Les normes PCI, une barrière de sécurité

Publié le 01/03/2014 à 00:00

Les normes PCI, une barrière de sécurité

Publié le 01/03/2014 à 00:00

Les marchands qui acceptent des paiements de cartes de crédit doivent normalement respecter les normes de sécurité PCI. En théorie, ces normes sont très étanches. Dans les faits, certaines pratiques engendrent des risques.

Les normes de sécurité PCI (Payment Card Industry) proviennent du Conseil des normes de sécurité PCI, un organisme international fondé en 2006 conjointement par American Express, Discover Financial Services, JCB International, MasterCard et Visa inc.

L’objectif de ce regroupement est de développer des normes pour améliorer la protection des données des comptes, et aussi de faire de l’éducation et de la sensibilisation pour assurer l’adoption et le respect de ces normes.

Leurs principales normes sont la Norme de sécurité des données (DSS), la Norme de sécurité des données d’application de paiement (PA-DSS) et les besoins liés au service de saisie du NIP (PED).

Elles sont détaillées dans des guides permettant aux commerçants de développer, étape par étape, des processus de transactions sécuritaires.

On y retrouve notamment des conseils sur les données que l’on peut conserver (sous forme cryptée et dans des conditions sécuritaires), comme le nom du titulaire de la carte, le numéro de carte ou la date d’expiration, et celles qu’il faut détruire dès la transaction effectuée, comme les données de la bande magnétique, les NIP ou les codes d’authentification (comme le CVV2).

Le Conseil offre aussi des méthodes pour bien protéger les données conservées, bien détruire celles qui doivent l’être, créer des systèmes d’authentification ou de paiement sécuritaires, protéger les transmissions sans fil ou tester toutes ces applications pour en détecter les vulnérabilités.

L’art de bien appliquer la norme

« La norme PCI permet aux commerçants d’offrir un niveau fort acceptable de sécurité des transactions et de protection du stockage des données liées à ces transactions, avance Stefano Tiranardi, directeur régional technico-commercial chez Symantec. Toutefois, il arrive que l’interprétation que le commerçant fait de ces normes engendre certains risques. »

Selon ce spécialiste de la sécurité informatique, les commerçants les moins expérimentés sont souvent les plus vulnérables à cet égard. « Pour un spécialiste, les normes PCI sont très claires, dit-il. Pour un commerçant qui se lance pour la première fois dans l’acceptation de cartes de crédit, ça peut s’avérer un peu plus difficile, même lorsque celui-ci croit avoir tout bien compris. »

Stefano Tiranardi donne l’exemple, a priori très simple, de la norme exigeant l’installation d’un antivirus couvrant toutes les composantes de la chaîne de traitement d’une transaction. « Un commerçant peut facilement faire l’erreur de simplement installer un antivirus et se dire que le tour est joué, alors que c’est plus complexe que cela. Pour vraiment respecter la norme, il faut s’assurer que l’antivirus soit à jour, que son cycle de vie soit bien géré et que son efficacité soit régulièrement testée et démontrée. »

Il ajoute toutefois que les commerçants sont tout à fait conscient des retombées très négatives que pourrait avoir une éventuelle fuite de données confidentielles, ou la compromission des cartes de crédit de leurs clients, et font de grands efforts pour être sécuritaires.


image

Expérience citoyen

Mercredi 26 août


image

Gestion de l'innovation 2020

Mercredi 09 septembre


image

Expérience client

Mercredi 16 septembre


image

Gestion agile

Mercredi 07 octobre

DANS LE MÊME DOSSIER

À la une

La Caisse d'économie solidaire Desjardins, un modèle de gouvernance et d'exécution

14/08/2020 | Jean-Paul Gagné

BLOGUE. C’est grâce à l’engagement indéfectible de ses leaders que cette coopérative n’a jamais dévié de sa mission.

Balado PME: on se dit les vraies affaires, prise deux

13/08/2020 | lesaffaires.com

La COVID-19 a changé bien des choses. Quels sont les enjeux qui vous touchent le plus?

Les femmes entrepreneures demeurent sous-représentées au Canada, selon un rapport

Un peu plus de 15 % des PME d'au moins un employé sont majoritairement détenues par des femmes.