Les normes PCI, une barrière de sécurité

Publié le 01/03/2014 à 00:00

Les normes PCI, une barrière de sécurité

Publié le 01/03/2014 à 00:00

Les marchands qui acceptent des paiements de cartes de crédit doivent normalement respecter les normes de sécurité PCI. En théorie, ces normes sont très étanches. Dans les faits, certaines pratiques engendrent des risques.

Les normes de sécurité PCI (Payment Card Industry) proviennent du Conseil des normes de sécurité PCI, un organisme international fondé en 2006 conjointement par American Express, Discover Financial Services, JCB International, MasterCard et Visa inc.

L’objectif de ce regroupement est de développer des normes pour améliorer la protection des données des comptes, et aussi de faire de l’éducation et de la sensibilisation pour assurer l’adoption et le respect de ces normes.

Leurs principales normes sont la Norme de sécurité des données (DSS), la Norme de sécurité des données d’application de paiement (PA-DSS) et les besoins liés au service de saisie du NIP (PED).

Elles sont détaillées dans des guides permettant aux commerçants de développer, étape par étape, des processus de transactions sécuritaires.

On y retrouve notamment des conseils sur les données que l’on peut conserver (sous forme cryptée et dans des conditions sécuritaires), comme le nom du titulaire de la carte, le numéro de carte ou la date d’expiration, et celles qu’il faut détruire dès la transaction effectuée, comme les données de la bande magnétique, les NIP ou les codes d’authentification (comme le CVV2).

Le Conseil offre aussi des méthodes pour bien protéger les données conservées, bien détruire celles qui doivent l’être, créer des systèmes d’authentification ou de paiement sécuritaires, protéger les transmissions sans fil ou tester toutes ces applications pour en détecter les vulnérabilités.

L’art de bien appliquer la norme

« La norme PCI permet aux commerçants d’offrir un niveau fort acceptable de sécurité des transactions et de protection du stockage des données liées à ces transactions, avance Stefano Tiranardi, directeur régional technico-commercial chez Symantec. Toutefois, il arrive que l’interprétation que le commerçant fait de ces normes engendre certains risques. »

Selon ce spécialiste de la sécurité informatique, les commerçants les moins expérimentés sont souvent les plus vulnérables à cet égard. « Pour un spécialiste, les normes PCI sont très claires, dit-il. Pour un commerçant qui se lance pour la première fois dans l’acceptation de cartes de crédit, ça peut s’avérer un peu plus difficile, même lorsque celui-ci croit avoir tout bien compris. »

Stefano Tiranardi donne l’exemple, a priori très simple, de la norme exigeant l’installation d’un antivirus couvrant toutes les composantes de la chaîne de traitement d’une transaction. « Un commerçant peut facilement faire l’erreur de simplement installer un antivirus et se dire que le tour est joué, alors que c’est plus complexe que cela. Pour vraiment respecter la norme, il faut s’assurer que l’antivirus soit à jour, que son cycle de vie soit bien géré et que son efficacité soit régulièrement testée et démontrée. »

Il ajoute toutefois que les commerçants sont tout à fait conscient des retombées très négatives que pourrait avoir une éventuelle fuite de données confidentielles, ou la compromission des cartes de crédit de leurs clients, et font de grands efforts pour être sécuritaires.


image

Gestion du changement

Mardi 17 septembre


image

Gestion de l’innovation

Mercredi 18 septembre


image

Usine 4.0

Mardi 24 septembre


image

Marché du cannabis

Mercredi 23 octobre


image

Service à la clientèle

Mercredi 23 octobre


image

Communication interne

Mardi 26 novembre


image

Gestion de la formation

Mardi 03 décembre


image

Marché de l'habitation

Mercredi 04 décembre


image

Sommet énergie

Mardi 21 janvier


image

Santé psychologique

Mercredi 22 janvier


image

Forum Contrats publics

Mardi 11 février

DANS LE MÊME DOSSIER

À la une

Bourse: Wall Street voit rouge, Toronto est à un sommet record

Mis à jour à 16:51 | LesAffaires.com et AFP

REVUE DES MARCHÉS. Le Brent a bondi de 14,6 %, sa plus forte progression depuis que le contrat a été formalisé en 1988.

Titres en action: Aramco, Coca-Cola, Facebook...

06:50 | AFP et La Presse Canadienne

Voici une sélection d'annonces qui ont fait (ou vont faire) bouger les cours de ces entreprises.

Les Bourses européennes reculent face aux tensions pétrolières

13:24 | AFP

Les investisseurs ont «forcément été pris un petit peu de court sur le retour du risque géopolitique», dit une analyste.