Qu'est-ce que la conformité PCI ?

L'expression "mieux vaut prévenir que guérir" s'applique aux paiements comme à tout autre domaine.

La conformité à l'industrie des cartes de paiement (PCI) est un élément essentiel d'un programme efficace de prévention de la fraude. Voyons ce que c'est et comment cela fonctionne.

Mais avant cela, examinons brièvement pourquoiil est nécessaire...

L'ampleur de la fraude

Le coût moyen d'une violation de données dans le monde a atteint le niveau record de 4,35 millions de dollars en 2022.

Le Centre antifraude du Canada (CAFC) a enregistré 29 500 cas de fraude d'identité au Canada en 2021, contre 20 400 l'année précédente.

Au Royaume-Uni, 1,3 milliard de livres sterling ont été volées dans le cadre de fraudes autorisées ou non autorisées.

La prévention a joué un rôle dans le tableau d'ensemble. Par exemple, les banques et les institutions financières ont évité 1,4 milliard de livres sterling de fraude au Royaume-Uni en 2021.

Mais les entreprises et le secteur des paiements devront relever de nombreux défis dans les années à venir.

Le coût annuel mondial de la cybercriminalité devrait passer de 6 000 milliards de dollars en 2023 à 10 500 milliards en 2025.

Conformité PCI pour votre entreprise

Comme tout chef d'entreprise, vous êtes occupé à gérer votre société et à vous occuper d'un million de choses différentes chaque jour. Vous n'avez guère de temps à consacrer à des questions qui ne concernent pas les activités quotidiennes de votre entreprise.

La prévention de la fraude devrait cependant être l'une de ces priorités quotidiennes.

La confiance de vos clients est l'un des biens les plus précieux de votre entreprise. Le vol de données personnelles peut détruire la confiance et les bonnes relations que vous avez établies avec vos clients au fil des ans.

Une violation de données peut gravement nuire à la réputation de votre marque. Et le coût associé à cette violation est élevé.

De nombreux commerçants pensent que les violations de données ne concernent que les grandes entreprises. Mais en réalité, la grande majorité des violations de données relatives aux cartes de crédit ont touché des entreprises plus petites.

C'est pourquoi il est si important de respecter les règles de conformité de l'industrie des cartes de paiement et de rester en conformité à tout moment.

Dans le cas contraire, vous vous exposez à toute une série de risques : amendes, perte de temps, perte de clients, frais de justice, atteinte à la réputation...

Qu'est-ce que la conformité PCI ?

La conformité PCI fait référence à l'adhésion à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) - un ensemble d'exigences de sécurité visant à protéger les données des détenteurs de cartes lors des transactions.

L'industrie des cartes de paiement (PCI), qui comprend Visa, MasterCard, American Express et d'autres grandes marques de cartes, exige la conformité à la norme PCI. Les normes sont maintenues par le Conseil des normes de sécurité PCI (PCI SSC).

Pour obtenir et conserver un certificat de conformité PCI, les fournisseurs de services, les banques et les commerçants à gros volume doivent suivre des directives de sécurité strictes. Une évaluation de la sécurité par une tierce partie vérifie leur conformité à ces directives.

Quelles sont les exigences de conformité PCI ?

Il existe différents niveaux d'exigences de conformité PCI (voir ci-dessous "Existe-t-il différents niveaux de conformité PCI ?) Il existe également différentes catégories d'exigences spécifiques, notamment

• Exigences de principe (voir ci-dessous)
• Exigences de base
• Procédures de test

Il est donc toujours utile de consulter le site officiel du Conseil des normes de sécurité PCI pour obtenir des nouvelles et des informations sur les mises à jour.

Les principales exigences de la norme PCI DSS

Vous trouverez ci-dessous une vue d'ensemble des exigences PCI à partir de la mise à jour des normes Vol. 4.0, mars 2022 (voir ci-dessous "Qu'est-ce que PCI DSS v4.0 ?").

Construire et maintenir un réseau et des systèmes sécurisés

1. Installer et maintenir les contrôles de sécurité du réseau
2. Appliquer des configurations sécurisées à tous les composants du système

Protéger les données du compte

3. Protéger les données des comptes stockés
4. Protéger les données des détenteurs de cartes par une cryptographie forte lors de la transmission sur des réseaux ouverts et publics

Maintenir un programme de gestion de la vulnérabilité

5. Protéger tous les systèmes et réseaux contre les logiciels malveillants
6. Développer et maintenir des systèmes et des logiciels sécurisés

Mettre en œuvre des mesures de contrôle d'accès strictes

7. Restreindre l'accès aux composants du système et aux données des titulaires de cartes en fonction du besoin de savoir de l'entreprise
8. Identifier les utilisateurs et authentifier l'accès aux composants du système
9. Restreindre l'accès physique aux données des titulaires de cartes

Contrôler et tester régulièrement les réseaux

10. Enregistrer et contrôler tous les accès aux composants du système et aux données des titulaires de cartes
11. Tester régulièrement la sécurité des systèmes et des réseaux

Maintenir une politique de sécurité de l'information

12. Soutenir la sécurité de l'information par des politiques et des programmes organisationnels

Existe-t-il différents "niveaux" de conformité PCI ?

Oui, il existe quatre niveaux différents de conformité PCI pour les commerçants. Chacun d'entre eux est basé sur une fourchette différente de volume de transactions sur 12 mois.

Vous trouverez ci-dessous les différents niveaux de commerçants définis par Visa.

Les 4 niveaux de conformité PCI pour les commerçants

Niveau 1

Tout marchand - peu importe le canal d'acceptation - traitant plus de 6 millions de transactions Visa par année. Tout commerçant qui, selon Visa, à sa seule discrétion, devrait satisfaire aux exigences des commerçants de niveau 1 afin de minimiser le risque pour le système Visa.

Niveau 2

Tout commerçant - quel que soit le canal d'acceptation - traitant de 1 à 6 millions de transactions Visa par an.

Niveau 3

Tout commerçant traitant de 20 000 à 1M de transactions Visa e-commerce par an.

Niveau 4

Tout commerçant traitant moins de 20 000 transactions Visa e-commerce par an, et tous les autres commerçants - quel que soit le canal d'acceptation - traitant jusqu'à 1 million de transactions Visa par an.

Quelles sont les sanctions en cas de non-conformité ?

Le non-respect des normes PCI peut s'avérer très coûteux...

Les banques acquéreuses s'exposent à des amendes allant de 5 000 à 100 000 dollars par mois en cas de non-respect de la norme PCI.

Ces sommes pourraient être critiques pour les petites organisations et les contraindre à mettre la clé sous la porte.

Les commerçants ne sont pas toujours condamnés à une amende directe, mais les sanctions peuvent les affecter en aval par le biais d'une augmentation des frais de transaction, voire d'une rupture des relations bancaires.

Avantages de la conformité à la norme PCI DSS

1. Prévenir ou réduire la fraude

La conformité PCI aide les entreprises à mettre en œuvre les meilleures pratiques qui permettront de prévenir ou de réduire la fraude. Ces normes sont continuellement mises à jour et intègrent les contributions d'une série d'experts du secteur.

2. Établir la confiance avec les clients et les partenaires

Le fait de savoir que votre entreprise est conforme à la norme PCI rassure les autres quant à la capacité de votre entreprise à maintenir des systèmes sécurisés.

Et certains partenaires potentiels - en particulier les grandes entreprises - peuvent l'exiger.

3. L'éligibilité à d'autres règlements est renforcée

La discipline, les ressources et l'engagement nécessaires pour atteindre la conformité PCI peuvent contribuer à créer la culture et les contrôles nécessaires pour se conformer à d'autres cadres tels que ISO/IEC 27001 et SOC (System and Organization Controls).

Inconvénients de la conformité à la norme PCI DSS

1. C'est technique et compliqué

La conformité PCI couvre un large éventail de domaines liés au traitement des paiements, notamment la sécurité du réseau, le stockage des données et le cryptage.

La mise en œuvre de ses exigences à un niveau élevé nécessite une connaissance approfondie et variée d'un domaine sophistiqué et technique.

Les normes de conformité PCI DSS sont également mises à jour périodiquement pour tenir compte des nouvelles menaces et vulnérabilités en matière de sécurité. Pour rester conforme, il faut se tenir au courant de ces changements et de leur mise en œuvre.

2. C'est cher

Le coût exact de l'obtention de la certification PCI dépend de la taille et de l'échelle de votre organisation et du niveau de conformité que vous avez atteint.

Outre l'utilisation de vos ressources internes, elle nécessite également des partenariats avec des tiers.

Il existe des estimations approximatives des coûts moyens en ligne provenant de diverses sources. Elles tendent à converger vers 20 000 USD pour les petites entreprises et entre 35 000 et 200 000 USD pour les plus grandes.

Les autres coûts comprennent l'analyse trimestrielle des vulnérabilités externes, l'analyse des vulnérabilités internes et les tests annuels de pénétration externes et internes.

Combien d'entreprises sont conformes à la norme PCI ?

La conformité PCI est obligatoire pour toutes les organisations qui transfèrent et stockent des données de titulaires de cartes.

En 2017, le directeur général mondial de Verizon pour le conseil en sécurité, Rodolphe Simonetti, a commenté :

"Même s'il est bon de constater que la conformité à la norme PCI augmente, il n'en reste pas moins que plus de 40 % des organisations mondiales que nous avons évaluées - grandes et petites - ne respectent toujours pas les normes de conformité à la norme PCI DSS. Parmi celles qui réussissent la validation, près de la moitié ne sont plus conformes en l'espace d'un an, et beaucoup plus tôt".

Mais selon un rapport 2020 de Verizon, les entreprises qui ont respecté l'intégralité des niveaux de conformité PCI DSS au niveau mondial sont passées à 43,4 % (contre 27,9 % en 2019).

L'importance d'effectuer régulièrement des analyses de vulnérabilité

Cependant, de nombreuses atteintes à la sécurité des données peuvent être évitées. Elles ont encore tendance à être peu sophistiquées et peuvent être évitées grâce à des défenses de base solides.

Si votre entreprise utilise une connexion IP, vous devez effectuer une analyse de vulnérabilité tous les trois mois.

L'analyse de conformité comprend des analyses de vulnérabilité internes et externes effectuées par notre fournisseur de services d'analyse agréé (ASV). Ces deux analyses doivent être effectuées régulièrement afin de s'assurer que les systèmes de sécurité sont à jour.

Un scanner de vulnérabilité est un programme conçu pour analyser les points faibles de vos réseaux et trouver les domaines à améliorer. Il évalue également votre configuration.

Le scanner identifie les points où le réseau est susceptible d'être compromis en vérifiant :

• Ports
• Appareils susceptibles de se connecter à distance
• Caméras de sécurité
• Site web

Une analyse de vulnérabilité externe recherche les failles dans les pare-feux de votre réseau, où des personnes extérieures malveillantes peuvent s'introduire et attaquer votre réseau.

Les amendes possibles en cas d'infraction (voir ci-dessus "Quelles sont les sanctions en cas de non-conformité ?") peuvent devenir critiques pour une petite entreprise. Elles pourraient même la contraindre à mettre la clé sous la porte.

C'est pourquoi il est si important d'effectuer régulièrement un contrôle de conformité.

Il est beaucoup plus facile de prendre des mesures pour éviter qu'une violation ne se produise que d'en gérer les conséquences après coup.

Autres questions relatives à la conformité PCI :

À quelles transactions par carte la conformité PCI s'applique-t-elle ?

La conformité PCI s'applique à toutes les cartes de débit, de crédit et prépayées portant le logo de l'une des cinq associations de cartes (ou marques de cartes) qui participent au PCI SSC :

• American Express
• Découvrir
• JCB
• MasterCard
• Visa International

Qu'est-ce que les "données du titulaire de la carte" ?

Les données relatives au titulaire de la carte sont toutes les informations stockées, traitées ou transmises qui permettent d'identifier personnellement le titulaire de la carte ou d'y être associé. Il s'agit notamment du nom, de l'adresse, du numéro de compte, etc.

Où puis-je trouver les normes de sécurité des données PCI (PCI DSS) ?

Nuvei a reçu un certificat de conformité PCI qui répond aux exigences des méthodes de validation des normes de sécurité des données (DSS) de l'industrie des cartes de paiement (PCI).

Vous pouvez les trouver sur le site web du PCI SSC.

Qu'est-ce que la norme PCI DSS v4.0 ?

Depuis son lancement en 2006, la norme PCI DSS a fait l'objet de plusieurs mises à jour. PCI DSS v4.0 est la dernière version. Son développement a commencé en 2017 et elle a été publiée en 2022.

Elle remplace une version précédente (PCI DSS v3.2.1) qui est également valable, mais seulement jusqu'au 31 mars 2024.

Les objectifs déclarés de la norme PCI DSS v4.0sont les suivants :

• Veiller à ce que la norme continue de répondre aux besoins du secteur des paiements en matière de sécurité.
• Ajouter de la flexibilité pour prendre en charge les différentes technologies utilisées pour assurer la sécurité
• Promouvoir la sécurité comme un processus continu
• Améliorer les méthodes et procédures de validation

L'une de ses méthodes pour répondre au premier point ci-dessus a consisté, par exemple, à introduire l'authentification multifactorielle pour tous les accès à l'environnement des données du titulaire de la carte (CDE). Cette mesure s'ajoute aux exigences existantes en matière d'authentification multifactorielle à distance.

Si je n'accepte les cartes de crédit que par téléphone, le PCI s'applique-t-il toujours à moi ?

Comme indiqué ci-dessus, toute entreprise qui stocke, traite ou transmet des données relatives aux titulaires de cartes doit être conforme à la norme PCI.

Si mon entreprise possède plusieurs sites, dois-je valider la conformité PCI pour chaque site ?

À moins que chaque site ne traite sous un numéro d'identification fiscale différent, vous n'êtes tenu de procéder à la validation qu'une fois par an pour tous les sites. Vous pouvez également être tenu de soumettre des analyses trimestrielles du réseau par un fournisseur de services d'analyse approuvé par le PCI SSC (ASV), le cas échéant.

Questionnaire d'auto-évaluation de la conformité PCI de Nuvei (SAQ)

Notre questionnaire d'auto-évaluation (SAQ) est conçu pour aider les entreprises à mettre en place des processus et des procédures appropriés pour assurer la sécurité des données sensibles de leurs clients.

Il s'agit d'une liste de questions qui aident les commerçants à comprendre les processus PCI corrects à un niveau intuitif.

Par exemple :

Les documents papier sont-ils déchiquetés, incinérés ou réduits en pâte de manière à ce que les données relatives aux titulaires de cartes ne puissent pas être reconstituées?

Au fond, cette question vous indique comment les documents papier sont censés être éliminés dans le respect des normes PCI.

Chaque question apporte des éclaircissements et des conseils et contribue à créer des processus internes et des pratiques correctes pour votre entreprise.

Rendez-vous sur le site web de notre fournisseur de solutions PCI pour passer notre SAQ. Le site web vous guidera à travers les étapes et vous aidera à sélectionner la bonne catégorie pour votre entreprise.

Conclusion

L'ampleur croissante de la fraude est un signal de l'importance de la conformité PCI pour la protection des données des titulaires de cartes.

La conformité PCI fait référence à l'adhésion à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), qui est maintenue par le Conseil des normes de sécurité PCI.

Les exigences en matière de conformité à la norme PCI portent notamment sur les points suivants :

• Construire et maintenir des réseaux et des systèmes sécurisés
• Protéger les données des cartes de paiement
• Maintenir un programme de gestion des vulnérabilités

et plus encore.

La conformité à la norme PCI DSS présente plusieurs avantages, notamment la prévention ou la réduction de la fraude, l'instauration d'une relation de confiance avec les clients et les partenaires et l'éligibilité à des réglementations supplémentaires.

Cependant, il y a aussi des inconvénients. Il s'agit d'un processus technique, compliqué et coûteux - bien que le coût exact de l'obtention de la certification dépende de la taille et de l'échelle de l'organisation.

La non-conformité peut entraîner des amendes importantes pour les institutions financières, une augmentation des frais de transaction, voire la résiliation des relations bancaires de leurs clients.

Pour rester en conformité, les entreprises doivent effectuer régulièrement des analyses de vulnérabilité afin d'identifier et de corriger les faiblesses de leurs réseaux.

L'utilisation d'un questionnaire d'auto-évaluation (SAQ) peut aider les entreprises à comprendre et à mettre en œuvre des processus PCI appropriés.