Les normes PCI, une barrière de sécurité

Publié le 01/03/2014 à 00:00

Les normes PCI, une barrière de sécurité

Publié le 01/03/2014 à 00:00

Les marchands qui acceptent des paiements de cartes de crédit doivent normalement respecter les normes de sécurité PCI. En théorie, ces normes sont très étanches. Dans les faits, certaines pratiques engendrent des risques.

Les normes de sécurité PCI (Payment Card Industry) proviennent du Conseil des normes de sécurité PCI, un organisme international fondé en 2006 conjointement par American Express, Discover Financial Services, JCB International, MasterCard et Visa inc.

L’objectif de ce regroupement est de développer des normes pour améliorer la protection des données des comptes, et aussi de faire de l’éducation et de la sensibilisation pour assurer l’adoption et le respect de ces normes.

Leurs principales normes sont la Norme de sécurité des données (DSS), la Norme de sécurité des données d’application de paiement (PA-DSS) et les besoins liés au service de saisie du NIP (PED).

Elles sont détaillées dans des guides permettant aux commerçants de développer, étape par étape, des processus de transactions sécuritaires.

On y retrouve notamment des conseils sur les données que l’on peut conserver (sous forme cryptée et dans des conditions sécuritaires), comme le nom du titulaire de la carte, le numéro de carte ou la date d’expiration, et celles qu’il faut détruire dès la transaction effectuée, comme les données de la bande magnétique, les NIP ou les codes d’authentification (comme le CVV2).

Le Conseil offre aussi des méthodes pour bien protéger les données conservées, bien détruire celles qui doivent l’être, créer des systèmes d’authentification ou de paiement sécuritaires, protéger les transmissions sans fil ou tester toutes ces applications pour en détecter les vulnérabilités.

L’art de bien appliquer la norme

« La norme PCI permet aux commerçants d’offrir un niveau fort acceptable de sécurité des transactions et de protection du stockage des données liées à ces transactions, avance Stefano Tiranardi, directeur régional technico-commercial chez Symantec. Toutefois, il arrive que l’interprétation que le commerçant fait de ces normes engendre certains risques. »

Selon ce spécialiste de la sécurité informatique, les commerçants les moins expérimentés sont souvent les plus vulnérables à cet égard. « Pour un spécialiste, les normes PCI sont très claires, dit-il. Pour un commerçant qui se lance pour la première fois dans l’acceptation de cartes de crédit, ça peut s’avérer un peu plus difficile, même lorsque celui-ci croit avoir tout bien compris. »

Stefano Tiranardi donne l’exemple, a priori très simple, de la norme exigeant l’installation d’un antivirus couvrant toutes les composantes de la chaîne de traitement d’une transaction. « Un commerçant peut facilement faire l’erreur de simplement installer un antivirus et se dire que le tour est joué, alors que c’est plus complexe que cela. Pour vraiment respecter la norme, il faut s’assurer que l’antivirus soit à jour, que son cycle de vie soit bien géré et que son efficacité soit régulièrement testée et démontrée. »

Il ajoute toutefois que les commerçants sont tout à fait conscient des retombées très négatives que pourrait avoir une éventuelle fuite de données confidentielles, ou la compromission des cartes de crédit de leurs clients, et font de grands efforts pour être sécuritaires.

À la une

Bourse: d'excellents rendements grâce aux «5 magnifiques»

BALADO. Microsoft, Nvidia, Amazon, Alphabet et Meta Platforms ont généré 40% des gains du S&P 500 au premier trimestre.

La moitié des Canadiens soutiennent l’interdiction de TikTok, selon un sondage

Le Canada a ordonné son propre examen de la sécurité nationale au sujet du réseau social TikTok.

La Banque Royale du Canada confirme qu’elle a fait l’acquisition de HSBC

En vertu de cette transaction, 4500 employés de HSBC Canada migreront vers RBC.