Industrie des cartes de paiement (PCI) Norme de sécurité des données

Documents pareils
Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité

PCI (Payment Card Industry) Data Security Standard

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

Comprendre l'objectif des conditions

Récapitulatif des modifications entre les versions 2.0 et 3.0

Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS?

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d application de paiement (PA-DSS)

Payment Card Industry (PCI) Normes en matière de sécurité des données

Sécurité des cartes de crédit pour les hôtels

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d'application de paiement (PA-DSS)

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

PCI DSS un retour d experience

Guide d utilisation Billetterie FFR. Avril 2014 V0

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Foire aux questions (FAQ)

MISE EN CONFORMITÉ AVEC LA NORME PCI DSS : INTRODUCTION. Par Eric Chauvigné

Paiements, les paiements échelonnés, le calcul des intérêts et la facturation mensuelle

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Une approche à multiples niveaux en matière de sécurité des cartes de paiement

Formations qualifiantes dans le domaine du paiement électronique

Site Web e-rcs GUIDE UTILISATEUR SAFERPAY V1.5

FOIRE AUX QUESTIONS PAIEMENT PAR INTERNET. Nom de fichier : Monetico_Paiement_Foire_aux_Questions_v1.7 Numéro de version : 1.7 Date :

Cisco Certified Network Associate

Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA. à la norme PCI-DSS, level 1

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Pré qualification Mission de Contrôle

Traitement de Visa Débit

Guide administrateur AMSP

RENSEIGNEMENTS IMPORTANTS AU SUJET DE VOTRE FORMULAIRE DE DEMANDE D INDEMNITÉ

DOSSIER DE CREATION / CHANGEMENT DE DELEGATION D UN NOM DE DOMAINE EN PRD.FR

Formulaire de demande de renouvellement au Tableau des membres

SOLUTIONS DE MESSAGERIE SÉCURISÉE POUR L'ENTREPRISE

ccredit Des paiements sans frontières en toute sécurité. Paiements par carte au point de vente (POS).

SUJET EPREUVE ECRITE. JURY ASI Bap E Gestionnaire de parc informatique et Télécom.

Nokia Internet Modem Guide de l utilisateur

Accéder à ZeCoffre via FTP

Guide pour demander le crédit d impôt à l innovation de l Ontario (CIIO)

Gestionnaire des services Internet (IIS)

Comment paramétrer manuellement mon mobile pour accéder à la 2G/3G+ et configurer mes s?

Formations certifiantes dans le domaine du paiement électronique

LIVRE BLANC. Migration de Magento Community Edition MD à Magento Enterprise Edition MD

Erreurs les plus fréquentes Guide de dépannage

Serveur FTP. 20 décembre. Windows Server 2008R2

Pour un nouveau-né, veuillez remplir le Formulaire d inscription au régime d assurance-maladie pour nouveau-nés.

Meilleures pratiques de l authentification:

Pré qualification d entreprises de Génie Civil

PCI-DSS : un standard contraignant?!

Traçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente

L'Etat belge, représenté par Belnet, Service d'etat à gestion séparée. Localité/Ville: Bruxelles Code postal: 1050

Terminal Server RemoteAPP pour Windows Server 2008

Payment Card Industry (PCI) Normes en matière de sécurité des données. Glossaire, abréviations et acronymes

Informations. sur la solution E-paiement de Saferpay

Acceptation de Visa Débit par les marchands du commerce électronique. Foire aux questions et schéma de procédé

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.

Le rôle Serveur NPS et Protection d accès réseau

INFO CLIENT. si pas de code UCM: veuillez joindre une confirmation du prestataire luxembourgeois de la relation

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

Payment Card Industry (PCI) Normes en matière de sécurité des données. Version 1.1

Service de certificat

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

1. Le service, en bref Avantages Contexte Clients actuels et cibles Description du service

Je joins à mon envoi :

Carte jeune 2014 Questions / Réponses

Formulaire A Évaluation des diplômes et des compétences Demande d inscription

Qu est-ce qu un outil de travail collaboratif Google Drive?

Panorama sur les nouveaux modes de paiement

SAXO BANque. Offre spéciale TalenTs du Trading INSTRUCTIONS POUR REMPLIR CE FORMULAIRE

Sécurité des cartes de crédit pour les hôtels

d authentification SSO et Shibboleth

Version: 1.1 Date du document: 07 Novembre 2013 N du document: Guide Utilisateur Mandant. Guide utilisateur Mandant Page 1 de 20

Compagnie des Transports Strasbourgeois. 1. La vente en ligne : comment ça marche? Avant de recharger ma carte BADGEO... 2

Je joins à mon envoi :

SERVICES EN LIGNE DES SUBVENTIONS ET DES CONTRIBUTIONS

AIDE MEMOIRE. Forprev. De l habilitation à la gestion de sessions. Page 1 sur 55

Offre spéciale en partenariat avec ABC Bourse

Par Scannez le formulaire et les documents demandés et envoyez-les à l adresse conseiller@saxobanque.fr.

- Compléter, dater et signer le présent formulaire d adhésion

Je joins à mon envoi :

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Manuel d'accompagnement à l'enregistrement d'un patient dans «MonDossierMedical.ch»

STOCKAGE ET CONSERVATION DE L INFORMATION RELATIVE AUX CARTES DE CRÉDIT

- Compléter, dater et signer le présent formulaire d adhésion ;

RESUME DES CONCLUSIONS SUR LE RISQUE OPERATIONNEL. No Objet Remarques et Conclusions du superviseur. Observations après un entretien

3-4 Etape 4 : Se connecter au SIV ou au SIT grâce au certificat numérique 3-5 Etape 5 : Changer de certificat quand l ancien arrive à expiration

PFE. Gestion de portefeuille électronique par carte à puce. Equipe N 16 Projet N 98. «Sujet non industriel proposé par les élèves»

ANNEXE II QUESTIONNAIRE ET LISTE DE VERIFICATION

Questions / Réponses. Comment créer son compte sous TelePAC?

PROPOSITION RESPONSABILITE CIVILE AGENCES DE VOYAGES

1. Mise en œuvre du Cegid Web Access Server en https

Génération de scripts automatiques pour la sécurité des cartes bancaires nouvelle génération (EMV)

CONVENTION INDIVIDUELLE D HABILITATION. «société d assurance indépendante» (Convention complète)

Conditions Générales d Utilisation des cartes cadeaux CA DO CARTE au 12/09/2013 (Applicables aux Cartes d un montant inférieur ou égal à 150 )

Transcription:

Industrie des cartes de paiement (PCI) Norme de sécurité des données Attestation de conformité du Questionnaire d'auto-évaluation B-IP Version 3.0 Février 2014

Section 1 : Informations relatives à l évaluation Instructions de transmission Ce document doit être complété en tant que déclaration des résultats de l auto-évaluation du commerçant visà-vis des Conditions et procédures d évaluation de sécurité de la norme de sécurité des données du secteur des cartes de paiement (PCI DSS). Complétez toutes les sections : Le commerçant est responsable de s assurer que chaque section est remplie par les parties pertinentes, le cas échéant. Contacter l acquéreur (la banque du commerçant) ou la marque de paiement pour déterminer les procédures de rapport et de demande. Partie 1. Informations sur l évaluateur de sécurité qualifié et le commerçant Partie 1a. Informations sur le commerçant Nom de la société : DBA (nom commercial) : Nom du contact : Poste occupé : Nom(s) ISA (le cas échéant) : Poste occupé : Téléphone : E-mail : Adresse professionnelle : Ville : État/province : Pays : Code postal : URL : Partie 1b. Informations sur la société QSA (le cas échéant) Nom de la société : Nom du principal contact QSA : Poste occupé : Téléphone : E-mail : Adresse professionnelle : Ville : État/province : Pays : Code postal : URL : Partie 2. Résumé Partie 2a. Type d entreprise du commerçant (cocher toutes les cases adéquates) Détaillant Télécommunications Épiceries et supermarchés Pétrole Commerce électronique Commande par courrier/téléphone (MOTO) Autres (préciser) : Quels types de réseaux de paiement votre entreprise sert-elle? Commande postale/commande par téléphone (MOTO) Quels réseaux de paiement sont couverts par ce SAQ? Commande postale/commande par téléphone 2006-2014 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 1

Commerce électronique Carte présente (face à face) (MOTO) Commerce électronique Carte présente (face à face) Remarque : Si votre organisation utilise un réseau ou un processus de paiement qui n est pas couvert par ce SAQ, consultez votre acquéreur ou votre marque de paiement à propos de la validation des autres réseaux. Partie 2b. Description de l entreprise de carte de paiement Comment et dans quelle mesure votre entreprise stocke-t-elle, traite-t-elle et/ou transmet-elle des données de titulaires de carte? Partie 2c. Emplacements Énumérer les types de locaux et un résumé des emplacements inclus dans l examen PCI DSS (par exemple : commerces de détail, siège social, centre de données, centre d appel, etc.) Type de local Emplacement(s) du local (ville, pays) Partie 2d. Application de paiement Est-ce que l organisation utilise une ou plusieurs applications de paiement? Fournir les informations suivantes concernant les applications de paiement utilisées par votre organisation : Nom de l application de paiement Numéro de version Vendeur de l application L application est-elle listée PA-DSS? Date d expiration du listing PA-DSS (le cas échéant) Partie 2e. Description de l environnement Donner une description détaillée de l environnement couvert par cette évaluation. Par exemple : Connexions entrantes et sortantes à l environnement de données de titulaire de carte (CDE). Composants critiques du système dans le CDE, tels que les appareils de POS, les bases de données, les serveurs Internet, etc., ainsi que les autres composants de paiement nécessaires, le cas échéant. 2006-2014 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 2

Est-ce que votre entreprise utilise la segmentation de réseau pour affecter la portée de votre environnement PCI DSS? (Consulter la section «Segmentation de réseau» de PCI DSS pour les recommandations concernant la segmentation de réseau) Partie 2f. Prestataires de services tiers Est-ce que votre société partage des données de titulaire de carte avec des prestataires de service tiers (par exemple, passerelles, services de traitement de paiement, services de prestataires de paiement (PSP), prestataires de services d hébergement sur le Web, organisateurs de voyages, agents de programmes de fidélisation, etc.)? Si oui : Nom du prestataire de services : Description du service fourni : Remarque : La condition 12.8 s applique à toutes les entités de cette liste. Partie 2g. Admissibilité à utiliser le questionnaire SAQ B-IP Le commerçant certifie son admissibilité à compléter cette version abrégée du Questionnaire d auto-évaluation dans la mesure où, pour ce réseau de paiement : Le commerçant utilise un périphérique autonome approuvé PTS de point d interaction (à l exception des SCR), connecté par IP à son service de traitement de paiement pour prendre les informations de carte de paiement de votre client ; Les périphériques de POI à connexion IP sont validés pour le programme PTS POI ainsi qu il est mentionné sur le site Internet PCI SSC (à l exception des SCR) ; Les périphériques de POI autonomes à connexion IP ne sont connectés à aucun autre système dans l environnement du commerçant (cela peut être obtenu en utilisant la segmentation de réseau pour isoler les autres périphériques POI des autres systèmes) ; La seule transmission de données de titulaire de carte a lieu à partir des périphériques de POI approuvés par PTS vers le service de traitement de paiement ; Le périphérique de POI ne dépend pas d autres appareils (par ex ordinateur, téléphone mobile, tablette, etc.) pour se connecter au service de traitement de paiement ; Le commerçant conserve uniquement des reçus ou des rapports papier avec les données de titulaire de carte, sans recevoir ces documents au format électronique ; et Le commerçant ne stocke pas les données de titulaire de cartes au format électronique. 2006-2014 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 3

Section 2 : Questionnaire d auto-évaluation B-IP Cette attestation de conformité reflète les résultats d'une auto-évaluation, qui est un document dans un SAQ s'y rattachant. L'évaluation documentée dans cette attestation et dans le SAQ a été réalisée le : Des contrôles compensatoires ont-ils été utilisés pour répondre à une éventuelle condition du SAQ? Avez-vous identifié des conditions du SAQ qui n'étaient pas applicables? Des conditions du SAQ n'ont-elles pas pu être satisfaites en raison d'une contrainte juridique? 2006-2014 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 4

Section 3 : Détails d attestation et de validation Partie 3. Validation de la norme PCI DSS En se basant sur les résultats mentionnés dans le SAQ B-IP en date du (date d achèvement), les signataires identifiés dans les parties 3b-3d, le cas échéant, confirment le statut de conformité suivant pour l entité identifiée dans la partie 2 de ce document en date du (date) : (biffer la mention applicable) : Conforme : Toutes les sections du SAQ PCI DSS sont remplies, toutes les questions ayant eu une réponse affirmative, ce qui justifie une classification globale comme CONFORME, ainsi (nom de la société de commerçant) a apporté la preuve de sa pleine conformité à la norme PCI DSS. conforme : Les sections du questionnaire SAQ PCI DSS ne sont pas toutes complétées ou certaines questions n ont pas une réponse affirmative, ce qui justifie sa classification globale comme NON CONFORME, ainsi (Nom de la société du commerçant) n a pas apporté la preuve de sa pleine conformité à la norme PCI DSS. Date cible de mise en conformité : Une entité qui soumet ce formulaire avec l état conforme peut être invitée à compléter le plan d action décrit dans la Partie 4 de ce document. Vérifier auprès de votre acquéreur ou de la ou des marques de paiement avant de compléter la Partie 4. Conforme, mais avec exception légale : Une ou plusieurs conditions donnent lieu à une mention en raison d une restriction légale qui ne permet pas de respecter la condition. Cette option nécessite un examen supplémentaire de la part de l acquéreur ou de la marque de paiement. Si elle est cochée, procéder comme suit : Condition affectée Détails de la manière avec laquelle les contraintes locales empêchent que la condition soit respectée. Partie 3a. Reconnaissance du statut Le ou les signataires confirment : (Cocher toutes les mentions applicables) Le questionnaire d auto-évaluation B-IP PCI DSS, version (n de version du SAQ), a été complété conformément aux instructions fournies. Toutes les informations présentes dans le SAQ susmentionné ainsi que dans cette attestation illustrent honnêtement les résultats de mon évaluation à tous points de vue. J ai vérifié auprès de mon fournisseur d application de paiement que mon système de paiement ne stocke pas de données d authentification sensibles après autorisation. J ai lu la norme PCI DSS et je reconnais être tenu de maintenir la pleine conformité à cette norme, ainsi qu elle s applique à mon environnement, à tout moment. Si mon environnement change, je reconnais que je dois procéder à une nouvelle évaluation de mon environnement et implémenter toute condition PCI DSS applicable. 2006-2014 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 5

Partie 3a. Reconnaissance du statut (suite) Aucune preuve de stockage de données de bande magnétique 1, de données CAV2, CVC2, CID ou CVV2 2, ou de données de code PIN 3 après transaction n a été trouvée sur AUCUN système examiné pendant cette évaluation. Les analyses ASV sont effectuées par le fournisseur d analyse approuvé par le PCI SSC (nom de l ASV) Partie 3b. Attestation de commerçant Signature du représentant du commerçant Date : Nom du représentant du commerçant : Poste occupé : Partie 3c. Reconnaissance QSA (le cas échéant) Si un QSA a pris part ou a aidé à cette évaluation, décrire la fonction remplie : Signature du QSA Date : Nom du QSA : Société QSA : Partie 3d. Reconnaissance ISA (le cas échéant) Si un ISA a pris part ou a aidé à cette évaluation, décrire la fonction remplie : Signature de l ISA Date : Nom de l ISA : Poste occupé : 1 2 3 Données encodées sur la bande magnétique ou données équivalentes sur une puce utilisées pour une autorisation lors d une transaction carte présente. Les entités ne peuvent pas conserver l ensemble des données de piste après autorisation des transactions. Les seuls éléments de données de piste pouvant être conservés sont le numéro de compte primaire (PAN), la date d expiration et le nom du titulaire de carte. La valeur à trois ou quatre chiffres imprimée sur l espace dédié à la signature ou au verso d une carte de paiement, utilisée pour vérifier les transactions carte absente. Les données PIN (Personal Identification Number, numéro d identification personnel) saisies par le titulaire de la carte lors d une transaction carte présente et/ou le bloc PIN crypté présent dans le message de la transaction. 2006-2014 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 6

Partie 4. Plan d action pour les conditions non conformes Sélectionner la réponse appropriée pour «conforme aux conditions PCI DSS» pour chaque condition. Si votre réponse est à la moindre condition, vous êtes susceptible de devoir indiquer la date à laquelle votre société s attend à être conforme à la condition et une brève description des actions prises pour respecter la condition. Vérifier auprès de votre acquéreur ou de la ou des marques de paiement avant de compléter la Partie 4. Condition PCI DSS Description de la condition Conforme aux conditions de la norme PCI DSS (Sélectionner un point) OUI NON Date et actions de mise en conformité (si «NON» a été sélectionné pour la moindre des conditions) 1 Installer et gérer une configuration de pare-feu pour protéger les données du titulaire 2 Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur 3 Protéger les données du titulaire stockées 4 Crypter la transmission des données du titulaire sur les réseaux publics ouverts 6 Développer et maintenir des systèmes et des applications sécurisés 7 Restreindre l accès aux données du titulaire aux seuls individus qui doivent les connaître 8 Identifier et authentifier l accès à tous les composants du système 9 Restreindre l accès physique aux données du titulaire 11 Tester régulièrement les processus et les systèmes de sécurité 12 Gérer une politique de sécurité des informations pour l ensemble du personnel 2006-2014 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back