Sécurité des cartes de crédit pour les hôtels

Transcription

1 Sécurité des cartes de crédit pour les hôtels Méthode de sécurisation durable de l'activité commerciale de PCI DSS ConCardis GmbH Helfmann-Park Eschborn ConCardis GmbH Helfmann-Park Eschborn Téléphone: I Fax: I cc@concardis.com I I Siège de la société: Eschborn Registre du commerce: Francfort-sur-le-Main, HRB I Gérant: Manfred Krüger (Président), Rainer Sureth Président du conseil d'administration: Dr. Hans-Joachim Massenberg 1/32

2 Sommaire 1. La première cible des fraudeurs: les données de carte de crédit Pourquoi PCI DSS? Que recherchent les criminels? Accès à la conformité PCI DSS Comment commencer? Pourquoi la preuve de la propre conformité au standard PCI DSS est-elle importante? Preuve de la conformité au standard PCI DSS à l'aide de questionnaires d'auto-évaluation La sélection du questionnaire adéquat Remarques complémentaires importantes pour la sélection du questionnaire adéquat Mesures pour conformité PCI DSS pour hôtels (questionnaire B) Domaine d'application Accès aux informations de cartes de crédit Traitement des courriels Traitement des documents imprimés et des justificatifs en papier Le terminal de paiement Documents de sécurité Sécurisation durable des données de cartes de crédit Annexe A: Liste récapitulative à cocher Annexe B: Liste récapitulative à cocher Domaines de traitement des cartes de crédit Mesures pour conformité PCI DSS pour hôtels (questionnaire C) Domaine d'application Sécurisation du réseau Sécurisation des systèmes Standards préconfigurés du fabricant Transmission sécurisée des données de cartes de crédit Télétravail à domicile Accès administratif et télémaintenance des systèmes Compléments des documents de sécurité /32

3 4.9. Sécurisation durable des données de cartes de crédit Annexe C: Liste récapitulative à cocher du questionnaire catégorie C /32

4 1. La première cible des fraudeurs: les données de carte de crédit 1.1. Pourquoi PCI DSS? Les données de carte de crédit sont une cible privilégiée des criminels. Il est très simple d'y accéder, surtout dans les petites entreprises, et elles permettent d'obtenir de l'argent liquide sans trop de complications. Le secteur de l'hôtellerie est particulièrement touché par le vol de cartes de crédit. Qu'il s'agisse de pirates informatiques professionnels ou de personnel malveillant, les criminels sont généralement très bien organisés et les activités frauduleuses à base de données de cartes de crédit sont florissantes. Un vol couvert par des données de carte de crédit donnera lieu à des enquêtes coûteuses. En effet, il s'ensuit des demandes de dommages et intérêts et des pénalités. Et, pour conclure, la couverture de l'événement par la presse porte une atteinte quasiment irréversible à la réputation de l'établissement. Les clients perdent alors confiance et l'activité commerciale en pâtit durablement. Afin d'agir contre ce phénomène, les grandes sociétés de carte de crédit se sont regroupées pour créer le Payment Card Industry Security Standards Council (PCI SSC). L'uniformisation des directives de sécurité des différentes sociétés a abouti sur le standard PCI Data Security Standard (PCI DSS). Celui-ci pose la base d'un processus uniformisé de protection des données de carte de crédit et englobe ainsi tant les mesures techniques qu'organisationnelles. L'application de ces mesures en interaction assure un minimum de sécurité pour les données de carte de crédit. La preuve de conformité au standard PCI DSS peut en effet influer considérablement sur la question de la responsabilité. Mais pour cela, il convient de prouver que toutes les mesures nécessaires au respect du standard PCI avaient été mises en application et suivies au moment de l'incident. Pour conclure sur une note non moins importante, l'hôtelier ne doit pas perdre de vue que la sécurité des données de carte de crédit de ses clients constitue la sécurité de sa source de revenus. 4/32

5 1.2. Que recherchent les criminels? Les données des cartes de crédit se trouvent sur la carte sous la forme de gravure et d'informations conte- nues dans la puce et sur la bande magnétique. L'illustration suivante représente la structure d'une carte de crédit typique. 1. Puce 2. Numéro de carte (Primary Account Number, PAN) 3. Date de validité 4. Nom du titulaire de la carte 5. Bande magnétique 6. Code de validation de la carte, code de vérification de la carte Les éléments des cartes de crédit convoités par les criminels sont avant tout le numéro de carte de crédit (PAN) et le code de vérification (CVC2/CVV2/P) ainsi que la bande magnétique dans son intégralité, élé- ments qui leur permettront de fabriquer une copie illégale de la carte. Sur le marché florissant des cartes de crédit volées, ces informations peuvent rapporter de l'argent relativement facilement. Comparativement, le risque encouru par les criminels est faible. Ceux-ci sont généralement parfaitement organisés et agissent à l'échelle internationale. La traçabilité est pratiquement impossible à assurer. Mais qu'apportent les informations volées? Les numéro de carte de crédit exploités permettent de procéder sans problème à des transactions de paiement ne nécessitant pas la présentation phyisique de la carte, notamment lors des achats sur Internet. Des intermédiaires fournissent ou vendent cette marchandise au moyen de procédés astucieux. L'utilisation de terminaux implique le danger que ces derniers soient manipulés et que la bande magnétique soit «copiée». Les données de la bande magnétique sont lues pendant le processus de paiement et com- muniquées au fraudeur. Celui-ci peut copier les données exploitées sur une carte de crédit «vierge» et utiliser celle-ci ci physiquement pour des paiements. Les mesures du PCI DDS portent sur les moyens d'attaque potentiels et offrent ainsi un minimum de protec- tion des informations de carte de crédit. 5/32

6 2. Accès à la conformité PCI DSS 2.1. Comment commencer? Au début, il est recommandé de rédiger une liste établissant les personnes traitant les informations des cartes de crédit et les méthodes de traitement de celles-ci. Il convient de tenir compte du lieu de réception et des moyens de communication des informations de carte de crédit à l'hôtel, leur voie de traitement au sein de l'hôtel et, le cas échéant, la manière dont elles sont éliminées de l'hôtel. Processus commercial Domaine Support contenant les données de carte de crédit Traitement consécutif des données de carte de crédit Le client paie son séjour avec sa carte de crédit et remet ladite carte au collaborateur de la réception Réception Papier La réception passe la carte dans le terminal, la remet ensuite au client et conserve un justificatif de paiement en papier rangé dans un placard/un tiroir verrouillable. Les justificatifs recueillis au cours d'une journée sont remis au service de comptabilité Réception Comptabilité Papier La comptabilité reçoit les justificatifs en papier et vérifie l'arrivée du paiement; ensuite, les tickets sont conservés pour la durée de la période de conservation légale (dans l'archive verrouillable) À l'expiration du délai de conservation légal, un prestataire vient chercher les justificatifs papier pour élimination Comptabilité/ Archives Papier Le prestataire élimine les justificatifs en papier de manière conforme Un client envoie (bien que cela ne soit pas voulu) une demande de réservation par courriel avec ses informations de carte de crédit Réception/ Réservation Numérique Le courriel est imprimé et supprimé directement de la boîte de réception P L'avantage d'une liste de la sorte réside dans le fait qu'elle fournit un récapitulatif des domaines potentiellement dangereux et constitue du même coup une base pour les mesures correctives à appliquer. La liste indiquée ne saurait prétendre être complète et sert d'exemple à titre indicatif. Une attention particulière doit être accordée aux endroits de la liste où les données de carte de crédit sont disponibles sous forme électronique (numérique). Les informations sauvegardées sur ordinateur sont facilement exploitables pour les pirates informatiques. Une fois qu'ils sont parvenus à accéder au réseau interne de l'hôtel, ils peuvent dérober un grand nombre de données de cartes de crédit. Et puisque leur présence physique sur place n'est pas nécessaire, le risque d'être découvert demeure relativement faible pour eux. En raison du risque élevé auquel les cartes de crédit sont exposées sous forme numérique, le standard de sécurité PCI prescrit des mesures très complètes pour offrir une protection adéquate auxdites cartes. Le nombre de mesures à appliquer pour assurer la protection des informations de cartes de crédit et ainsi le travail à fournir pour atteindre la conformité PCI-DSS peut être considérablement réduit en renonçant à tout enregistrement électronique. 6/32

7 C'est pourquoi il convient d'établir la nécessité ou non d'enregistrer les informations de carte de crédit sous forme électronique et de décider s'il est possible d'y renoncer. Par exemple, les hôtels reçoivent régulièrement des courriels de clients contenant des données de cartes de crédit. Si celles-ci ne sont pas supprimées immédiatement, on considère qu'il y a enregistrement électronique de données de carte de crédit. Il est possible de contourner le problème en imprimant les courriels en question et de poursuivre le traitement des données de carte de crédit sur papier uniquement. Le courriel respectif peut alors être supprimé de l'ordinateur dans son intégralité aussitôt qu'il a été imprimé. Cette mesure doit intégrer l'étape de suppression du contenu de la corbeille ou du dossier «Éléments supprimés». En général, les règles suivantes sont applicables: Si un enregistrement électronique de données de carte de crédit n'est pas nécessaire, y renoncer impérativement Pourquoi la preuve de la propre conformité au standard PCI DSS est-elle importante? Dans de nombreux cas de vol de carte de crédit, les enquêtes consécutives révèlent souvent qu'une ou plusieurs mesures PCI DSS obligatoires n'ont pas été mises en œuvre. Les conséquences de tels incidents comptent notamment des demandes de dommages et intérêts, des amendes, une atteinte à la réputation et ainsi une perte de clientèle. Un tel incident peut également provoquer des dégâts considérables et nuire durablement à l'activité commerciale Preuve de la conformité au standard PCI DSS à l'aide de questionnaires d'autoévaluation Les questionnaires d'auto-évaluation (en anglais Self-Assessment Questionnaire, SAQ) constituent pour les petites entreprises un moyen pratique et efficace de confirmer leur conformité au standard PCI DSS. Ces questionnaires sont adaptés aux besoins des différents modèles économiques. Le questionnaire doit être rempli et renvoyé une fois par an. Cela permet de vérifier les mesures introduites et/ou de réagir aux changements potentiellement survenus dans les processus commerciaux, et, le cas échéant, d'adapter la catégorie concernée du questionnaire La sélection du questionnaire adéquat Ce sont vos processus commerciaux qui déterminent le questionnaire adapté à vos besoins. Il a été constitué cinq catégories permettant d'entreprendre une auto-évaluation adéquate en matière de conformité au standard PCI DSS du propre environnement commercial. Les critères permettant de distinguer les différentes catégories sont indiqués dans la colonne droite du tableau suivant. Le facteur déterminant réside dans la question de l'enregistrement ou non des cartes de crédit sous forme électronique. Si c'est le cas, toujours employer le questionnaire de la catégorie D. Pour recevoir le questionnaire à remplir par vos soins, allez sur la plateforme ConCardis PCI DSS qui vous assistera tout au long des étapes menant à la conformité PCI DSS. Après l'enregistrement sur la plateforme, l'assistant de sélection de questionnaire vous assiste lors de la sélection du questionnaire à utiliser. 7/32

8 Vous pouvez procéder à votre enregistrement sur la plateforme Concardis PCI DSS via le lien suivant: Veuillez noter que les données d'accès doivent vous avoir été envoyées au préalable par ConCardis. Vous pouvez également recevoir le questionnaire adéquat de votre banque ou sous la forme de téléchargement des sites Internet de PCI SSC en entrant le lien suivant: Exemple: Mon hôtel dispose de deux terminaux ISDN pour le paiement avec carte de crédit. L'un se trouve à la réception, l'autre dans la zone de la salle à manger. Les appareils n'enregistrent aucune donnée de carte de crédit, ils génèrent uniquement un justificatif de paiement en papier une fois le paiement effectué. Ensuite, seul le justificatif en papier est utilisé pour le traitement consécutif (dans la comptabilité, etc.). Les courriels contenant des informations de carte de crédit sont supprimés immédiatement de la boîte de réception et de la corbeille ou du dossier «Éléments supprimés». Il vous faut donc remplir le questionnaire de la catégorie B. Catégorie de questionnaire Portée Public cible/caractéristiques A 13 questions Toute les fonctions de cartes de crédit externalisées Pas de présence physique de cartes de crédit (commerce électronique ou vente par correspondance) B 29 questions Seuls des terminaux avec connexion numérotée (ISDN ou analogique) sont employés pour les paiements par carte de crédit. Pas d'enregistrement des données de carte de crédit (depuis le terminal non plus) C-VT 51 questions Le paiement se déroule exclusivement sur des terminaux virtuels basés sur Internet L'ordinateur utilisé sur le terminal virtuel ne doit pas être connecté avec un autre système du commerçant. Pas d'enregistrement électronique de données de cartes de crédit C 80 questions Utilisation du terminal pour carte de crédit et/ou de systèmes d'application de paiement connectés à Internet Les terminaux pour cartes de crédit et/ou les systèmes d'application de paiement doivent uniquement être connectés à Internet et n'être connecté à aucun autre système du commerçant Pas d'enregistrement électronique de données de cartes de crédit D 288 questions Tous ceux ne correspondant pas aux descriptions des questionnaires A à C Tous les fournisseurs de service 8/32

9 2.5. Remarques complémentaires importantes pour la sélection du questionnaire adéquat C'est souvent que la méconnaissance de détails des exigences du standard de sécurité PCI DSS fait porter le choix sur un questionnaire de catégorie inadaptée. Ainsi, le questionnaire sélectionné est souvent celui de la catégorie D alors que des modifications même minimes auraient largement permis une classification dans une catégorie différente. C'est essentiellement le comportement inadapté du personnel ou l'état actuel de l'infrastructure, qui sont pourtant des éléments relativement simples à adapter, qu'un questionnaire des catégories A à C doit être utilisé. L'avantage réside dans les proportions sensiblement moindres des mesures de sécurité à entreprendre pour répondre aux exigences du standard PCI DSS. Vous trouverez ci-dessous une description des scénarios les plus fréquemment observés justifiant la pertinence de l'application du questionnaire de catégorie D. Une simple recommandation d'adaptation suffit pour permettre à chacun de ces scénarios de sortir du champ d'application du questionnaire D et ainsi largement faciliter l'obtention de la propre conformité PCI DSS. Les informations de cartes de crédit sont conservées sous forme électronique Il arrive souvent que les données de cartes de crédit soient enregistrées sous format électronique à divers endroits, par exemple dans les fichiers de programmes de traitement de texte ou de tableur sans que les risques qui y sont liés ne soient vraiment pris en compte. En outre, les courriels contenant des informations de carte de crédit ne sont souvent pas supprimés des boîtes de réception électroniques. Les courriels peuvent être imprimés et réutilisés sous format papier. Si un courriel est immédiatement supprimé après l'impression, y compris de la corbeille et du dossier «Éléments supprimés», l'enregistrement au format électronique au sens du standard PCI DSS n'a plus lieu d'être. Si vous n'êtes pas sûr de la présence de données de cartes de crédit sous forme électronique dans votre système, il existe des logiciels spéciaux vous assistant dans leur recherche. Il est recommandé de procéder à une vérification préalable des systèmes disponibles. Votre fournisseur informatique devrait pouvoir vous assister dans cette tâche. Si des informations de carte de crédit sont enregistrées sous forme électronique dans votre hôtel, munissezvous du questionnaire D dès maintenant! C'est pourquoi nous réitérons ici notre recommandation de renoncer à tout enregistrement de données de carte de crédit au format électronique dans la mesure où cela n'est pas absolument nécessaire! Absence de segmentation du réseau Le standard de sécurité PCI DSS requiert une séparation des systèmes traitant les données des cartes de crédit et ceux ne nécessitant aucun accès à ces informations. L'isolation des systèmes traitant les données des cartes de crédit est une condition préalable obligatoire à l'application du questionnaire C. Les terminaux pour cartes de crédit et/ou les systèmes d'application de paiement doivent uniquement être connectés à Internet et n'être connecté à aucun autre système du commerçant Cela doit permettre de réduire le risque de vol d'informations de cartes de crédit. L'utilisation et la configuration adaptée de pare-feux et de routeurs peut permettre de couper la communication entre les systèmes traitant les données de cartes de crédit et le reste des systèmes de l'hôtel, et qu'ainsi, la segmentation souhaitée soit obtenue. Le but est d'interdire aux systèmes ne traitant pas les données de cartes de crédit l'accès direct aux systèmes fonctionnant avec les données de cartes de crédit. Votre fournisseur informatique devrait pouvoir vous assister dans la mise en œuvre de cette tâche. En cas d'absence d'isolation des systèmes traitant les données de cartes de crédit, d'importantes mesures doivent être entreprises pour assurer la protection de l'intégralité du réseau. L'application du questionnaire D s'impose! 9/32

10 Sécurité de l'accès en cas de maintenance à distance Les fournisseurs de logiciels proposent fréquemment à leurs clients la possibilité de maintenance à distance afin de résoudre efficacement les problèmes. Un accès à distance pas suffisamment sécurisé recèle un risque potentiel considérable et peut permettre à un pirate informatique d'accéder à des informations cruciales pour la sécurité. Si votre fournisseur informatique ou un fabricant garantissent un accès à distance à vos systèmes dans le cadre des services de maintenance et d'assistance, il convient de sécuriser celui-ci en conséquence. La communication doit se faire en utilisant des technologies de chiffrement. En outre, l'accès ne doit être possible que via un compte configuré spécifiquement à cet effet et ne devant être actif que lorsqu'il est requis. Il ne doit pas constituer une possibilité d'accès permanente. Les accès doivent être surveillés pendant toute leur durée. Votre fournisseur informatique ou le fournisseur de logiciel devrait être en mesure de vous assister pendant la mise en œuvre de cette tâche. Si la maintenance à distance a lieu sans technologie permettant de sécuriser ce processus, il convient d'utiliser le questionnaire D! Dans la plupart des cas, l'observation de ces recommandations suffit à éviter de devoir appliquer les consignes du questionnaire D et ainsi d'obtenir plus efficacement la propre conformité PCI DSS. 10/32

11 3. Mesures pour conformité PCI DSS pour hôtels (questionnaire B) Les données de cartes de crédit ne sont traitées que par des terminaux ISDN et sur des justificatifs en papier. Pas d'enregistrement électronique de données de cartes de crédit 3.1. Domaine d'application Les questions abordées au cours des lignes suivantes correspondent au contenu du questionnaire de catégorie B. Elles se rapportent donc à un environnement commercial dans lequel les données de cartes de crédit sont conservées sur papier et traitées via des terminaux de paiement ISDN sans que lesdites données soient enregistrées au format électronique. Si ces caractéristiques ne s'appliquent pas aux processus commerciaux de votre hôtel, vérifier le paragraphe de sélection du questionnaire adéquat plus haut pour choisir le questionnaire adapté à vos besoins ou contactez votre banque. Il est important que vous ayez défini la catégorie adéquate dès la première étape puisque les mesures décrites ci-dessous ne concernent les environnements commerciaux de la catégorie B. Vous pouvez demander le questionnaire adapté à vos processus commerciaux auprès de votre banque (Acquirer) ou le télécharger à partir du site PCI SSC: documentation.php Accès aux informations de cartes de crédit Risque potentiel L'accès aux données de cartes de crédit ne doit être possible que pour les collaborateurs nécessitant cet accès dans le cadre de leurs fonctions. Plus le nombre de personnes ayant accès à des données sensibles augmente, plus le risque de perdre ces mêmes données augmente aussi, bien évidemment. Et cela ne signifie pas nécessairement que l'auteur des faits soit un employé malveillant, il suffit que la personne en question agisse en méconnaissance de cause, sans savoir comment manipuler des informations sensibles. Mesures Les droits d'accès doivent avoir été donnés de manière à ce que chaque collaborateur ait uniquement les droits strictement nécessaires à l'exercice de ses fonctions. Cela inclut l'accès aux ordinateurs ainsi que les possibilités physiques d'accès aux placards, tiroirs ou locaux. Tout mot de passe ne doit être connu que par le collaborateur nécessitant l'accès à l'ordinateur. Il en est de même pour les collaborateurs recevant une clef donnant l'accès aux lieux de conservation des informations de carte de crédit nécessaires à l'exécution de leurs fonctions. Il faut pour cela prendre en compte l'intégralité des lieux de conservation, soit par exemple le placard du bureau à l'arrière de la réception ou le lieu où est effectuée la comptabilité tout comme le tiroir de la réception. Si un collaborateur quitte l'hôtel, il faut vérifier les droits d'accès qui lui étaient donnés pendant l'exercice de ses fonctions. S'il avait accès à un ordinateur, il convient de modifier le mot de passe. Les clefs qui lui avaient été remises doivent être restituées. Tâches de la présente section Vérification des droits d'accès (qui a accès?) Entreprendre des modifications le cas échéant 11/32

12 3.3. Traitement des courriels Risque potentiel Les clients envoient souvent un courriel contenant les données de leurs cartes de crédit à l'hôtel, par exemple pour une réservation. Dans un premier temps, le courriel est visible pour tous ceux ayant un accès à l'ordinateur en question. Avertissement: Nous décrivons ici uniquement un cas dans lequel des clients vous envoient souvent les données de leurs cartes de crédit dans un courriel de réservation sans que vous leur ayez demandé de le faire. S'il s'agit d'un processus commercial régulier et voulu par vous, vous pouvez arrêter de traiter la présente liste de mesures. Le questionnaire D s'applique à vous et vous devez alors procéder à la mise en œuvre de mesures de sécurité bien plus importantes. Dans ce cas, vous devez demander l'aide professionnelle de votre banque (Acquirer). Mesures Aussitôt le courriel reçu, il doit être effacé. Il convient de veiller à supprimer la corbeille et le dossier «Éléments supprimés» et qu'aucune copie du courriel ne soit enregistrée sur le serveur central à des fins d'archivage. Si ces informations sont nécessaires, nous vous recommandons d'imprimer ce courriel et de continuer de le traiter sur papier uniquement. Le traitement de l'impression contenant les informations de la carte de crédit vous est décrit à la section suivante. Tâche de la présente section Former le personnel ayant accès aux ordinateurs à la procédure à suivre pour les courriels 3.4. Traitement des documents imprimés et des justificatifs en papier Risque potentiel L'hôtel recèle bien entendu de nombreuses informations de cartes de crédit sur une multitude de documents. Parmi ceux-ci, on compte les impressions, les télécopies et les justificatifs de paiement du terminal. Si ces données sont traitées de manière inadaptée, les informations de carte de crédit constituent alors une proie facile pour un collaborateur malveillant. Mesures Partout où les informations de cartes de crédit sont traitées, ces dernières doivent être conservées dans des placards ou des tiroirs verrouillables. Les impressions et justificatifs ne doivent par exemple jamais être empilés de manière visible à la réception. Ce type de documents est généralement classé comme confidentiel et les collaborateurs entrant en contact avec ceux-ci doivent, en raison de la sensibilité des informations qu'ils contiennent, avoir été formés au préalable à leur traitement en bonne et due forme. Le standard PCI DSS interdit tout enregistrement de données d'authentification dites sensibles, ce qui est, notamment pour les cartes de crédit, le code de vérification de la carte et le code confidentiel. L'hôtelier n'a toutefois généralement jamais accès au code confidentiel. Mais si le courriel du client contient également son code de vérification, celui-ci doit être rendu illisible (noirci) sur l'impression du courriel. En outre, l'accès aux justificatifs doit être réservé aux collaborateurs devant y avoir accès dans le cadre de l'exercice de leurs fonctions. C'est pourquoi il convient de contrôler strictement et de conserver une preuve écrite des personnes ayant une clef donnant accès aux lieux de conservation. Lors de l'élimination des impressions, justificatifs de paiement et autres documents sur papier contenant des données de cartes de crédit, il convient de veiller à ce que ces documents soient véritablement détruits et ne puissent plus être reconstitués. Ils doivent être passés dans un destructeur de documents ; la corbeille ne suffit pas. La méthode de découpe (cross-cut) des documents les réduit en particules si fines qu'il est impos- 12/32

13 sible de réutiliser les détails des informations contenues. C'est pourquoi, si vous devez procédez vousmême à la destruction des documents, vous devez vous procurer un destructeur de documents prenant en charge cette forme de découpe. La norme DIN définit cinq niveaux de sécurité. Afin de garantir une destruction sûre des informations sensibles, nous recommandons l'utilisation d'un destructeur de documents du niveau de sécurité 3. Si la destruction est confiée à un prestataire, il doit être assuré que celui-ci assume la responsabilité de la destruction en bonne et due forme des documents. Cet aspect doit faire l'objet d'une section du contrat écrit avec le prestataire en question. Souvent, dans une telle situation, les documents ne sont pas détruits tout de suite, mais rassemblés avant. Le conteneur dans lequel ils sont conservés doit être protégé contre l'accès par des personnes non autorisées. Si celui-ci est conservé dans un placard, par exemple, il doit être verrouillé au moins par cadenas. Tâches de la présente section Conserver les impressions, télécopies et justificatifs contenant des informations de cartes de crédit Les informations à haute sensibilité imprimées doivent être noircies. Informer les collaborateurs du comportement à adopter avec les impressions et les justificatifs en papier. Les données de carte de crédit sont détruites de manière définitive lors de leu élimination. Le prestataire en charge entreprend une élimination dans les règles de l'art et en assume la responsabilité Le terminal de paiement Risque potentiel Si un enregistrement électronique d'informations de carte de crédit n'est pas absolument nécessaire, il convient de l'éviter dans la mesure du possible. Les mesures décrites ici (questionnaire de catégorie B) partent du principe qu'aucune donnée de carte de crédit n'est enregistrée au format électronique. Les appareils anciens permettaient d'enregistrer les données de cartes de crédit. Cela ne doit plus être le cas pour les terminaux à cartes modernes. En outre, les appareils doivent de nos jours être sécurisés contre les manipulations. Un logo de sécurité figure souvent sur le terminal de paiement. En effet, il est arrivé par le passé que des vols d'informations de cartes de crédit se fassent par manipulation de terminaux de cartes. Mesures Si vous n'êtes pas sûr de la sécurité de votre terminal de paiement ou qu'il enregistre des données de cartes, demandez au prestataire vous ayant fourni le terminal si celui-ci répond aux standards de sécurité pour cartes de crédit. En outre, le site du PCI Council vous permet de vérifier que votre terminal pour cartes présente bien une certification conforme à PCI PTS (PIN Transaction Security). Si c'est le cas, vous pouvez partir du principe que l'appareil répond aux exigences du standard PCI DSS. La liste des terminaux pour cartes certifiés se trouve dans le lien suivant: 13/32

14 Tâche de la présente section Contacter le fournisseur ou le fabricant du terminal pour cartes utilisé (ou vérifier la certification de l'appareil sur les sites du PCI Council ) Vérifier si votre terminal pour cartes respecte les standards de sécurité pour cartes de crédit ou non Vérifier si votre terminal pour cartes dispose d'une protection spéciale contre les manipulations ou non Vérifier si votre terminal pour cartes enregistre les données de cartes de crédit ou non Si oui: Vérifier si celles-ci peuvent être supprimées de manière sûre ou non 3.6. Documents de sécurité Le standard PCI requiert la rédaction et la mise à jour de certains documents visant à permettre de garder une vue d'ensemble sur le maintien des différentes mesures. En outre, la documentation écrite est le meilleur moyen de prouver après coup à des tiers la conformité PCI. C'est pourquoi ilest recommandé de garder à jour une documentation brève et pragmatique pour les domaines suivants. Directive relative à la sécurité des informations Une directive relative à la sécurité des informations vise à décrire la manière de traiter tous les aspects ayant trait à la sécurité au sein de l'hôtel. Pour cela, le standard PCI DSS ne requiert pas la rédaction d'un ouvrage de référence complexe, mais les thèmes relevant de la sécurité doivent tous être couverts brièvement. Cela concerne en premier lieu le traitement sûr des informations des cartes de crédit, mais aussi l'utilisation conforme des ordinateurs et des logiciels installés sur ceux-ci. Les collaborateurs, surtout, doivent savoir que les informations des cartes de crédit ne doivent jamais être envoyées par courriel sans avoir été protégées. Les technologies de messagerie pour utilisation finale dans le cadre de la communication n'offrent pas la possibilité de protéger les données transmises de manière adéquate. C'est pourquoi il ne faut en aucun cas employer ces technologies pour transmettre des données de carte de crédit. Le terme technologie pour utilisation finale englobe généralement des courriels non chiffrés, la messagerie instantanée et les programmes de dialogues en ligne comme ICQ ou Skype. Les logiciels mis à disposition gratuitement sur Internet laissent libre cours à la capture et à la lecture des messages par des tiers, ces programmes n'offrant aucune possibilité de crypter les messages. En raison du risque élevé de la communication via les logiciels n'offrant aucun chiffrement des messages, il convient de renoncer complètement à leur utilisation. Cette mesure doit figurer dans des instructions de travail interdisant l'utilisation de technologies risquées. Afin que les collaborateurs comprennent les motifs de ces interdictions, il vaut mieux les prévenir des dangers liés à l'utilisation de ces technologies. Les collaborateurs doivent être sensibilisés au fait que la sécurité des données de carte de crédit de leurs clients contribue largement à la réussite commerciale de leur établissement et que c'est donc dans leur propre intérêt. Dans la mesure du possible, il faut proposer aux collaborateurs une formation à la sécurité des données. Des posters ou des fonds d'écran sur le poste de travail peuvent d'ores et déjà contribuer au travail de sensibilisation dans ce sens. C'est pourquoi la directive relative à la sécurité des informations doit être remise à chaque collaborateur, suite à quoi il sera demandé à chacun de signer un formulaire attestant la lecture et la compréhension de ladite directive. 14/32

15 La directive doit faire l'objet d'une vérification de sa validité une fois par an et être modifiée le cas échéant, si des changements devaient avoir eu lieu. Instructions de travail pour les collaborateurs ayant accès aux données des cartes de crédit Les instructions de travail pour les collaborateur traitant les données des cartes de crédit doivent signaler que les informations qu'ils traitent sont de nature sensible et qu'il s'agit de les traiter en bonne et due forme. Ces instructions englobent les contenus des sections Traitement des courriels ainsi que Traitement des documents imprimés et des justificatifs en papier. Liste des autorisations d'accès La liste des autorisations d'accès doit comprendre les collaborateurs utilisant l'ordinateur et la boîte aux lettres électronique et/ou une clef pour les lieux de conservation de documents imprimés et de justificatifs sur papier. Ainsi, il est possible d'obtenir un suivi, en conjonction avec le tableau de service, des personnes ayant accès aux informations des cartes de crédit et des horaires auxquels ces personnes avaient accès à ces données. Liste des prestataires de services externes Si des contrats ont été signés avec des prestataires de services externes en contact avec les données de cartes de crédit, ceux-ci doivent avoir été informés du caractère sensible de ces données. Il convient de mentionner dans le contrat que leur responsabilité est engagée en matière de sécurité de ces données dès qu'ils entrent en contact avec celles-ci. Par exemple, un prestataire de services chargé de la destruction des données des cartes de crédit doit avoir été avisé de sa responsabilité vis-à-vis de l'élimination en bonne et due forme des données. Une liste contenant tous les prestataires de service externes vous aidera à garder une vue d'ensemble. Les grandes sociétés de cartes de crédit ont leurs propres listes faisant état de la conformité au standard PCI DSS des prestataires de service et fabricants de tous les domaines d'activité autour des cartes de crédit. Ces listes sont à la disposition du grand public sur les sites Internet et peuvent être consultées librement. Voici le lien où figure la liste pour MasterCard: Voici le lien vous menant à la liste des prestataires de service certifiés de Visa Europe: retailers/payment_security/service_providers.aspx Si vous traitez des données de cartes de crédit avec des applications de paiement et qu'ainsi le domaine d'application SAQ C vous concerne, vous pouvez consulter les sites du PCI Council et vérifier si le logiciel utilisé répond aux exigences du PCI Payment Application Data Security Standard (PCI PA-DSS). L'utilisation de logiciels certifiés facilite la mise en œuvre des mesures visant à la conformité propre PCI DSS. Le lien du PCI Council suivant vous permet de vérifier si telle ou telle version d'une application de paiement est certifiée PCI PA DSS: Le lien suivant vous permet également de vérifier si le terminal à carte que vous utilisez est certifié sur les sites du PCI Council: Le statut de l'a conformité PCI DSS des prestataires de services doit être vérifié une fois par an. 15/32

16 Tâches de la présente section Rédaction d'une directive relative à la sécurité des informations Rédaction d'instructions de travail pour les collaborateurs ayant accès aux données des cartes de crédit Établissement d'une liste des autorisations d'accès Établissement d'une liste des prestataires de services externes Vérification du statut de conformité PCI DSS des prestataires de service 3.7. Sécurisation durable des données de cartes de crédit Les mesures décrites ici offrent un minimum de sécurité pour les données de cartes de crédit des modèles commerciaux traitant exclusivement lesdites données via des terminaux avec connexion numérotée et justificatifs de paiement sur papier. Le renoncement à l'enregistrement électronique des informations de cartes de crédit permet, en appliquant toutes les mesures de manière efficace et praticable, d'obtenir une protection de base. Afin de maintenir la conformité PCI, le questionnaire doit être rempli une fois par an et être remis à votre banque le cas échéant. Cela donne la possibilité de vérifier les mesures introduites et/ou de réagir aux changements potentiellement survenus dans les processus commerciaux, et, le cas échéant, d'adapter la catégorie concernée du questionnaire. Mais l'obtention ou la preuve de la conformité PCI seule ne suffit pas à protéger les données de carte de crédit de manière durable. Une protection véritable et durable ne peut être atteinte que si les mesures sont mises en œuvre au quotidien. Pour cela, toutes les parties concernées doivent œuvrer en chœur. En effet, la protection des données des clients ne doit pas être basée sur la crainte de problèmes potentiels de droit de responsabilité, mais avant tout sur la motivation d'assurer la propre activité commerciale et la compétitivité futures sur le long terme. 16/32

17 3.8. Annexe A: Liste récapitulative à cocher Le flux de cartes de crédit au sein de l'hôtel est-il connu? Les cartes de crédit ne sont traitées que par un terminal à connexion numérotée (ISDN ou analogique) et sinon seulement traitées sur papier? Les collaborateurs ont-ils seulement accès à des données de cartes de crédit nécessaires à l'exercice de leurs fonctions? Les collaborateurs ayant accès à un ordinateur sont-ils bien les seuls à en avoir besoin? Les collaborateurs ayant une clef leur permettant d'accéder aux endroits de conservation des données de cartes de crédit sont-ils bien les seuls à en avoir besoin? Les collaborateurs ont-ils été formés au traitement sûr et conforme des courriels contenant des données de cartes de crédit? Les collaborateurs ont-ils été formés au traitement sûr et conforme des documents imprimés et des justificatifs de paiement contenant des données de cartes de crédit? Les collaborateurs sont-ils conscients du caractère sensible des informations de cartes de crédit? Les documents imprimés, télécopies et justificatifs contenant des informations de cartes de crédit sont-ils conservés dans un endroit verrouillé? Les informations hautement sensibles sur les documents imprimés ont-elles été noircies ou rendues illisibles? Est-il possible d'assurer que les données de cartes de crédit sont détruites de manière irréversible lors de leur élimination? La garantie d'une élimination en bonne et due forme par le prestataire de service en charge et l'engagement de sa responsabilité font-elles l'objet d'une clause contractuelle? En concertation avec le prestataire de services, vérifier que: Le terminal à cartes utilisé est bel et bien conforme aux standards de sécurité pour cartes de crédit (ou vérifier la certification de l'appareil sur les sites du PCI Council). Le terminal à cartes enregistre-t-il les données de cartes de crédit? Si oui: Celles-ci peuvent-elles êtres supprimées en toute sécurité? Le terminal à cartes est-il protégé contre les manipulations? Une directive relative à la sécurité des informations a-t-elle été rédigée? 17/32

18 Les collaborateurs ont-ils compris les contenus? Des instructions de travail pour les collaborateurs ayant accès aux données des cartes de crédit ont-elles été rédigées? Une liste des autorisations d'accès a-t-elle été établie? La relation avec les prestataires de service entrant en contact avec les données de carte de crédit est-elle contractuelle? Une liste de ces prestataires de services a-t-elle été établie? Vérification du statut de conformité PCI DSS des prestataires de services Les prestataires de services ont-ils été sensibilisés au traitement en bonne et due forme des données de cartes de crédit? Les mesures et documents font-ils l'objet d'une vérification annuelle visant à établir leur validité? 18/32

19 3.9. Annexe B: Liste récapitulative à cocher Domaines de traitement des cartes de crédit Processus commercial Domaine Support contenant les données de carte de crédit Traitement consécutif des données de carte de crédit 19/32

20 4. Mesures pour conformité PCI DSS pour hôtels (questionnaire C) Les données de cartes de crédit sont traitées par des terminaux ou des applications de paiement avec connexion Internet. Pas d'enregistrement électronique de données de cartes de crédit Domaine d'application Les mesures abordées jusqu'à ce point correspondent à celles d'un modèle commercial dans lequel le traitement des données de cartes de crédit est assuré exclusivement sur des terminaux à connexion numérotée ainsi que des justificatifs de paiement en papier, sans enregistrement électronique de ces informations. Si, dans votre établissement, les cartes de crédits sont traitées via des terminaux ou des applications de paiement connectés à Internet, vous devez utiliser le questionnaire de catégorie C. La condition pour cela est qu'aucune information de carte de crédit ne doit être sauvegardée sur support électronique et les terminaux et/ou systèmes d'applications de paiement doivent être uniquement connectés à Internet et à aucun autre système de l'hôtel. L'utilisation d'internet pour la transmission de données de cartes de crédit offre aux criminels une interface d'agression supplémentaire qu'il convient de ne pas sous-estimer. Cela signifie que de nombreuses mesures doivent venir s'ajouter à celles de la section précédente pour contrer les dangers potentiels de manière adéquate. Les mesures décrites ci-dessous sont pour la plupart de nature très technique. Elles englobent de larges éléments de votre infrastructure, notamment des ordinateurs, l'accès à Internet, la mise en réseau des différents ordinateurs de poste de travail. Si vous ne les exploitez pas vous-même, vous devez demander à votre prestataire de services informatiques si les mesures décrites sont d'ores et déjà appliquées ou le charger de la mise en œuvre de celles-ci Sécurisation du réseau Risque potentiel Les réseaux insuffisamment sécurisés constituent souvent une proie aisée pour le pirate informatique, qui a alors facilement accès aux différents ordinateurs exploités au sein de ceux-ci. L'absence d'instances de contrôle régulant la circulation des données au sein d'un réseau peut donner lieu à une communication indésirable et, de la même manière, à des accès indésirables aux ordinateurs. Les criminels ciblent justement les points vulnérables au sein des réseaux. Mais même le positionnement avisé d'un point d'accès Wi-Fi peut constituer un point d'accès discret aux données de cartes de crédit pour un pirate informatique. Mesures Un pare-feu régule les autorisations de circulation des données entrantes et sortantes sur la base de règles définissables. Cela peut permettre de limiter les accès extérieurs aux ordinateurs de votre hôtel. Cela s'applique également à la communication des systèmes au sein de l'hôtel. Les terminaux des cartes de crédit et/ou des systèmes d'applications de paiement doivent uniquement être connectés à Internet. Toute communication avec d'autres systèmes de l'hôtel, comme un système de gestion des marchandises, par exemple, doit rester impossible. L'utilisation et la bonne configuration de pare-feu peut permettre d'obtenir l'isolation requise par le questionnaire C pour les systèmes correspondants. Afin d'apporter une protection efficace aux données de cartes de crédit à traiter dans votre hôtel, le pare-feu doit fournir les fonctions décrites dans la partie «Tâches de la présente section».. 20/32