STOCKAGE ET CONSERVATION DE L INFORMATION RELATIVE AUX CARTES DE CRÉDIT



Documents pareils
b. Nom de l établissement/du point de vente (y compris l adresse postale et l adresse municipale)

CONDITIONS RELATIVES À L OUVERTURE, À L UTILISATION ET À LA CLÔTURE D UN COMPTE COURANT AUPRÈS DE L OMPI

SERVICES EN LIGNE DES SUBVENTIONS ET DES CONTRIBUTIONS

Manuel du crédit rapide électronique Centres de recouvrements de sol Sears

Carte Visa Esso RBC Banque Royale. Le moyen le plus rapide d accumuler des points Esso Extra

Guide de l utilisateur Usagers d œuvres

Traitement des paiements par carte pour votre entreprise.

CARTE D ACHAT Numéro : 2 Date : Page : 1 de 6. Décrire les normes et processus d acquisition et d utilisation d une carte d achat.

RESSOURCES MATÉRIELLES ET DOCUMENTAIRES CONSERVATION DES DOCUMENTS SEMI-ACTIFS. Guide

Gagnez sur tous les tableaux taux d intérêt réduit et commodité. GUIDE DES AVANTAGES

CONVENTIONS DE MARCHAND

Guide pour le traitement des affaires nouvelles d assurance individuelle

EN BLANC AVANT IMPRESSION»»»

Consommateurs et cartes de débit

Note de service. Le 12 mai Liste de distribution. Vision stratégique 2030 du DGSSPF

Un classeur pour les documents des fournisseurs (factures, bons de commande, soumissions);

Traitement de Visa Débit

NOTICE À L USAGE DES DÉBITANTS DE TABAC CHARGÉS DE LA VENTE DES TIMBRES FISCAUX

FIDÉICOMMIS. Être en mesure de :

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

Hosted Exchange 2010 Conditions Spécifiques

3.1 La carte d achat sera émise par une institution financière retenue par le Conseil scolaire au nom de la personne autorisée et du Conseil.

Marchés publics de fournitures et services EMISSION DE CARTES D ACHATS ET PRESTATIONS ANNEXES CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (C.C.T.P.

Guide d accompagnement à l intention des entreprises désirant obtenir ou renouveler une autorisation pour contracter/souscontracter avec un organisme

Guide du terminal. Ingenico ICT220, ICT250, IWL220 & IWL250 Commerces de détail et restaurants

Politique de sécurité de l actif informationnel

Politique d utilisation acceptable des données et des technologies de l information

Règlement Spécifique DB Titanium Card

COLLECTE DE FONDS Les écoles élémentaires et secondaires peuvent entreprendre des activités de collecte de fonds si :

Contactez-nous le plus rapidement possible afin que nous trouvions la meilleure solution possible.

CHARTE INFORMATIQUE LGL

SCARM Direction de l approvisionnement Ville de Montréal Mars 2013

Un moyen de paiement pour le Royaume de DIEU

Code de conduite destiné à l industrie canadienne des cartes de crédit et de débit. Le présent code vise à montrer l engagement de l industrie à :

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Guide d administration RÉGIME VOLONTAIRE D ÉPARGNE-RETRAITE (RVER) RÉGIME DE PENSION AGRÉÉ COLLECTIF (RPAC)

Conditions régissant les demandes en ligne de RBC Banque Royale

SFT Instr INSTRUCTION DE TRAVAIL : GESTION D UNE CAISSE

Guide d utilisation WEBPORTAL CPEM Portail d Applications Web CPEM

Description de la prestation Webhosting / HomepageTool

CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.

DONS, D HOSPITALITÉ. Lignes directrices 1. mai 2012 COMMISSAIRE À L ÉTHIQUE ET À LA DÉONTOLOGIE

Gestion électronique des procurations

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Tarification. Guide de tarification des Services bancaires aux entreprises

Une meilleure façon de gérer les dépenses de votre entreprise

Lignes directrices à l intention des praticiens

OBLIGATIONS D ÉPARGNE DU CANADA GUIDE DE TRANSMISSION WEB oec.gc.ca PROGRAMME D ÉPARGNE-SALAIRE 20$ 40$ 80$ 50 $ 30$ WEBGUIDE-14

Gateway4Cloud Conditions Spécifiques

Guide d accompagnement à l intention des entreprises de services monétaires Demande de permis d exploitation

e)services - Guide de l utilisateur e)carpa

NOGENT PERCHE HABITAT Office Public de l Habitat

Annexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du Titre 1Conditions Particulières

Décrets, arrêtés, circulaires

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

Obtenir le titre de prêteur. agréé. La clé qui ouvre de nouvelles portes AU CŒUR DE L HABITATION

Vérification de la sécurité des données fiscales. Rapport final Approuvé par le Comité de vérification interne le 29 juin 2005

Accord d Hébergement Web Mutualisé

MARCHE N 2015 URB HEBERGEMENT DU SITE WEB ET GESTION DE LA MESSAGERIE DU SECRETARIAT URBACT POUR LE PROGRAMME EUROPEEN URBACT III

Rév Ligne directrice 8B : Déclaration à CANAFE des télévirements SWIFT

protection consommateurs commerce électronique Principes régissant la dans le Le cadre canadien des

Guide utilisateur DÉPÔT ÉLECTRONIQUE

POLITIQUE DE GESTION DES DOCUMENTS

SBMNET: conditions de l accord. 1. Définitions

GLOSSAIRE DU SOUTIEN EN CAS DE RECOURS EN JUSTICE

Guide d utilisation de PayPal e-terminal. Informations à usage professionnel uniquement

De vous familiarisez avec les concepts liés aux droits des consommateurs.

» Conditions Particulières

RAPPORT FIN Réunion ordinaire du Conseil Ajout d une nouvelle politique sur les cartes de crédit corporatives

SOLUTION DE PAIEMENT PAR INTERNET. Facilitateur de commerce

Procédure administrative Vérification des factures et des remboursements

Contrat de courtier. Entre : (ci-après nommée «Empire Vie») (ci-après nommé «courtier») Adresse civique : Ville ou municipalité :

Approuvées et en vigueur le 14 septembre 1998 Révisées le 29 septembre 2012 Prochaine révision en Page 1 de 6

Votre numéro d assurance sociale : une responsabilité partagée!

CONDITIONS D IDT FINANCIAL SERVICES POUR LES CARTES PRÉPAYÉES PROGRAMME XXIMO MOBILITY CARD BELGIQUE

LE GUIDE DE VOS AVANTAGES. Voici votre. carte Platine CIBC Visa MC

Conditions d utilisation de la Carte Scotia MD SCÈNE MD*

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION RÈGLE E2

Dispositions relatives aux services bancaires en ligne valables dès le 1er janvier 2013

Table des matières. janvier

Instructions et spécifications pour la transmission en format XML de déclarations par lots. 30 mai 2015 MODULE 1

OBJET : GERER LES CESSIONS ET LES OPPOSITIONS DANS BFC

Bureau du commissaire du Centre de la sécurité des télécommunications

POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO (adoptée le 15 janvier 2010)

Note à Messieurs les : Objet : Lignes directrices sur les mesures de vigilance à l égard de la clientèle

Guide Cartes-Cadeaux. Carte Cadeau. Une vue d'ensemble des processus et des types de transactions de cartescadeaux.

Louez en toute Sérénité

POLITIQUE N o : P AJ-005 POLITIQUE SUR LA PROTECTION DES INFORMATIONS CONFIDENTIELLES

DEMANDE D ADHÉSION AU PLAN DE GARANTIE DES BÂTIMENTS RÉSIDENTIELS NEUFS

carte PETRO-POINTS MC CIBC MasterCard MD

Procédures relatives au dépôt ponctuel de certificats à la CDS

Erreurs les plus fréquentes Guide de dépannage

UV DIRECT MODALITÉS DU COMPTE

Conditions applicables au Programme Corporate Membership Rewards d American Express («Contrat» ou «Conditions»)

NE/NCF Secteur d activité. Titre de la personne-ressource. Titre Nom Prénom. Envoyez le courrier à l adresse légale

Guide de l utilisateur Auteurs

Transcription:

STOCKAGE ET CONSERVATION DE L INFORMATION RELATIVE AUX CARTES DE CRÉDIT GÉNÉRALITÉS 1. Le directeur général Services de bien-être et moral (DGSBM) s engage à protéger l information relative aux cartes de crédit conservée en format papier ou sous forme électronique dans le cadre de l exploitation des activités des Biens non publics (BNP). L information relative aux cartes de crédit est considérée comme «de l information personnelle de nature particulièrement délicate» et doit donc porter la cote «Protégé B» conformément aux lignes directrices du ministère de la Défense nationale (MDN) servant à protéger les renseignements du personnel. Tout le personnel des activités des BNP doit respecter à la lettre la «Procédure générale relative à la protection de l information dans les bureaux», soit l annexe A, et les critères d accès énoncés dans celle-ci. La présente fait référence aux politiques sur la sécurité du MDN dans le but de renseigner et d orienter le personnel sur les problèmes liés à la sécurité de l information et d aider celui-ci à les évaluer. 2. Comme il est présenté au paragraphe suivant, l Industrie des cartes de paiement (ICP) a mandaté des normes de sécurité des données (NSD), que les SBMFC ont adoptées. Le site Web des SBMFC présente les politiques de l organisation relatives à la sécurité et à la gestion de l information et de la technologie de l information (GI/TI) sous la rubrique «Division des services de l information». NORMES DE SÉCURITÉ DES DONNÉES DE L INDUSTRIE DES CARTES DE PAIEMENT (NSD DE L ICP) 3. Les NSD de l ICP se veulent une norme de sécurité complète établissant les pratiques courantes et les précautions qui s imposent lors de la manipulation, du traitement, du stockage et de la transmission des données relatives aux cartes de crédit. Depuis que Visa Inc. et MasterCard Worldwide ont rédigé les normes, American Express, Discover Financial Services et JCB International se sont officiellement joints au Conseil des normes de sécurité de l IPC. Mis sur pied en 2006, ce forum international est chargé d établir, de gérer et de faire connaître les normes de sécurité de l ICP et de développer les NSD de l ICP. 4. Les douze exigences de sécurité mandatées suivantes constituent les NSD de l ICP : a. installer et maintenir la configuration des pare-feu afin de protéger les données; 40-1

b. ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe du système et les autres paramètres de sécurité; c. protéger les données stockées; d. crypter la transmission des données des détenteurs de carte et l information de nature délicate entre les réseaux publics; e. appliquer et mettre à jour régulièrement le logiciel antivirus; f. élaborer et maintenir des systèmes et des applications protégés; g. restreindre l accès aux données aux entreprises qui en ont besoin; h. attribuer un numéro d identification unique à chaque personne ayant accès à un ordinateur; i. restreindre l accès physique aux données des détenteurs de carte; j. suivre et surveiller tous les accès aux ressources du réseau et aux données des détenteurs de carte; k. tester régulièrement le système de sécurité et ses processus; l. maintenir une politique concernant la sécurité de l information. 5. Les normes de sécurité précédentes comportent des exigences tant sur le plan du matériel de GI/TI que du personnel. Du côté de la GI/TI, il faut s assurer que le réseau des BNP soit équipé des pare-feu adéquats, que l accès aux ressources du réseau soit surveillé et que le logiciel antivirus soit mis à jour régulièrement. Pour ce qui est du personnel, il faut s assurer que celui-ci est conscient de l importance de bien protéger l information relative aux cartes de crédit. 6. La présente revêt une importance particulière à la protection de l information conservée et à la restriction de l accès physique aux données des détenteurs de carte. À condition d adopter les mesures de protection appropriées (classeur verrouillé), il est acceptable de conserver le numéro du compte, le nom du détenteur et la date d expiration de la carte. Il n est en aucun cas acceptable de conserver le code de sécurité de la carte de crédit, soit le chiffre à trois ou quatre numéros imprimé au dos de la carte ou sur la bande de signature, mais qui n est pas encodé dans la bande magnétique. INTERDICTION PAR RAPPORT AU CONTENU DES DONNÉES STOCKÉES 7. Il est en tout temps interdit de stocker les données complètes relatives aux cartes de crédit dans un système de partage de données électronique, tel que 40-2

Docushare. Par exemple, on retrouve de l information relative aux cartes de crédit dans les documents portant sur les cartes de crédit des BNP (CC BNP). Toute personne qui présente son relevé de CC BNP de Banque de Montréal au bureau de la comptabilité des FNP local doit masquer le numéro de sa carte de crédit (c est-à-dire tous les numéros, sauf les quatre derniers ou les cinq derniers dans le cas d une carte American Express) avant de l envoyer. De plus, le coordonnateur des cartes de la base responsable des CC BNP doit s assurer de masquer tout document renfermant de l information relative aux cartes de crédit avant de l imprimer. Le formulaire Autorisation de prélèvement par les Biens non publics constitue un autre exemple de document dans lequel est conservée l information relative aux cartes de crédit. Peu importe la nature du document source, toute information relative aux cartes de crédit doit être masquée avant que le document ne soit numérisé et versé dans Docushare. 8. À aucun moment les numéros de carte de crédit ou l information de nature délicate ne peuvent être stockés sur le réseau des BNP, y compris, sans toutefois s y limiter, dans les documents en Excel ou en Word, les fichiers d essai, les courriels, etc. INFORMATION RECUEILLIE DANS LES POINTS DE VENTE 9. La collecte de l information relative aux cartes de crédit fait partie des activités quotidiennes des fournisseurs de produits et de services, qu il s agisse d un point de vente CANEX, d un bureau des Services financiers du RARM ou des activités des mess, du fonds des bases ou d intérêt particulier comme un club de golf. Il est essentiel de respecter à la lettre la procédure régissant la collecte de ce type d information. NOTA : Les gestionnaires d entité ou toute autre partie ne doivent pas conserver une liste de noms de détenteurs de cartes de crédit ou de numéros ou de date d expiration de cartes de crédit afin d effectuer des paiements mensuels manuellement ou pour une autre raison quelconque. Le bureau de la comptabilité peut établir une facturation automatique pour les transactions récurrentes, comme il est précisé ci-dessous. 10. Lors d une vente par carte de crédit effectuée à un terminal de point de vente (TPV) autorisé, le numéro de carte est masqué automatiquement sur le reçu remis au client et celui conservé au TPV. Il n y a aucune de raison de conserver l information complète relative à la carte de crédit. Chaque entité doit s assurer d utiliser le bon terminal pour cartes de crédit et débit. Pour ainsi faire, celui-ci doit être commandé auprès du bureau de la comptabilité des FNP local conformément au chapitre 52 (ventes effectuées par carte de crédit et au terme du plan de crédit). 40-3

SEGMENTATION EN UNITÉS 11. La Division des finances a élaboré une méthode de segmentation en unités pour remplacer l information relative aux cartes de crédit, soit la segmentation en unités. Celle-ci consiste à remplacer l information relative aux cartes de crédit de nature délicate par des symboles uniques qui préservent tous les renseignements essentiels sans compromettre leur sécurité. Toute information relative à la carte de crédit d un client est conservée par la compagnie de carte de crédit ou de débit (Chase Paymentech, à l heure actuelle), qui assure non seulement la sauvegarde de cette information en lieu sûr, mais qui a également accès au numéro de l entité lexical afin de veiller à ce que le montant soit imputé à la bonne carte de crédit. Une fois le numéro de l entité lexical créé, le gestionnaire de la comptabilité des Biens non publics (GCBNP) n a plus de raison de conserver l information relative à la carte de crédit. TRANSACTIONS RÉCURRENTES/FACTURATION AUTOMATIQUE AUTORISATION DE PRÉLÈVEMENT PAR LES BNP 12. Les entités des BNP peuvent autoriser les clients ou les membres à effectuer des paiements pour les activités des BNP non liées au CANEX, à savoir les frais d adhésion à un club de golf, les dons de bienfaisance, les cotisations de mess, etc., sur une base mensuelle ou récurrente. Dépendamment de son employeur, le client peut choisir de payer par délégation de solde s il est membre de la Force régulière, par retenue salariale s il est employé des FNP, ou encore, par carte de crédit ou prélèvement automatique d un compte bancaire. 13. Le formulaire de prélèvement par les BNP, présenté à l annexe A du chapitre 18 (Encaissements et autres recettes), doit être utilisé à cette fin, et il peut également servir à prélever des paiements du public afin de verser des dons aux Fonds Appuyons nos troupes, par exemple. 14. Le gérant du point de vente doit s assurer que l information relative aux cartes de crédit est masquée dans chaque copie du formulaire de prélèvement des BNP conservée dans le point de vente. Le bureau de la comptabilité des FNP détient la copie renfermant l information relative aux cartes de crédit, et si le gérant du point de vente a besoin de celle-ci pour une raison quelconque, il peut en faire la demande auprès du bureau de la comptabilité des FNP local. 15. Si un client a choisi un paiement récurrent, le gérant du point de vente envoie immédiatement aux fins de traitement le formulaire rempli et autorisé accompagné du RQV au bureau de la comptabilité des FNP local dans une enveloppe scellée (adressée correctement, sans cote de sécurité) qui ne doit jamais être laissée à la vue. Au bureau de la comptabilité des FNP local, le formulaire de prélèvement par les BNP doit être 40-4

rangé dans un classeur verrouillé auquel l accès est limité jusqu à ce que l information puisse être versée dans le système de comptabilité ABACIS et dans le système de Chase Paymentech. Une fois l information entrée dans ABACIS et la pièce justificative vérifiée, le fichier ABACIS fait l objet d un report, un numéro d entité lexical est créé et Chase Paymentech en est informé. Ensuite, toute l information relative à la carte de crédit est masquée. Des versements mensuels ultérieurs autorisés dans le formulaire de prélèvement des BNP sont effectués au moyen du numéro de l entité lexical conservé dans ABACIS. Chase Paymentech conserve l information exacte relative à la carte de crédit. PAIEMENTS EFFECTUÉS EN LIGNE 16. À l heure actuelle, il est possible d acheter de la marchandise (p. ex. dans le Trouve-Tout) et de faire des dons (p. ex., au Fonds de bien-être dans les hôpitaux et au Fonds Appuyons nos troupes) par l entremise du site Web du DGSSPF. La procédure de paiement est la même pour ces activités, car le réseau est protégé et aucune information relative aux cartes de crédit n est conservée au sein du DGSSPF. Cette information est transmise par voie électronique à la compagnie de carte de crédit (Chase Paymentech, à l heure actuelle) aux fins de traitement. Chase Paymentech envoie un courriel au DGSSPF pour confirmer la réception du paiement. Le courriel de confirmation est ajouté au RQV et envoyé au bureau de la comptabilité des FNP local aux fins de traitement. 17. Il est interdit d établir une procédure de paiement en ligne qui ne respecte pas les paramètres de la présente et qui exposerait inutilement à des risques les clients et les biens des BNP. Pour ce qui est des BNP, le service d approvisionnement des Services de l information (SI) est la seule autorité habilitée à acheter ou à louer des biens ou des services liés à la technologie de l information et à la gestion de l information (GI/TI) ou à obtenir des services d entrepreneurs en GI/TI, ou à attribuer ou à obtenir des licences ou permis connexes, notamment la création de pages Web ou la modification d une page Web liée aux activités des BNP. Pour de plus amples renseignements, il faut communiquer avec les services de soutien informatique à l adresse ISProcurement@sbmfc.com. TRANSACTIONS MANUELLES GÉNÉRALITÉS 18. Une transaction effectuée manuellement ne produit pas les données d authentification de la sécurité permettant d identifier le détenteur de carte qui sont normalement générées lorsque ce dernier fait glisser la bande magnétique de sa carte dans l appareil ou qu il y insère sa carte à puce. Les transactions manuelles exposent donc l entité à un risque de fraude et à des coûts plus élevés par transaction. 40-5

TRANSACTIONS MANUELLES DU CLIENT EFFECTUÉES SUR PLACE 19. Lorsqu un terminal de cartes de crédit ou de débit est en panne, la meilleure pratique est respectée, c est-à-dire qu il faut utiliser une imprimante à carte manuelle pour obtenir une impression de la carte. Dans toutes les circonstances, le point de vente doit veiller à ce que la date, les détails, la valeur monétaire totale de la transaction (taxes et autres frais compris), la signature du détenteur, le numéro d autorisation et le numéro du commerçant sont enregistrés sur le document de vente. Dans ce cas, il faut appeler la compagnie de carte de crédit pour obtenir un numéro d autorisation. Ces renseignements doivent être protégés en tout temps. 20. Le document de vente est distribué comme suit : a. copie du client remise au client; b. copie du commerçant conservée en lieu sûr jusqu à ce que l on puisse entrer manuellement les données dans le terminal de carte de crédit ou de débit (se référer au paragraphe 21 ci-dessous avant de conclure la transaction); c. copie de traitement rangée en lieu sûr jusqu à ce que l on puisse entrer manuellement les données dans le terminal de carte de crédit ou de débit (se référer au paragraphe 21 ci-dessous avant de conclure la transaction). 21. Une fois les services du terminal de carte de crédit ou de débit rétablis, il faut entrer manuellement les renseignements du document de vente dans le terminal de carte de crédit ou de débit et le TPV. En outre, il faut inscrire «transaction manuelle» sur la copie du commerçant et la copie de traitement du document de vente et masquer l information relative à la carte de crédit. La copie du commerçant et la copie de traitement sont jointes au RQV. La collecte des renseignements sur les paiements et le traitement de l information relative à la carte de crédit ou de débit doivent se faire le jour même de sorte que le solde du TPV et celui du terminal de carte de débit ou de crédit concordent. TRANSACTIONS MANUELLES À DISTANCE 22. Dans le cas d un paiement par téléphone, il faut toujours conserver en lieu sûr les documents sur lesquels est inscrite l information relative à la carte de crédit du client. Ces renseignements sont ensuite entrés manuellement dans le terminal de carte de crédit ou de débit et le TPV. Après la saisie des données, le document source sur lequel est transcrite l information relative à la carte de crédit ou de débit doit être immédiatement déchiqueté; il ne doit pas être jeté dans les ordures régulières. La collecte des renseignements sur les paiements et le traitement de l information relative 40-6

à la carte de crédit ou de débit doivent se faire le jour même de sorte que le solde du TPV et celui du terminal de carte de débit ou de crédit concordent. NOTA : Il ne faut jamais envoyer de l information relative aux cartes de crédit non masquée par le biais de technologies de l utilisateur final, comme le courriel, la messagerie instantanée, le clavardage, etc., car elle peut être interceptée facilement par reniflage de paquets pendant la transmission sur les réseaux internes et publics. RESPONSABILITÉS DU BUREAU DE LA COMPTABILITÉ DES FNP LOCAL 23. Dès que le personnel du bureau de la comptabilité reçoit le RQV et les pièces justificatives du point de vente, il doit les ranger dans un classeur ou un coffre sécuritaire jusqu à ce que vienne le moment de prendre des mesures comptables. Une fois l information inscrite dans ABACIS et la pièce justificative vérifiée, le fichier ABACIS fait l objet d un report, un numéro d entité lexical est créé et Chase Paymentech en est informé. Ensuite, l information relative à la carte de crédit est masquée. La vérification du numéro ME doit comprendre le numéro de l entité lexical qui correspond à la carte de crédit. Toute demande portant sur l information relative à la carte de crédit doit être remise au service de soutien à la base de données ABACIS aux fins de traitement. 24. Avant de numériser les documents comptables et de les verser dans Docushare, le GCBNP doit veiller à ce que les pièces justificatives qui accompagnent les documents comptables ne renferment pas l information complète relative à la carte de crédit (masquer les numéros conformément au paragraphe 7 de la présente constitue la méthode acceptable d établissement des rapports). RESPONSABILITÉS DE TOUS LES POINTS DE VENTE ET DU BUREAU DE LA COMPTABILITÉ DES FNP 25. Le gérant du point de vente et le GCBNP doivent veiller au respect des règles suivantes relativement à la possession d information sur les détenteurs de carte : a. il faut masquer tous les numéros de carte dans tous les rapports de TPV; b. il faut toujours conserver dans un lieu sûr les RQV renfermant de l information relative aux cartes de crédit lorsque l on ne s en sert pas; c. dès que l information n est plus requise, il faut la déchiqueter immédiatement il ne faut pas la jeter dans les ordures régulières; d. il faut masquer les numéros de carte de crédit dans tout document transmis par courriel ou par télécopieur, et déchiqueter les deux copies immédiatement après les avoir traitées; 40-7

e. il ne faut pas enregistrer les numéros de carte de crédit sur un réseau local ou un dispositif électronique comme un bâtonnet de mémoire USB; f. s il est nécessaire d utiliser une imprimante à carte manuelle, il faut déchiqueter immédiatement le papier carbone des bordereaux après l impression il ne faut pas le jeter dans les ordures régulières; g. il faut traiter toute note écrite portant de l information sur les détenteurs de carte comme il est décrit aux points a. à f.; h. il faut conserver l information reçue par téléphone à l égard de paiements ponctuels dans un lieu sûr en tout temps et la déchiqueter immédiatement après le traitement il ne faut pas la jeter dans les ordures régulières. 26. Il incombe à chaque personne de veiller à ce que l information relative aux cartes de crédit, peu importe le support au moyen duquel elle est transmise, soit, au minimum, entreposée en lieu sûr et détruite conformément à la procédure afin de protéger les renseignements personnels des détenteurs de carte contre la fraude et d autres actes malveillants. DÉCLARATION D UNE ATTEINTE À LA SÉCURITÉ 27. Si des personnes ou entreprises non autorisées accèdent aux données ou les récupèrent (en manipulant les appareils), il faut le signaler à Chase Paymentech immédiatement et fournir une copie du rapport au GCBNP. Cette démarche permet non seulement d atténuer les risques relatifs au système de paiement, mais aussi de protéger les clients de la façon la plus responsable et opportune. Des mesures sont en place pour restreindre immédiatement l usage non autorisé des données compromises, mais elles ne sont efficaces que lorsque chacun assume sa responsabilité de signaler promptement une atteinte à la sécurité. Toute atteinte à la sécurité (usage abusif d une carte ou accès non autorisé à des renseignements) doit être communiquée au gestionnaire régional de la comptabilité (GRC) par l intermédiaire du GCBNP. Il incombe au GRC de communiquer l information à la chaîne de commandement. Annexe A - Stockage et conservation de l information relative aux cartes de crédit 40-8

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back