Comment choisir le bon type de questionnaire d’auto-évaluation pour votre entreprise

Les atteintes à la protection des données sont une préoccupation importante pour toute entreprise. Elles font perdre des millions de dollars aux grandes sociétés, mais peuvent s’avérer fatales pour les petites et moyennes entreprises. Voici quelques exemples d’atteintes à la protection des données survenues récemment. Bon nombre des entreprises figurant sur cette liste sont des marques bien connues qui réalisent des investissements importants en cybersécurité, et qui se font pirater malgré tout.

Devant cette menace, il est extrêmement important d’assurer votre conformité à la norme PCI. Nous nous engageons à vous soutenir à chaque étape du processus. Pour commencer, nous vous invitons à remplir un questionnaire d’auto-évaluation (QAE), qui vous aidera à mieux comprendre les processus appropriés pour le traitement des renseignements sensibles des détenteurs de carte.

Server in datacenter. Cloud computing data storage 3d rendering

Il existe huit types de QAE, et il est important que vous choisissiez celui qui convient à votre modèle d’affaires. Votre portail de conformité PCI (Payment Card Industry) affichera une série de questions qui vous aideront à choisir le bon QAE, mais nous tenons à vous présenter un survol au préalable. Passons en revue les différents types de QAE pour vous aider à déterminer celui qui vous convient.

QAE de type A (24 questions)

Le QAE de type A est conçu pour les entreprises de commerce électronique qui traitent des opérations sans présentation de carte et qui ont entièrement externalisé toutes les fonctions relatives aux données des détenteurs de carte à des fournisseurs de services tiers répondant à la norme PCI DSS. Ces entreprises ne stockent, ne traitent et ne transmettent aucune donnée de détenteur de carte à l’aide de leurs propres systèmes. Ce type de QAE ne s’applique pas aux opérations effectuées en personne. Les entreprises qui utilisent ce modèle d’affaires doivent remplir le QAE, mais n’ont pas à réaliser une analyse de vulnérabilité.

QAE de type A-EP (192 questions)

Le QAE de type A-EP est conçu pour les entreprises de commerce électronique qui externalisent partiellement le traitement des paiements à des tierces parties répondant à la norme PCI DSS, et qui assurent elles-mêmes l’hébergement de leurs sites Web (ce qui peut avoir une incidence sur la sécurité des opérations de paiement). Ces entreprises traitent ou transmettent les données des détenteurs de carte à partir de leurs propres systèmes ou locaux. Une analyse de vulnérabilité est requise pour de telles entreprises. Le QAE de type A-EP s’applique uniquement aux canaux de commerce électronique.

QAE de type B (41 questions)

Le QAE de type B est conçu pour les marchands qui utilisent des terminaux autonomes (connexion téléphonique ou GPRS) sans stockage électronique de données. Ces entreprises n’ont pas à être soumises à une analyse de vulnérabilité, car elles n’effectuent pas de stockage, de transmission ou de traitement électroniques.

Scanning Files Searching Processing Antivirus Concept

QAE de type B-IP (87 questions)

Le QAE de type B-IP est conçu pour les entreprises qui utilisent un terminal de paiement autonome avec une connexion IP (filaire ou sans fil), sans stockage de données électroniques. Ces marchands doivent être soumis à une analyse de vulnérabilité.

QAE de type C (160 questions)

Le QAE de type C est conçu pour les marchands qui utilisent un logiciel de point de vente par l’intermédiaire d’une connexion IP, ainsi qu’un lecteur de cartes pour terminaux virtuels. Ce type de QAE ne s’applique pas aux entreprises de commerce électronique. Les marchands visés doivent être soumis à une analyse de vulnérabilité.

QAE de type C-VT (84 questions)

Le QAE de type C-VT est conçu pour les commerçants qui utilisent des terminaux virtuels et qui entrent les transactions manuellement, une à la fois, au moyen d’un clavier, dans une solution de terminal virtuel sur Internet fournie et hébergée par un fournisseur de services tiers répondant à la norme PCI DSS. Il n’y a pas de stockage électronique de données. Ces marchands n’ont pas à être soumis à une analyse de vulnérabilité.

QAE de type P2PE (33 questions)

« P2PE » désigne le chiffrement de bout en bout. Il s’agit d’une norme établie par le PCI Security Standards Council. La solution de sécurisation des paiements P2PE convertit instantanément les données et renseignements confidentiels des cartes de paiement (cartes de crédit et de débit) en un code indéchiffrable au moment où la carte est glissée dans le lecteur, de manière à contrer le piratage. Cette solution vise à assurer une sécurité maximale pour les transactions par carte de paiement dans un environnement réglementaire de plus en plus complexe. Il n’y a pas de stockage électronique de données. Ces entreprises n’ont pas à être soumises à une analyse de vulnérabilité.

QAE de type D (330 questions)

Ce type de QAE est conçu pour les entreprises qui stockent les données des détenteurs de carte ou qui ont subi des atteintes à la protection des données par le passé. Une analyse de vulnérabilité et un test d’intrusion sont requis pour ces marchands.

Nous vous invitons à visionner cette vidéo informative (en anglais) qui vous aidera à choisir le questionnaire correspondant à votre modèle d’affaires. Veuillez vous référer au présent document après avoir terminé les étapes de l’assistant PCI, afin de vous assurer que le type de QAE sélectionné convient à votre entreprise.

Articles

L’impact du traitement des paiements sur l’économie

L’impact du traitement des paiements sur l’économie
Articles

Non seulement les cartes de débit et de crédit offrent une façon…

Comment choisir le bon type de questionnaire d’auto-évaluation pour votre entreprise

Comment choisir le bon type de questionnaire d’auto-évaluation pour votre entreprise
Articles

Les atteintes à la protection des données sont une préoccupation importante pour…

L’intelligence artificielle et ses applications pour les petites entreprises

L’intelligence artificielle et ses applications pour les petites entreprises
Articles, Blogue

Les outils d’IA, en devenant de plus en plus abordables, occuperont une…