La conformité PCI est le strict respect des directives de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), exigée pour toutes les entreprises qui acceptent les paiements par carte de crédit. Le Conseil des normes de sécurité de l'industrie des cartes de paiement est l'organe qui tient les entreprises responsables de cette conformité. Le conseil PCI propose différentes sessions de formation et cours pour les entreprises, ainsi que des quiz simples qu'ils peuvent passer pour tester leur niveau de conformité.
PCI fournit également un accès aux évaluateurs (souvent des organisations de sécurité tierces), qui examinent les entreprises pour la conformité PCI. Le Conseil des normes de sécurité PCI s'assure également que les évaluateurs de sécurité qualifiés sont régulièrement certifiés et approuvés afin qu'ils respectent eux-mêmes des normes de conformité élevées.
PCI fournit également des normes pour les périphériques PTS (PIN Transaction Security), qui sont le matériel sur lequel les transactions par carte se produisent. Sur le site Web des normes de sécurité PCI, vous trouverez une liste des périphériques PTS approuvés par PCI, qui ont également des politiques de sécurité. Ces appareils ne doivent pas expirer si une entreprise les utilise.
Douze exigences pour la conformité PCI
Le Conseil des normes de sécurité a établi douze normes que chaque entreprise d'acceptation de cartes doit respecter:
- Implémentation de pare-feu sur le réseau de l'entreprise
- Pratiquer les meilleures habitudes pour de bons mots de passe, pas seulement le strict minimum ou les mots de passe par défaut
- Crypter les informations de carte de crédit et les clés de cryptage
- Crypter les données en mouvement (pendant qu'elles traversent les réseaux publics)
- Utiliser des solutions antivirus à jour
- Sécurisation de l'ensemble du réseau, y compris les logiciels / applications
- Permettre aux employés d'accéder aux informations de la carte uniquement si cela est absolument nécessaire
- Donner à chaque employé son propre code d'accès à l'ordinateur / système, son nom d'utilisateur et / ou son mot de passe
- Restreindre l'accès au matériel ou à tout autre équipement dans lequel les données de la carte sont conservées
- Surveillance de l'accès au système, y compris la tenue de registres de chaque fois qu'un employé accède aux informations de la carte
- Tester fréquemment les protocoles de sécurité
- Fournir une politique de sécurité non seulement aux employés mais aussi à des tiers et documenter le stockage, la transmission et l'accès aux données des cartes. Une autre remarque importante à propos de ces documents et journaux: d'autres normes juridiques, telles que le GDPR et le CCPA, exigeront probablement également que les organisations documentent toutes les utilisations et transmissions de données sensibles, il est donc doublement important de conserver des enregistrements détaillés.
Conséquences possibles de la non-conformité PCI
Le non-respect de ces exigences strictes augmente le risque de violation de données. Cela augmente également les chances de perdre la réputation et la confiance des clients. En revanche, le chiffrement des données et la limitation de l'accès à celles-ci offrent plus de sécurité à une entreprise. Bien que le strict respect des normes PCI ne signifie pas qu'une entreprise est à l'abri des attaques et des violations, cela signifie que ses amendes et toute action en justice seront probablement réduites.
Les cybercrimes, y compris le vol de données de carte de crédit, sont de plus en plus faciles à commettre pour les criminels. Se conformer aux normes PCI est la meilleure pratique pour une entreprise qui souhaite opérer légalement et conserver une clientèle satisfaite.