Les normes PCI, une barrière de sécurité

Publié le 01/03/2014 à 00:00

Les normes PCI, une barrière de sécurité

Publié le 01/03/2014 à 00:00

Les marchands qui acceptent des paiements de cartes de crédit doivent normalement respecter les normes de sécurité PCI. En théorie, ces normes sont très étanches. Dans les faits, certaines pratiques engendrent des risques.

Les normes de sécurité PCI (Payment Card Industry) proviennent du Conseil des normes de sécurité PCI, un organisme international fondé en 2006 conjointement par American Express, Discover Financial Services, JCB International, MasterCard et Visa inc.

L’objectif de ce regroupement est de développer des normes pour améliorer la protection des données des comptes, et aussi de faire de l’éducation et de la sensibilisation pour assurer l’adoption et le respect de ces normes.

Leurs principales normes sont la Norme de sécurité des données (DSS), la Norme de sécurité des données d’application de paiement (PA-DSS) et les besoins liés au service de saisie du NIP (PED).

Elles sont détaillées dans des guides permettant aux commerçants de développer, étape par étape, des processus de transactions sécuritaires.

On y retrouve notamment des conseils sur les données que l’on peut conserver (sous forme cryptée et dans des conditions sécuritaires), comme le nom du titulaire de la carte, le numéro de carte ou la date d’expiration, et celles qu’il faut détruire dès la transaction effectuée, comme les données de la bande magnétique, les NIP ou les codes d’authentification (comme le CVV2).

Le Conseil offre aussi des méthodes pour bien protéger les données conservées, bien détruire celles qui doivent l’être, créer des systèmes d’authentification ou de paiement sécuritaires, protéger les transmissions sans fil ou tester toutes ces applications pour en détecter les vulnérabilités.

L’art de bien appliquer la norme

« La norme PCI permet aux commerçants d’offrir un niveau fort acceptable de sécurité des transactions et de protection du stockage des données liées à ces transactions, avance Stefano Tiranardi, directeur régional technico-commercial chez Symantec. Toutefois, il arrive que l’interprétation que le commerçant fait de ces normes engendre certains risques. »

Selon ce spécialiste de la sécurité informatique, les commerçants les moins expérimentés sont souvent les plus vulnérables à cet égard. « Pour un spécialiste, les normes PCI sont très claires, dit-il. Pour un commerçant qui se lance pour la première fois dans l’acceptation de cartes de crédit, ça peut s’avérer un peu plus difficile, même lorsque celui-ci croit avoir tout bien compris. »

Stefano Tiranardi donne l’exemple, a priori très simple, de la norme exigeant l’installation d’un antivirus couvrant toutes les composantes de la chaîne de traitement d’une transaction. « Un commerçant peut facilement faire l’erreur de simplement installer un antivirus et se dire que le tour est joué, alors que c’est plus complexe que cela. Pour vraiment respecter la norme, il faut s’assurer que l’antivirus soit à jour, que son cycle de vie soit bien géré et que son efficacité soit régulièrement testée et démontrée. »

Il ajoute toutefois que les commerçants sont tout à fait conscient des retombées très négatives que pourrait avoir une éventuelle fuite de données confidentielles, ou la compromission des cartes de crédit de leurs clients, et font de grands efforts pour être sécuritaires.


image

Communication interne

Mardi 26 novembre


image

Gestion de la formation

Mardi 03 décembre


image

Marché de l'habitation

Mercredi 04 décembre


image

Sommet Énergie

Mardi 21 janvier


image

Santé psychologique

Mercredi 22 janvier


image

Marketing personnalisé

Mercredi 05 février


image

Forum Contrats publics

Mardi 11 février


image

Expérience

Jeudi 20 février


image

DevOps - Québec

Mercredi 26 février


image

Usine 4.0 - Québec

Mercredi 18 mars

DANS LE MÊME DOSSIER

À la une

À surveiller: Mediagrif, Canopy Growth et Savaria

09:06 | Jean Gagnon

Que faire avec les titres de Mediagrif, Canopy Growth et Savaria? Voici quelques recommandations d'analystes.

Canopy Growth rate la cible, le titre plonge

Mis à jour le 14/11/2019 | Denis Lalonde

Le titre de Canopy Growth termine la journée sur une chute de 14,27% à la Bourse de Toronto.

L'évaluation des investissements responsables relève du Far West

BALADO.Les investissements responsables sont là pour durer mais leur évaluation relève du Far West, dit François Bourdon