Foire aux questions (FAQ) Norme de sécurité des données du secteur des cartes de paiement (PCI DSS) Qu est-ce que la Norme PCI DSS? Qui définit cette Norme? Où puis-je obtenir plus d informations sur la norme PCI DSS en son état actuel ou sur les programmes de sécurité propres à chaque marque de carte bancaire? Je suis un petit commerçant et mon volume de transactions effectuées par cartes de paiement est assez faible. Dois-je me conformer à la norme PCI DSS? Détails du programme Quelles démarches dois-je entreprendre? Vais-je recevoir un document attestant que je suis bien en conformité? Si oui, ce document sera-t-il automatiquement transmis à Visa ou à Mastercard? Dois-je effectuer cette démarche une seule fois? Combien de temps cela nécessite-t-il? Qu adviendra-t-il si mon entreprise n obtient pas la certification PCI? Y a-t-il une date limite pour se mettre en conformité avec cette norme? Vue d ensemble de TrustKeeper Qu est-ce que Trustwave? Qu est-ce que TrustKeeper? Qu est-ce que l agent TrustKeeper?
Norme de sécurité des données du secteur des cartes de paiement (PCI DSS) Qu est-ce que la norme PCI DSS? Qui définit cette norme? La Norme de sécurité des données du secteur des cartes de paiement (PCI DSS) réunit plusieurs conditions visant à améliorer la sécurité des données de compte de paiement, principalement en vue de réduire le nombre de vols de données de cartes de crédit et d éviter les fraudes. Elle concerne tous les commerçants qui acceptent des paiements par cartes de crédit et par cartes de débit, que leur volume de transactions de ce type soit important ou non, ainsi qu à toutes les entreprises qui doivent stocker, traiter et transmettre des numéros de cartes bancaires dans le cadre de leur activité. La norme PCI DSS a été rédigée par les marques de systèmes de paiement qui ont fondé le Conseil des normes de sécurité PCI (American Express, Discover Financial Services, JCB, MasterCard Worldwide et Visa International), afin de faciliter l adoption de normes de sécurité des données homogènes au niveau mondial. La norme PCI DSS définit notamment les exigences à respecter en matière de gestion de la sécurité, de réglementations, de procédures, d architecture réseau, de conception de logiciel et d autres mesures de protection essentielles, visant à protéger les données de compte des clients de façon proactive Où puis-je obtenir plus d informations sur la norme PCI DSS en son état actuel ou sur les programmes de sécurité propres à chaque marque de carte bancaire? Le cadre de la norme PCI DSS est géré dans son intégralité par le Conseil des normes de sécurité PCI et peut être téléchargé ici: PCI Security Standards Council http://pcisecuritystandard.org Les marques de carte ont chacune leur propre programme visant à aider les entreprises à se mettre en conformité avec la norme PCI DSS. Fondé en 2006, le Conseil des normes de sécurité PCI a pour but de contrôler la norme elle-même, mais chacune des marques de carte est en mesure d infliger des amendes et des frais, et de fixer des dates limites, dans le cadre de son propre programme de mise en application. Visa s Cardholder Information Security Program (CISP) http://www.visa.com/cisp MasterCard s Site Data Protection (SDP) program https://sdp.mastercardintl.com/index.shtml Discover s Discover Information Security and Compliance (DISC) program http://www.discovernetwork.com/merchant/resources/data/data_security.html American Express Data Security Operating Policy (DSOP) http://www.americanexpress.com/datasecurity Je suis un petit commerçant et mon volume de transactions effectuées par cartes de paiement est assez faible. Dois-je me conformer à la norme PCI DSS? Oui. Tous les commerçants qui stockent, traitent ou transmettent des données de titulaires de carte bancaire doivent obligatoirement se conformer à la norme PCI DSS, indépendamment de la taille de leur entreprise. Ces exigences de conformité s appliquent à tous les canaux de distribution (points de vente classiques, vente à distance par correspondance/par téléphone et commerce électronique). Chaque année, Trustwave effectue des centaines d expertises chez des commerçants ayant connu une faille de sécurité (vol de données de carte bancaire d un client utilisées ensuite frauduleusement). Dans plus de 90 % des cas, les commerçants visés sont de petites entreprises. Il s agit là d un problème qui concerne tout le secteur et que la norme PCI DSS vise à combattre. Aucun commerçant n est à l abri.
Détails du programme Quelles démarches dois-je entreprendre? Vous devez impérativement prouver que vous êtes en conformité avec la norme PCI DSS. Ce processus s appelle «certification» (ou «validation») de la norme PCI DSS. Il est certain que le processus de certification peut s avérer compliqué. C est pourquoi Trustwave, par le biais de son portail TrustKeeper, met à disposition toute une gamme d outils efficaces afin de vous guider dans tout le processus : 1. Cliquez simplement sur le bouton Get Started (Démarrer) de la page que vous avez consultée au début de la procédure d enregistrement. 2. Après l enregistrement, l assistant PCI étape par étape de TrustKeeper vous dirigera vers un questionnaire d auto-évaluation. Au cours de cette phase, vous devrez vous interroger sur la façon dont votre entreprise gère et protège les données de carte bancaire de vos clients. 3. TrustKeeper utilisera les informations que vous aurez fournies pour remplir le formulaire de certification PCI (appelé également Questionnaire d autoévaluation PCI ou SAQ - Self-Assessment Questionnaire), que vous pourrez ensuite corriger puis envoyer. 4. Certains commerçants devront également effectuer une analyse de vulnérabilité du réseau. Ceci permettra de vérifier si votre commerce ou votre site Internet est protégé des attaques de pirates d Internet. Si vous êtes concerné par ce problème, TrustKeeper vous guidera également à travers ce processus. Vais-je recevoir un document attestant que je suis bien en conformité? Si oui, ce document sera-t-il automatiquement transmis à Visa ou à Mastercard? Une fois que vous aurez réussi le processus de certification, Trustwave vous établira un Certificat de conformité que vous pourrez imprimer et/ou présenter à vos clients ou partenaires commerciaux. Chaque fait rapporté à votre banque ou à l entreprise qui traite vos paiements sera géré automatiquement par TrustKeeper. Il incombe à l acquéreur d effectuer les signalements auprès des émetteurs de cartes. Dois-je effectuer cette démarche une seule fois? Non. La protection de votre entreprise est un processus continu. À mesure que votre entreprise évolue avec le temps, les pratiques mises en œuvre pour protéger les données de cartes bancaires de vos clients doivent s adapter. De plus, la norme PCI DSS elle-même évolue régulièrement, afin d aider votre entreprise à mieux se défendre contre les attaques sans cesse renouvelées des voleurs. En outre, les émetteurs de cartes de paiement exigent de toutes les entreprises acceptant des paiements par carte qu elles se mettent en conformité avec la norme PCI DSS : 1. Vous êtes tenu de fournir chaque année un formulaire de certification PCI (appelé également Questionnaire d auto-évaluation PCI ou SAQ - Self-Assessment Questionnaire). 2. Si des analyses de vulnérabilité sont obligatoires dans votre activité, vous devrez effectuer et réussir une analyse tous les trois mois. TrustKeeper vous assistera à chaque fois. Combien de temps cela nécessite-t-il? La durée du processus varie en fonction de la taille et du type de commerce. Par exemple, pour les petits commerçants n ayant pas une gestion compliquée des cartes de paiement, cela peut prendre entre 15 et 30 minutes, en supposant l absence de tout problème de conformité. Toutefois, si des problèmes de non-conformité apparaissent, la durée de mise en place de solutions adaptées aura un effet sur la durée totale du processus de mise en conformité PCI DSS. La durée varie également en fonction de la résolution du problème et de la complexité de l environnement en question. Pour les commerçants dont la situation est nettement plus complexe, sachez que TrustKeeper s adapte à vos besoins. Il a été conçu de façon à vous permettre d accomplir le processus par étapes (en accordant, par exemple, 10 minutes à chacune d entre elles). À chaque étape, vos informations seront enregistrées pour vous permettre de reprendre plus facilement le processus et le terminer par la suite. Vous devez au moins procéder à la phase d enregistrement et recenser les opérations nécessaires.
Qu adviendra-t-il si mon entreprise ne réussit pas le processus de certification PCI? Les pénalités et les amendes encourues pour non-respect des normes ou pour tout problème de sécurité non traité varient en fonction de l émetteur de cartes de paiement concerné et peuvent être élevées. Elles peuvent aller de 10 000$ à 500 000$ par contentieux. Si une faille de sécurité est identifiée dans votre environnement, vous serez seul tenu au paiement des coûts de l expertise nécessaire, ainsi qu au remboursement des achats frauduleux et des frais d émission de nouvelles cartes de paiement remplaçant les cartes volées. Outre les amendes directes, votre entreprise peut également être confrontée à une perte de ses droits d acceptation de paiement par carte bancaire, au moins de façon temporaire. Vous vous exposez, de plus, à la perte de confiance de vos clients, surtout lorsque ces derniers s apercevront que votre entreprise est en retard sur les autres en matière de protection des données personnelles. Y a-t-il une date limite pour se mettre en conformité avec cette norme? Toutes les entreprises acceptant les cartes bancaires doivent se mettre en conformité avec la norme PCI DSS. Votre banque ou l entreprise qui traite vos paiements peut vous imposer des dates butoir pour la mise en conformité et peut également exiger que vous exécutiez le processus de certification chaque année. Si de telles échéances vous sont imposées, elles vous seront communiquées par l une de ces deux entreprises. Vue d ensemble de TrustKeeper Qu est-ce que Trustwave? Trustwave est le premier fournisseur de solutions de gestion de la conformité dans le domaine de la sécurité des données à la demande et du secteur des cartes de paiement, pour des entreprises du classement Fortune 2000 et du secteur public. Notre produit-phare, TrustKeeper, fournit des services de sécurisation des données et de certification à des centaines de milliers d entreprises à travers le monde, afin qu elles puissent se mettre en conformité avec la norme PCI DSS et d autres exigences réglementaires en vigueur. Trustwave est un fournisseur d analyse agréé (ASV - Approved Scanning Vendor) et un évaluateur de sécurité qualifié (QSA - Qualified Security Assessor) pour les émetteurs de cartes de paiement. Qu est-ce que TrustKeeper? TrustKeeper est une solution ultramoderne de gestion de la sécurité et de la conformité, conçue pour aider les commerçants à répondre à la norme PCI DSS et à se certifier. TrustKeeper fournit: Une formation sur la norme PCI DSS et sur la façon dont elle vous affecte, vous et votre entreprise. L assistant PCI Wizard, un outil intelligent et dynamique, destiné à vous accompagner dans tout le processus de certification PCI, notamment en remplissant en votre nom le formulaire de certification PCI (également appelé Questionnaire d auto-évaluation PCI ou SAQ - Self-Assessment Questionnaire). Un moteur d analyse électronique de la vulnérabilité capable de tester jusqu à 5 000 failles, pour garantir que les données de votre commerce ou de votre site Internet sont protégées des attaques de pirates informatiques. Une analyse et un conseil afin de vous aider à comprendre de quelle manière vous pouvez améliorer la protection des données des cartes bancaires de vos clients. Des services supplémentaires destinés à améliorer votre sécurité et à résoudre les problèmes de mise en conformité PCI DSS. Des ressources en ligne et une assistance client multilingue. Une documentation sur votre certification PCI DSS et un rapport de votre statut qui sera transmis automatiquement à votre banque ou à l entreprise qui traite vos paiements. Qu est-ce que l agent TrustKeeper? L agent TrustKeeper est intégré à la solution TrustKeeper et vous aide à respecter la norme PCI DSS. Lorsque cela est possible, vous pouvez utiliser l agent Trust- Keeper pour démarrer votre processus de certification PCI. Les entreprises peuvent profiter de cet outil de différentes manières: Il automatise la configuration de l analyse de la vulnérabilité du réseau en transmettant les informations à TrustKeeper, accompagnées de l adresse Internet
(ou adresse IP) des points de vente au détail qui sont connectés à Internet. Si l agent TrustKeeper est installé sur un PC qui exécute des applications de paiement, tels qu un logiciel de terminal de point de vente (POS - point-ofsale software), il contrôlera les niveaux de protection de l ordinateur et vous alertera s il décèle des failles de sécurité. L agent TrustKeeper fonctionnera également avec l assistant PCI afin de répondre à toutes les questions que vous seriez susceptible de vous poser concernant la configuration de votre ordinateur et les réglages de sécurité. L agent TrustKeeper peut être installé sur toute version récente de Microsoft Windows : Windows 2000, Windows 2003, Windows XP et Microsoft Vista. Idéalement, l agent TrustKeeper devrait être installé sur tous les PC où le logiciel de paiement est présent. Pour voir une démonstration du produit ou pour en savoir plus sur la norme PCI DSS concernant les petites et moyennes entreprises, consultez le site Internet: http://www.trustwave.com/level4pci