Comment traiter de manière sûre et responsable les données relatives aux cartes de paiement de vos clients? Document PCI DSS

Comment traiter de manière sûre et responsable les données relatives aux cartes de paiement de vos clients? Document PCI DSS

Table des matières Introduction Gagner la confiance 3 Définition La norme de PCI DSS, qu est-ce que c est? 4 Objectifs Quel est l objectif de la norme PCI DSS? 6 Exigences de la norme PCI DSS Comment réaliser les objectifs de la norme PCI DSS? 7 Quatre catégories Quel type d entrepreneur êtes-vous? 8 Pratique (1) Comment respecter les exigences de la norme PCI DSS? 9 Pratique (2) Comment rester en conformité avec les exigences de la norme PCI DSS? 11 Lutter ensemble contre la fraude Où commence et où se termine votre responsabilité? 12 Risques À quelles formes de fraude êtes-vous exposé? 13 Explications Malentendus au sujet de la norme PCI DSS 15 Terminologie Glossaire portant sur la norme PCI DSS 17 Pour plus d informations 19

Introduction Gagner la confiance Vous donnez volontiers à vos clients la possibilité de payer avec une carte de crédit ou de débit. Grâce à la facilité et à la sécurité des cartes de paiement, vos clients achètent plus facilement. En d autres termes, l acceptation des cartes de crédit et des cartes de débit vous permet d augmenter votre chiffre d affaires. Cela présente cependant des responsabilités pour vous en tant qu entrepreneur. Le détenteur de la carte part du principe que les données relatives à sa carte sont dans de bonnes mains. En tant que destinataire du paiement, vous êtes également responsable de la protection des données. Pour vous faciliter les choses, les grandes sociétés de cartes de paiement, dont Visa et MasterCard, ont développé une norme de sécurité : la norme PCI DSS (Payment Card Industry Data Security Standard, norme de sécurité des données de l industrie des cartes de paiement). En tant qu entrepreneur, vous ne pouvez accepter les paiements par carte que si vous répondez aux exigences de la norme PCI DSS. Vos fournisseurs, tels que les prestataires de services de paiement et fournisseurs de terminaux de paiement, doivent également respecter les directives de la norme PCI DSS. Nous contribuons ainsi ensemble dans une grande mesure à la sécurisation de vos paiements. La norme PCI DSS inclut bien évidemment un certain nombre d obligations pour vous mais présente un avantage bien plus précieux au final : un client qui achète chez vous en toute confiance. Vous protégez également votre société contre les coûts et amendes que le vol et l utilisation abusive des données relatives aux cartes peuvent engendrer. Ce document vous fournit de plus amples informations concernant la norme PCI DSS. Vous y découvrirez comment développer la confiance de vos clients et obtiendrez une vue d ensemble de la procédure à mettre en place pour répondre aux exigences de la norme de sécurité. Vous trouverez également des informations concernant ce pour quoi vous êtes, ou non, responsable en tant qu entrepreneur. 3

Définition La norme de PCI DSS, qu est-ce que c est? Afin de créer un cadre clair pour la protection des données relatives aux cartes de paiement, les grandes sociétés de cartes de paiement ont défini un certain nombre de directives pour toutes les parties impliquées dans les paiements par carte. Ces directives constituent la norme PCI DSS (Payment Card Industry Data Security Standard, norme de sécurité des données de l industrie des cartes de paiement). Primary Account Numbers La norme PCI DSS s applique uniquement en cas d enregistrement, de traitement, d envoi ou de réception de Primary Account Numbers (PAN), également appelés numéros de carte complets. Pour les autres données relatives aux cartes (telles que le nom du détenteur de la carte et la date d expiration), vous ne devez prendre des mesures de protection que si vous utilisez ou enregistrez les numéros de carte correspondants. Vous ne devez en aucun cas enregistrer les données d authentification telles que le code CVC (Card Validation Code) et la valeur CVV (Card Verification Value) (qui apparaissent au verso des cartes de crédit) ou le code PIN. La règle qui s applique généralement est la suivante : vous devez enregistrer aussi peu de données relatives aux cartes que possible. L illustration ci-dessous indique clairement les données relatives aux cartes que vous pouvez ou ne pouvez pas enregistrer. Une carte MasterCard est utilisée à titre d exemple, les directives s appliquent cependant à toutes les cartes de paiement. 1 2 3 4 5 6 Les données relatives aux cartes qui doivent être protégées sont les suivantes : Données d authentification sensibles : les données suivantes ne doivent en aucun cas être enregistrées : Données de suivi de la carte (= informations complètes relatives aux cartes telles qu elles sont enregistrées sur la bande magnétique 1 et/ou la puce 2, par exemple) Card Verification Code (code à trois chiffres (CVC2, CVV2) figurant au verso dans la zone réservée à la signature 3 Code PIN 4

Les données relatives aux détenteurs de cartes qui peuvent être enregistrées (conformément aux directives de la norme PCI DSS), si cela est nécessaire pour la gestion de l entreprise, sont les suivantes : PAN (Primary Account Number = numéro de carte complet 4 ) Nom du détenteur de la carte 5 Date d expiration 6 Les données suivantes peuvent être enregistrées sous un format chiffré, à condition de ne pas être associées aux autres données relatives aux détenteurs de cartes : Montant de la transaction, date de la transaction, code d autorisation de la transaction Norme de base La norme PCI DSS est devenue la norme de base en matière de protection des données relatives aux détenteurs de cartes. Elle a pour objectif d aider les entrepreneurs à mettre en place et exécuter une politique de protection efficace. Pour pouvoir accepter les cartes de paiement, vous devez donc répondre aux exigences de la norme PCI DSS. Le respect de la norme PCI DSS vous permet de protéger vos clients et de renforcer les bases de votre entreprise. Responsabilité Si vous ne respectez pas les exigences en matière de protection des données relatives aux cartes de vos clients, vous laissez la porte ouverte aux personnes malveillantes. Vous vous exposez alors à des dommages importants. Vous êtes responsable en cas de pertes résultant directement de l utilisation de fausses cartes de paiement et/ou de données de cartes volées. Mais également des frais juridiques, des frais de remplacement des cartes de paiement, des frais d enquête, des frais liés à l atteinte à la réputation, etc. Il est également possible que l organisation de cartes vous facture une amende et ne vous autorise plus à accepter les cartes de paiement. Autant de raisons, là encore, de respecter les directives de la norme PCI DSS. 5

Objectifs Quel est l objectif de la norme PCI DSS? Avec la norme PCI DSS, les sociétés de cartes de paiement ne vous imposent pas des directives au hasard. Bien au contraire. La norme de sécurité est basée sur un certain nombre d objectifs clairs pour votre entreprise. Ces objectifs permettent à vos clients de payer de manière rapide, facile et sûre avec une carte de paiement internationale dans votre magasin ou sur votre site Web. Objectifs de la norme PCI DSS : 1. Mettre en place un réseau de paiement qui est sûr et qui reste sûr. 2. Protéger les données du détenteur de la carte (votre client). 3. Mettre en place et gérer un programme vous permettant de maîtriser les failles au niveau du système de paiement. 4. Limiter autant que possible l accès aux données relatives aux cartes de vos clients. 5. Mettre en place et gérer une infrastructure informatique fiable. 6. Exécuter une politique de protection des informations pratique et efficace. 6

Exigences de la norme PCI DSS Comment réaliser les objectifs de la norme PCI DSS? Pour chaque exigence de la norme PCI DSS, il existe des mesures pratiques permettant d atteindre les objectifs. Selon le mode d acceptation des paiements, il y a plus ou moins de mesures applicables. Le cas échéant, vous pouvez vous adresser à vos fournisseurs (prestataires de services de paiement, fournisseurs de terminaux de paiement, fournisseurs de logiciels, etc.) pour l exécution des différentes mesures. Exigences de la norme PCI DSS : Sécurité du réseau de paiement Mesure 1 : vous devez installer un pare-feu et le mettre à jour. Mesure 2 : vous ne devez pas utiliser les mots de passe standard du fournisseur du système. Protection des données relatives aux cartes Mesure 1 : vous ne devez enregistrer les données relatives aux cartes de paiement que si cela est vraiment nécessaire. Si l enregistrement est indispensable à la gestion de votre entreprise, veillez à bien protéger les données. Mesure 2 : si vous envoyez les données relatives aux cartes de vos clients via des réseaux publics, vous devez veiller à ce qu elles soient bien chiffrées. Gestion des failles de sécurité Mesure 1 : vous devez utiliser un logiciel antivirus et le mettre régulièrement à jour. Mesure 2 : vous devez protéger vos systèmes et applications et mettre régulièrement à jour la protection. Limitation de l accès Mesure 1 : vous devez attribuer aux collaborateurs un accès aux données relatives aux cartes en fonction de ce qu ils ont besoin de savoir. Mesure 2 : vous devez attribuer à chaque collaborateur ayant accès aux données un nom d utilisateur et un mot de passe uniques. Mesure 3 : vous devez limiter l accès physique aux données relatives aux cartes. Surveillance de l infrastructure informatique Mesure 1 : vous devez surveiller l accès à l ensemble des données relatives aux détenteurs de cartes et composants informatiques pertinents et contrôler régulièrement la surveillance. Mesure 2 : vous devez tester régulièrement tous les processus et composants de sécurité. Politique de protection des informations Mesure 1 : vous devez établir une politique basée sur la protection des informations et vérifier régulièrement que la pratique correspond bien à la politique définie. 7

Quatre catégories Quel type d entrepreneur êtes-vous? Il existe de nombreux types d entrepreneurs. Les sociétés de cartes de paiement ont pris cet élément en compte lors de la définition des exigences de la norme PCI DSS. Quatre catégories d entreprises ont été définies dans le cadre de la norme PCI DSS. Vous pouvez déterminer la catégorie à laquelle appartient votre entreprise en fonction du nombre de paiements par carte que vous recevez et de la manière dont vous acceptez les paiements. Si vous répondez aux exigences en vigueur pour votre catégorie, votre entreprise est conforme à la norme PCI DSS. Catégorie Caractéristiques Procédure PCI DSS obligatoire Niveau 1 Magasins physiques et achats à distance (commerce électronique, MO/TO) Niveau 2 Magasins physiques et achats à distance (commerce électronique, MO/TO) Toutes les sociétés acceptant des cartes de paiement qui comptabilisent plus de 6 millions de transactions Visa ou toutes les sociétés acceptant des cartes de paiement qui comptabilisent plus de 6 millions de transactions MasterCard et Maestro (au total) ou toutes les sociétés acceptant des cartes de paiement qui ont été exposées à une corruption des données Toutes les sociétés acceptant des cartes de paiement qui comptabilisent entre 1 et 6 millions de transactions Visa ou toutes les sociétés acceptant des cartes de paiement qui comptabilisent entre 1 et 6 millions de transactions MasterCard et Maestro (au total) Évaluation PCI DSS annuelle assurée sur site par le personnel interne accrédité du Conseil des normes de sécurité de la PCI ou par un évaluateur de sécurité qualifié (externe) agréé par le Conseil des normes de sécurité de la PCI. Analyse trimestrielle du réseau par un fournisseur d analyse approuvé. Auto-évaluation annuelle assurée par le personnel interne accrédité du Conseil des normes de sécurité de la PCI ou par un évaluateur de sécurité qualifié (externe) agréé par le Conseil des normes de sécurité de la PCI et analyse trimestrielle du réseau par un fournisseur d analyse approuvé Niveau 3 (commerce électronique uniquement) Niveau 4 Toutes les sociétés acceptant des cartes de paiement qui comptabilisent entre 20 000 et 1 million de transactions de commerce électronique Visa ou toutes les sociétés acceptant des cartes de paiement qui comptabilisent entre 20 000 et 1 million de transactions de commerce électronique MasterCard et Maestro (au total) Toutes les autres sociétés acceptant des cartes de paiement Questionnaire d auto-évaluation annuel et analyse trimestrielle du réseau par un fournisseur d analyse approuvé (la politique peut varier en fonction de l acquéreur) Questionnaire d auto-évaluation annuel et analyse trimestrielle du réseau par un fournisseur d analyse approuvé 8

Pratique (1) Comment respecter les exigences de la norme PCI DSS? Lorsque vous démarrez avec la norme PCI DSS, vous devez essentiellement utiliser votre bon sens. Avant d approfondir le contenu exact des directives, il est bon d étudier les objectifs généraux de la norme de sécurité. Cela vous permettra souvent d établir de bonnes bases pour la mise en place de la norme PCI DSS. Démarrage avec le SAQ Le questionnaire d auto-évaluation (Self Assessment Questionnaire ou SAQ) est un très bon point de départ lorsque vous démarrez avec la norme PCI DSS. Il existe cinq questionnaires différents. Le questionnaire auquel vous devez répondre dépend du mode d acceptation des paiements par carte pour lequel votre entreprise a opté. Parcourez les questions, cela vous donnera une bonne idée des exigences auxquelles vous devez répondre pour garantir des paiements sûrs. Si vous répondez déjà aux exigences, vous pouvez remplir le questionnaire d auto-évaluation et le remettre à votre acquéreur. Si vous souhaitez mettre en place la norme PCI DSS et êtes client de PaySquare, vous pouvez demander un mot de passe pour la page PCI DSS de PaySquare au service destiné aux détaillants. Le questionnaire adapté à votre entreprise est disponible via le site https://pci.paysquare.nl/default.aspx. Dans la plupart des cas, votre entreprise ne répond pas immédiatement à toutes les exigences de la norme PCI DSS. Votre entreprise peut alors commencer en prenant des mesures ou en confiant la mise en place de la norme PCI DSS à une société externe. Sur le site Web du Conseil des normes de sécurité de la PCI, vous trouverez ici l ensemble des entreprises et logiciels de paiement certifiés par le Conseil pour vous aider dans la mise en place de la norme PCI DSS. Conseils pratiques pour une mise en place réussie de la norme PCI DSS Commencez dès aujourd hui Si vous commencez tôt, vous réalisez des économies et prenez de l avance sur vos concurrents. N enregistrez pas inutilement des données La norme PCI DSS est une norme de sécurité pour l enregistrement, le traitement et l envoi de données relatives aux cartes. L enregistrement des données relatives aux cartes n est cependant pas du tout requis dans de nombreux cas. Faites la liste des données que vous souhaitez et/ou devez enregistrer et/ou des données enregistrées sans que vous le sachiez. La règle est généralement la suivante : If you don t need it, don t store it! Définissez une politique Une politique claire en matière de données relatives aux cartes de paiement est une base sur laquelle s appuyer. Définissez des procédures pour l enregistrement, le traitement et l envoi de données relatives aux cartes. Comparez les directives Il est possible que vous deviez déjà respecter certaines directives (légales), telles que celles définies dans la loi sur la protection des données personnelles, lors de l enregistrement des données relatives aux cartes de paiement. Vous pouvez déterminer à un stade précoce si les directives sont ou non conformes aux exigences de la norme PCI DSS. 9

Procédez à une analyse des écarts Vous avez besoin de connaissances spécialisées en ce qui concerne la norme PCI DSS. Pour chaque directive, déterminez si vous disposez des connaissances nécessaires en interne. Si ce n est pas le cas, faites appel à des experts externes. Définissez des accords avec vos fournisseurs Si vous souhaitez répondre aux exigences de la norme PCI DSS, les fournisseurs de matériel et de logiciels qui traitent ou envoient les données relatives aux cartes de paiement en votre nom doivent également respecter les règles de la norme PCI DSS. Ne partez pas du principe que vos fournisseurs répondent (également) aux exigences de la norme PCI DSS, prenez des engagements concrets à ce sujet. Demandez des preuves et définissez des accords contractuels. Sur le site Web du Conseil des normes de sécurité de la PCI, vous pouvez également déterminer si votre fournisseur et/ou le matériel et les logiciels installés par ses soins chez vous sont approuvés par le Conseil des normes de sécurité. Contactez vos fournisseurs Vous ne devez en aucun cas enregistrer les données de suivi (les informations complètes relatives à la carte stockées dans la bande magnétique ou la puce d une carte de paiement). Ces informations permettent de réaliser facilement des copies de carte illégales. De même, vous ne devez jamais enregistrer les données d autorisation et d authentification. Certains appareils enregistrent cependant ces informations involontairement. Demandez à votre ou vos fournisseurs de matériel et de logiciels de paiement si cela peut également être le cas pour votre infrastructure ou terminal de paiement. Repérez les données Partez à la recherche de toutes les données pertinentes pour la norme PCI DSS. Identifiez tous les flux de données et canaux de paiement et établissez une vue d ensemble de tous les lieux où les données relatives aux cartes peuvent se retrouver/se retrouvent. Faites du chiffrement une habitude Lorsque vous envoyez des données relatives aux cartes, vous devez toujours les chiffrer. Utilisez uniquement des réseaux Wi-Fi sécurisés Les réseaux sans fil non sécurisés ne peuvent être utilisés pour l envoi de données relatives aux cartes. Formez votre personnel Il n est pas nécessaire d attribuer le rôle d évaluateur de sécurité qualifié de la PCI à tous les collaborateurs, il est cependant important que tous les collaborateurs sachent qu il est nécessaire de répondre aux exigences de la norme PCI DSS. Faites attention à vos systèmes pour point de vente Les systèmes pour point de vente (association de votre caisse à un terminal de paiement et à votre logiciel administratif, par exemple) constituent souvent une faille en matière de protection des données relatives aux cartes. Veillez par conséquent à ce que votre système pour point de vente n enregistre aucune donnée relative aux cartes complète et surtout aucune information du type Card Verification Value/Code. Il est interdit d imprimer le numéro de carte de crédit à 16 chiffres complet sur un ticket. Protégez les systèmes de manière physique également Veillez à ce que seuls vos collaborateurs compétents aient accès à vos systèmes de paiement. Enregistrez le processus Enregistrez dans un journal les mesures prises pour répondre aux exigences de la norme PCI DSS. 10

Pratique (2) Comment rester en conformité avec les exigences de la norme PCI DSS? Si vos paiements respectent les directives de la norme PCI DSS, vous et vos clients êtes assurés de paiements sûrs et responsables. Vous devez cependant veiller à ce que votre mode de traitement des données relatives aux cartes de paiement reste conforme aux exigences de la norme à l avenir. Conseils pratiques pour préserver la conformité à la norme PCI DSS Répétez encore et encore Portez régulièrement le thème de la norme PCI DSS à l attention de vos collaborateurs. Définissez des directives claires et simples. Limitez l accès Limitez en permanence l accès aux données relatives aux cartes. L association nom d utilisateur/ mot de passe doit uniquement être communiquée aux collaborateurs dont vous savez qu ils doivent vraiment travailler avec les données. Effacez régulièrement Identifiez régulièrement les données des clients dont vous n avez pas/plus besoin et effacez-les directement. Mettez en place un scénario du pire Veillez à exclure tous les problèmes possibles avec les données relatives aux cartes de vos clients. Et soyez néanmoins préparé à ce que des problèmes surviennent. Pensez à ce que vous et vos collaborateurs devez alors faire. Mettez en place des scénarios d urgence. Contrôlez en permanence Contrôlez régulièrement la sécurité du système et les journaux de surveillance. 11

Lutter ensemble contre la fraude Où commence et où se termine votre responsabilité? Les paiements par carte sont faciles, sûrs et efficaces. Pour vos clients, vous utilisez des dispositifs techniques sûrs et travaillez avec des fournisseurs et des partenaires fiables pour vos paiements. Avec la norme PCI DSS, les sociétés de cartes de paiement soutiennent vos efforts pour protéger de manière optimale les données relatives aux cartes de vos clients. Votre responsabilité en ce qui concerne la protection des données porte sur les aspects suivants du paiement : les appareils que vous utilisez pour lire les cartes de crédit et autres cartes de paiement de vos clients, les terminaux de paiement que vous utilisez dans votre ou vos magasins (systèmes pour point de vente), les réseaux et le matériel qui jouent un rôle dans vos paiements (serveurs, routeurs sans fil, modems, etc.), le stockage, le traitement et l envoi des données relatives aux cartes de paiement, la protection du matériel et des logiciels de toutes les parties associées au paiement, l accès physique aux principaux composants informatiques et aux données relatives aux détenteurs de cartes. Vos fournisseurs disposent de leurs propres normes de sécurité En tant qu entrepreneur, vous n êtes bien évidemment pas le seul responsable de la sécurité des paiements. D autres parties impliquées jouent également un rôle et doivent respecter la norme PCI DSS. Vous avez ainsi besoin d un terminal de paiement ou d une caisse Internet et d un logiciel de paiement. Il existe des normes de sécurité spécifiques pour les fabricants et les fournisseurs de terminaux de paiement et pour les fournisseurs de logiciels de paiement. Conformément aux exigences de la norme PCI DSS, vous devez toujours utiliser une application de paiement/un terminal de paiement et faire appel à un fournisseur de logiciels qui respectent ces normes. Les fournisseurs d applications de paiement certifiées sont répertoriés ici. Norme PCI DSS et après? Lorsque vous respectez les exigences de la norme PCI DSS, vous contribuez de manière importante à la protection de données essentielles pour vos clients. La norme de sécurité des sociétés de cartes de paiement ne rend bien évidemment pas les autres directives (légales) superflues. Vous devez ainsi également respecter la loi sur la protection des données personnelles en cas d enregistrement, de traitement et d envoi des données relatives aux cartes de vos clients. La loi vous oblige à traiter les données de vos clients de manière sérieuse et sûre et impose également des limitations concernant la manière dont vous pouvez utiliser les données de vos clients pour des activités commerciales. 12

Risques À quelles formes de fraude êtes-vous exposé? Il existe différentes formes de fraude. Chaque mode d acceptation des cartes de paiement présente des risques spécifiques. Et dispose de mesures spécifiques pour réduire les risques. Le document de présentation technique PaySquare consacré à la fraude avec des cartes de crédit et des cartes de paiement internationales vous propose de plus amples informations concernant les modes de détection et de prévention de la fraude. Vous trouverez ci-dessous des explications concernant quelques cas spécifiques de fraude possible. Un terminal de paiement autonome dans le magasin Il existe, même si votre caisse et le terminal de paiement de votre magasin ne sont pas connectés l un à l autre, un risque de manipulation du terminal de paiement ou de la connexion de données. Des criminels peuvent ainsi intercepter les données relatives aux cartes et/ou aux transactions de vos clients. Que pouvez-vous faire? Assurez-vous régulièrement (chaque matin de préférence) de l absence de signes de manipulation au niveau de votre terminal de paiement et de la connexion. Si vous suspectez une manipulation de votre terminal de paiement et/ou de vos connexions et/ou de vos câbles par des personnes non autorisées, votre fournisseur peut vous aider. Un terminal de paiement du magasin est connecté à la caisse Si votre caisse et votre terminal de paiement sont connectés l un à l autre, la ligne de communication et/ou le logiciel de paiement peuvent être piratés et les données relatives aux cartes obtenues à partir de votre système. Des logiciels malveillants peuvent être installés au niveau du système. Que pouvez-vous faire? Veillez à ce que la protection soit suffisante et utilisez un chiffrement efficace lors du transfert de données. Un terminal de paiement intégré dans le magasin La ligne de communication peut être piratée même si vous utilisez un équipement associant le terminal de paiement et la caisse. Ces équipements étant essentiellement présents chez les entrepreneurs possédant plusieurs établissements, le piratage des connexions entre les filiales et le siège est possible. Que pouvez-vous faire? Vous devez établir des accords clairs avec votre fournisseur informatique. Vous devez également vérifier que les produits du fournisseur répondent aux directives définies par le Conseil des normes de sécurité de la PCI. 13

Une boutique en ligne utilisant la page de paiement d un prestataire de services de paiement De nombreux commerçants en ligne utilisent la page de paiement d un prestataire de services de paiement pour les paiements par carte. Les prestataires de services de paiement doivent également régulièrement vérifier que leurs procédures sont conformes aux exigences de la norme PCI DSS. Vous devez cependant veiller vous-même à ce que le prestataire de services de paiement avec lequel vous travaillez respecte bien les directives de la norme PCI DSS. Si la page de paiement de votre prestataire de services de paiement n est pas configurée sérieusement et que des données relatives aux cartes sont enregistrées, cela peut avoir des conséquences pour vos clients. Que pouvez-vous faire? Indiquez, dans le contrat avec votre prestataire de services de paiement, que la page de paiement doit toujours répondre aux directives de la norme PCI DSS. Veillez également à mettre en place des mesures de sécurité telles qu un logiciel antivirus et un pare-feu, faute de quoi votre boutique en ligne sera exposée au piratage. Une boutique en ligne avec une page de paiement propre Les commerçants en ligne avec une page de paiement propre s exposent à des risques (bien trop) nombreux. Que pouvez-vous faire? De nombreux acquéreurs n acceptent pas les commerçants en ligne disposant d une page de paiement propre (et ne dépendant donc pas d un prestataire de services de paiement). Utilisez une page de paiement d un prestataire de services de paiement qui répond aux exigences de la norme PCI DSS de manière à limiter autant que possible les risques de fraude et les risques au niveau de la protection. Acceptation des cartes de crédit pour les commandes MO/TO Si vous effectuez des ventes par la poste ou par téléphone (MO/TO), vous pouvez saisir manuellement les données relatives aux cartes de crédit via un prestataire de services de paiement sélectionné par PaySquare. L enregistrement ou la communication de données relatives aux cartes avec les clients par courrier électronique (ou via un site Web) présente alors des risques. Que pouvez-vous faire? N enregistrez aucune donnée relative aux cartes de crédit de vos clients. Assurez-vous également de bien chiffrer les informations envoyées dans le cadre de la communication portant sur la commande. 14

Explications Malentendus au sujet de la norme PCI DSS Il existe encore de nombreux malentendus au sujet de la protection des données relatives aux cartes. Et au sujet de la norme PCI DSS. En voici quelques-uns. Malentendu 1 La norme PCI DSS est une recommandation et non une directive. Les sociétés de cartes de paiement ont le droit de déterminer comment vous, en tant qu entrepreneur, devez gérer les données relatives aux cartes. Vous devez donc répondre aux exigences de la norme PCI DSS pour pouvoir accepter des paiements par carte. Malentendu 2 J ai uniquement besoin de faire effectuer une analyse par un fournisseur d analyse approuvé pour être conforme à la norme PCI DSS. L analyse de sécurité effectuée par un fournisseur d analyse approuvé n est qu une étape de la procédure. En tant qu entrepreneur, vous devez également généralement remplir chaque année le questionnaire d auto-évaluation. Malentendu 3 J accepte très peu de paiements de carte, je n ai donc pas besoin de respecter les exigences de la norme PCI DSS. Votre entreprise doit respecter les directives de la norme PCI DSS pour l acceptation de ne serait-ce qu un paiement par carte. Malentendu 4 Je n enregistre aucune donnée relative aux cartes, je ne suis donc pas concerné par la norme PCI DSS. La norme PCI DSS est une norme de sécurité pour l enregistrement, le traitement et l envoi de données relatives aux cartes. Vous devez donc respecter la plupart des directives de la norme PCI DSS. Et d ailleurs, êtes-vous bien sûr de n enregistrer aucune donnée relative aux cartes? Malentendu 5 (reportez-vous au tableau de la page 8) Les sociétés de cartes de paiement n imposent jamais d amendes aux petites entreprises. Si des données relatives aux cartes sont volées au sein de votre entreprise, vous devez pouvoir démontrer que vous répondiez aux exigences de la norme PCI DSS au moment du vol. Si vous n êtes pas en mesure de le faire, les dommages vous sont imputés, quelle que soit la taille de votre entreprise. Vous pouvez en outre être exclu des programmes d acceptation des paiements par carte et vous retrouver classé dans une catégorie Merchant Level de niveau supérieur (reportez-vous au tableau de la page 9), avec des obligations plus strictes et des coûts d audit plus élevés. 15

Malentendu 6 La norme PCI DSS s applique uniquement au commerce électronique. Tous les entrepreneurs qui enregistrent, traitent et/ou envoient des données relatives aux cartes doivent répondre aux exigences de la norme PCI DSS. Cela vaut également pour les magasins physiques (points de vente) et les entrepreneurs qui traitent des commandes par la poste et des achats par téléphone (MO/TO). Malentendu 7 Le fait de renseigner le questionnaire d auto-évaluation suffit à répondre aux exigences de la norme PCI DSS. Le questionnaire d auto-évaluation correspond à un moment dans le temps. En tant qu entrepreneur, vous devez respecter en permanence les exigences de la norme PCI DSS. En cas de problème avec les données relatives aux cartes de paiement, vous devez pouvoir démontrer votre conformité à la norme PCI DSS à ce moment précis. Malentendu 8 La norme PCI DSS laisse trop de place à l interprétation. La norme PCI DSS est la liste la plus spécifique d exigences de sécurité définie par le secteur jusqu à présent. Contrairement à d autres normes en matière de protection (SOX, ISO, ISO 27002), la norme PCI DSS offre plus qu un cadre. La norme décrit les exigences et les procédures en détail. Malentendu 9 Avec une application certifiée PA DSS, je réponds aux exigences de la norme PCI DSS. L utilisation d une application certifiée PA DSS n est qu une étape. Vous devez également respecter l ensemble des exigences et des contrôles qui permettent de veiller à ce que les réseaux et les serveurs répondent aux exigences de la norme PCI DSS. Si vous externalisez la gestion du système, le gestionnaire doit respecter les exigences. 16

Terminologie Glossaire de la norme PCI DSS Acquéreur Les acquéreurs assurent l exécution des paiements par carte pour l entrepreneur. L acquéreur conclut pour cela un contrat de licence avec une organisation de cartes (internationale). Attestation of Compliance (AoC) Déclaration de conformité dans laquelle vous confirmez avoir rempli le questionnaire d auto-évaluation conformément à la vérité. Approved Scanning Vendor (ASV) Les fournisseurs d analyse approuvés (Approved Scanning Vendors ou ASV) procèdent à des analyses auprès des entreprises pour tester les réseaux et systèmes informatiques des entreprises qui acceptent des cartes. Ils doivent être certifiés par le Conseil des normes de sécurité de la PCI. La liste des entreprises certifiées est disponible sur le site Web du Conseil de sécurité de la PCI : www.pcisecuritystandards.org. La plupart des réseaux et systèmes informatiques doivent être analysés tous les trois mois. L analyse peut généralement être effectuée à distance. La procédure est comparable à une analyse antivirus sur un PC. Certification Lors d une procédure de certification, l organisme de certification détermine si un entrepreneur répond à certaines règles et exigences au moment de la certification. Conformité Respect de certaines lois et/ou règles. Corruption Manipulation, vol ou perte de données et/ou de systèmes ou du contrôle des données et/ou systèmes dans le but de procéder à une utilisation abusive. Payment Service Provider (PSP) Le prestataire de services de paiement (PSP) assure la connexion technique entre un entrepreneur et l acquéreur et traite les transactions par carte. Il propose également d autres produits et services pour le traitement des paiements (électroniques) les plus variés. PCI DSS Ensemble de directives définies par les grandes sociétés de cartes de paiement (dont Visa et Master- Card) et destinées à protéger les cartes de paiement contre les tentatives d utilisation abusive. Tous les acteurs de la chaîne de paiements avec des cartes de paiement (entrepreneurs, acquéreurs, prestataires de services de paiement, fournisseurs informatiques, etc.) doivent répondre aux exigences de la PCI. 17

Qualified Security Assessor (QSA) Spécialiste de la protection informatique accrédité par le Conseil des normes de sécurité de la PCI pour exécuter des contrôles de sécurité (évaluations sur site) auprès des sociétés qui acceptent des cartes et des sociétés de traitement. Exonération Si un commerçant en conformité avec la norme PCI DSS est victime d une corruption de données, la société de cartes de paiement peut, dans certaines conditions, réduire ou annuler les amendes imposées. Security Audit Contrôle de sécurité physique sur le site de l entrepreneur. Les locaux des serveurs sont alors également inspectés et des entretiens sont organisés avec les collaborateurs. Security scan Analyse pour détecter d éventuelles failles au niveau de l infrastructure informatique ou de la configuration des systèmes. Les analyses de sécurité sont généralement effectuées en ligne. Self Assessment Questionnaire (SAQ) Un SAQ est un questionnaire via lequel un entrepreneur fournit à son acquéreur des informations concernant la mise en application des directives de la norme PCI DSS au sein de son entreprise. Il existe différents questionnaires pour les différentes catégories d entreprises. Les questionnaires portent sur la manière dont l entrepreneur accepte et traite les paiements par carte, ainsi que sur les informations générales (relatives à l entreprise), les accords (contractuels) avec d autres entreprises et les détails techniques. Selon la catégorie de commerçant (reportez-vous au tableau de la page 9), le SAQ doit généralement être rempli par le commerçant et remis à l acquéreur une fois par an. 18

Pour plus d informations Pour plus d informations, consultez le site www.paysquare.eu. Consultez notre section de téléchargements pour d autres documents de présentation technique, brochures et guides d informations. Vous pouvez également consulter les sites Web suivants. www.paysquare.eu www.visa.com www.mastercard.com www.pcisecuritystandards.org Coordonnées Vous avez d autres questions? N hésitez pas à contacter notre service clientèle. Depuis la Belgique : T 02 700 68 48 E service@be.paysquare.eu www.paysquare.be/fr Depuis le Luxembourg : T 24 871 877 E service@lu.paysquare.eu www.paysquare.lu Le contenu du présent document n accorde aucun droit. Les présentes informations sont disponibles auprès de sources accessibles au grand public. Sous réserve de fautes typographiques et d erreurs d impression. En tant que partenaire de paiement professionnel, nous vous informons volontiers au sujet des paiements, de manière proactive et objective, par le biais de nos documents. Nous proposons des solutions pour les thèmes les plus variés, en relation avec les besoins concrets du marché. Nos documents de présentation technique sont disponibles dans la rubrique Téléchargements de notre site Web. 19

10.10 BLF 12.15 PaySquare SE Eendrachtlaan 315 3526 LB Utrecht Boîte Postale 30600 3503 AJ Utrecht Pays-Bas PaySquare SE, CCI 30196418 Depuis la Belgique: T 02 700 68 48 E service@be.paysquare.eu W www.paysquare.be/fr Depuis le Luxembourg: T 24 871 877 E service@lu.paysquare.eu W www.paysquare.lu