (comme la loi américaine Fair and Accurate Credit Transactions Act (FACTA) ou toute autre loi applicable).

Voir la note en italique sous l’exigence PCI DSS 3.3″ Note: Cette exigence ne remplace pas les exigences plus strictes en vigueur pour l’affichage des données du titulaire de carte — par exemple, les exigences légales ou de marque de carte de paiement pour les reçus de point de vente (PDV). Tous les reçus papier stockés par les commerçants doivent respecter la norme PCI DSS, en particulier l’exigence 9 concernant la sécurité physique ”. Source : PCI SSC

Haut de page

Q23 : Ai-je besoin d’une analyse de vulnérabilité pour valider la conformité ?

A: Si vous êtes admissible à certains questionnaires d’auto-évaluation (QSA) ou si vous stockez électroniquement les données du titulaire de carte après l’autorisation, une analyse trimestrielle par un fournisseur de numérisation approuvé par PCI SSC (ASV) est nécessaire pour maintenir la conformité. Si vous êtes admissible à l’une des SAQS suivantes en vertu de la version 3.x de la PCI DSS, alors vous devez avoir un scan ASV passant :

  • SAQ A-EP
  • SAQ B-IP
  • SAQ C
  • SAQ D-Merchant
  • SAQ D-Service Provider

Haut de page

Q24 : Qu’est-ce qu’un scan de vulnérabilité ?

A: Une analyse de vulnérabilité implique un outil automatisé qui vérifie les systèmes d’un commerçant ou d’un fournisseur de services pour détecter les vulnérabilités. L’outil effectuera une analyse non intrusive pour examiner à distance les réseaux et les applications Web en fonction des adresses de protocole Internet (IP) externes fournies par le commerçant ou le fournisseur de services. L’analyse identifie des vulnérabilités dans les systèmes d’exploitation, les services et les appareils qui pourraient être utilisés par des pirates informatiques pour cibler le réseau privé de l’entreprise. Tel que fourni par un Fournisseur d’analyse approuvé (ASV) tel que ControlScan, l’analyse n’exige pas que le commerçant ou le fournisseur de services installe un logiciel sur leurs systèmes, et aucune attaque par déni de service ne sera effectuée. En savoir plus sur les analyses de vulnérabilité ici.

Haut de page

Q25 :À quelle fréquence dois-je faire une analyse de vulnérabilité ?

R: Tous les 90 jours / une fois par trimestre, ceux qui répondent aux critères ci-dessus sont tenus de soumettre une analyse de passage. Les commerçants et les fournisseurs de services doivent soumettre des documents de conformité (rapports d’analyse réussis) selon le calendrier déterminé par leur acquéreur. Les analyses doivent être effectuées par un Fournisseur de numérisation agréé PCI SSC (ASV) tel que ControlScan.

Voir l’article de blog connexe, « Analyses De Vulnérabilités Internes et Externes: Pourquoi Vous Avez Besoin Des Deux. »

Haut de page

Q26 : Que se passe-t-il si mon entreprise refuse de coopérer?

A:PCI n’est pas, en soi, une loi. La norme a été créée par les principales marques de cartes Visa, MasterCard, Discover, AMEX et JCB. À la discrétion de leurs acquéreurs / fournisseurs de services, les commerçants qui ne se conforment pas à la norme PCI DSS peuvent être passibles d’amendes, de frais de remplacement de carte, d’audits judiciaires coûteux, de dommages à la marque, etc., si un événement de violation se produit.

Pour un peu d’effort initial et de coût pour se conformer à la norme PCI DSS, vous contribuez grandement à réduire le risque de faire face à ces conséquences extrêmement désagréables et coûteuses. Découvrez comment ControlScan contribue à simplifier la norme PCI DSS.

Haut de page

Q27:Si je dirige une entreprise depuis chez moi, suis-je une cible sérieuse pour les pirates ?

A: Oui. Les utilisateurs à domicile sont sans doute les plus vulnérables simplement parce qu’ils ne sont généralement pas bien protégés. En adoptant un modèle de « chemin de moindre résistance », les intrus s’attaquent souvent aux utilisateurs à domicile — exploitant souvent leurs connexions à large bande en permanence et leurs programmes d’utilisation domestique typiques tels que le chat, les jeux sur Internet et les applications de partage de fichiers P2P. Le service d’analyse de ControlScan permet aux utilisateurs à domicile et aux administrateurs réseau d’identifier et de corriger les vulnérabilités de sécurité sur leurs ordinateurs de bureau ou portables.

Voir l’article de blog connexe, « 5 Meilleures pratiques pour sécuriser Votre Petite entreprise. »

Haut de page

Q28 :Que dois-je faire si je suis compromis?

R: Bien que de nombreuses violations de données de cartes de paiement soient facilement évitables, elles peuvent et continuent d’arriver aux entreprises de toutes tailles.

Si votre petite ou moyenne entreprise a découvert qu’elle a été violée, il existe de nombreuses bonnes ressources pour vous aider dans les prochaines étapes. Nous recommandons ce qui suit:

  • Ministère de la Justice, Meilleures Pratiques pour la réponse des victimes et le signalement des Cyberincidents
  • Conseil PCI, Répondre à une violation de données – Guide pratique pour la gestion des incidents
  • Electronic Transactions Association (ETA), Réponse à la violation de données: Un Guide en neuf étapes pour les petits commerçants

Haut de page

Q29:Les États ont-ils des lois exigeant des notifications de violation de données aux parties concernées?

R: Absolument. La Californie est le catalyseur pour signaler les violations de données aux parties concernées. L’État a mis en œuvre sa loi sur la notification des violations en 2003, et maintenant presque tous les États ont une loi similaire en place.

Au 12 avril 2017, NCSL.org rapports: Quarante-huit États, le district de Columbia, Guam, Porto Rico et les îles Vierges ont adopté une législation exigeant que les entités privées, gouvernementales ou éducatives informent les individus des atteintes à la sécurité des informations impliquant des informations personnellement identifiables.

Haut de page