Quelle est la norme de sécurité des données de l'industrie des cartes de paiement?
La norme PCI DSS (Standard Data Security Standard) est un ensemble de directives et de meilleures pratiques fournies à toutes les entreprises et autres entités qui traitent, transmettent ou stockent des données de carte de crédit. Ces directives ont été élaborées par le Conseil des normes de sécurité PCI (PCI SSC) et visent à prévenir les fuites de données, l’usurpation d’identité et la fraude à la carte de crédit. La conformité à la norme PCI DSS comprend trois phases: l’évaluation des processus métier et l’identification des risques potentiels, la correction de ces risques et la communication des efforts de conformité aux banques et aux autres émetteurs de cartes de crédit concernés.
La conformité aux normes de sécurité des données est essentielle pour la création et la maintenance d'un réseau informatique sécurisé. Un pare-feu robuste doit être construit entre les données du titulaire de la carte et les accès externes au réseau. Les mots de passe du système doivent être mis en œuvre avec d'autres mesures de sécurité à chaque point potentiel de vulnérabilité du réseau. Toutes les données des titulaires de carte doivent être stockées de manière sécurisée et, lorsqu'elles sont transmises sur des réseaux publics, elles doivent être cryptées. Les mesures en cours comprennent l’utilisation d’un logiciel antivirus et l’accès physique ou informatique restreint aux données par le personnel en fonction des besoins de l’entreprise.
Il existe de nombreux outils et services disponibles pour aider les organisations à utiliser la norme PCI DSS. Alors que le PCI SSC établit les normes de conformité PCI, toutes les grandes marques de cartes de crédit ont créé leurs propres normes en ce qui concerne l’application et la conformité de ces normes ainsi que les procédures de validation des cartes de crédit. Chacune de ces sociétés offre des conseils en ligne et autres aux organisations qui acceptent leurs cartes. Le PCI SSC gère également un programme qui approuve les évaluateurs de sécurité qualifiés qui valident la conformité à la norme de sécurité des données du secteur des cartes de paiement. Pour les organisations qui auto-évaluent leur conformité, le PCI SSC fournit des outils de validation appelés questionnaires d’auto-évaluation sous plusieurs formes, chacune étant adaptée à des environnements professionnels spécifiques.
Pour respecter la norme de sécurité des données de l'industrie des cartes de paiement, il est essentiel de ne stocker que les données de carte de crédit essentielles aux besoins de l'organisation. Les données stockées doivent être soumises à des délais et les données d'authentification de transaction ne doivent jamais être stockées. Tous les numéros de compte et autres données sensibles transmis sur des réseaux publics doivent être partiellement masqués.
Parmi les autres mesures PCI DSS en cours figurent la création et la maintenance d'un programme de gestion des vulnérabilités permettant de créer des applications et des programmes sécurisés. Une surveillance régulière et des tests de réseau pour identifier les faiblesses sont également nécessaires. Chaque organisation doit également gérer et diffuser une politique de sécurité écrite à l’ensemble du personnel.