Les normes PCI, une barrière de sécurité

Publié le 01/03/2014 à 00:00

Les normes PCI, une barrière de sécurité

Publié le 01/03/2014 à 00:00

Les marchands qui acceptent des paiements de cartes de crédit doivent normalement respecter les normes de sécurité PCI. En théorie, ces normes sont très étanches. Dans les faits, certaines pratiques engendrent des risques.


Les normes de sécurité PCI (Payment Card Industry) proviennent du Conseil des normes de sécurité PCI, un organisme international fondé en 2006 conjointement par American Express, Discover Financial Services, JCB International, MasterCard et Visa inc.


L’objectif de ce regroupement est de développer des normes pour améliorer la protection des données des comptes, et aussi de faire de l’éducation et de la sensibilisation pour assurer l’adoption et le respect de ces normes.


Leurs principales normes sont la Norme de sécurité des données (DSS), la Norme de sécurité des données d’application de paiement (PA-DSS) et les besoins liés au service de saisie du NIP (PED).


Elles sont détaillées dans des guides permettant aux commerçants de développer, étape par étape, des processus de transactions sécuritaires.


On y retrouve notamment des conseils sur les données que l’on peut conserver (sous forme cryptée et dans des conditions sécuritaires), comme le nom du titulaire de la carte, le numéro de carte ou la date d’expiration, et celles qu’il faut détruire dès la transaction effectuée, comme les données de la bande magnétique, les NIP ou les codes d’authentification (comme le CVV2).


Le Conseil offre aussi des méthodes pour bien protéger les données conservées, bien détruire celles qui doivent l’être, créer des systèmes d’authentification ou de paiement sécuritaires, protéger les transmissions sans fil ou tester toutes ces applications pour en détecter les vulnérabilités.


L’art de bien appliquer la norme


« La norme PCI permet aux commerçants d’offrir un niveau fort acceptable de sécurité des transactions et de protection du stockage des données liées à ces transactions, avance Stefano Tiranardi, directeur régional technico-commercial chez Symantec. Toutefois, il arrive que l’interprétation que le commerçant fait de ces normes engendre certains risques. »


Selon ce spécialiste de la sécurité informatique, les commerçants les moins expérimentés sont souvent les plus vulnérables à cet égard. « Pour un spécialiste, les normes PCI sont très claires, dit-il. Pour un commerçant qui se lance pour la première fois dans l’acceptation de cartes de crédit, ça peut s’avérer un peu plus difficile, même lorsque celui-ci croit avoir tout bien compris. »


Stefano Tiranardi donne l’exemple, a priori très simple, de la norme exigeant l’installation d’un antivirus couvrant toutes les composantes de la chaîne de traitement d’une transaction. « Un commerçant peut facilement faire l’erreur de simplement installer un antivirus et se dire que le tour est joué, alors que c’est plus complexe que cela. Pour vraiment respecter la norme, il faut s’assurer que l’antivirus soit à jour, que son cycle de vie soit bien géré et que son efficacité soit régulièrement testée et démontrée. »


Il ajoute toutefois que les commerçants sont tout à fait conscient des retombées très négatives que pourrait avoir une éventuelle fuite de données confidentielles, ou la compromission des cartes de crédit de leurs clients, et font de grands efforts pour être sécuritaires.


image

Blockchain

Jeudi 28 février


image

Pénurie de talents

Mercredi 13 mars


image

Objectif Nord

Mardi 09 avril


image

Femmes Leaders

Mercredi 24 avril


image

Gestion agile

Mercredi 08 mai

DANS LE MÊME DOSSIER

À la une

Politique commerciale de Trump : et si le pire était à venir?

22/02/2019 | François Normand

ANALYSE - Trois enjeux pourraient avoir un impact majeur sur les entreprises et les investisseurs canadiens.

À surveiller: les titres qui ont attiré votre attention

(Re)voici quelques recommandations qui pourraient influencer les cours prochainement.

Bourse: les gagnants et perdants de la semaine

22/02/2019 | Martin Jolicoeur

BILAN. Quels sont les titres qui ont le plus marqué l'actualité boursière de la dernière semaine?