Absolunet est une firme de services professionnels spécialisée dans le commerce électronique et les transformations numériques. Nous aidons les marques, les distributeurs et les détaillants à accélérer leur transformation numérique, à combler l’écart eCommerce et à placer leurs clients au cœur de l’expérience, de manière rentable.
En d’autres mots, si vous faites des ventes à l’aide d’outils numériques, vous devez vous conformer à la norme PCI à un certain niveau. Poursuivez votre lecture pour en savoir plus sur la conformité aux normes PCI, notamment le niveau qui s’applique à vous.
D’où vient la norme PCI?
Visa, MasterCard, American Express, Discover et JCB ont formé un consortium appelé Conseil des normes de sécurité PCI (Payment Card Industry Security Standards Council). Le groupe continue à établir des normes de sécurité sur les données (PCI DSS) et s’attend à ce que tous les sites transactionnels respectent ces exigences.
Pourquoi les détaillants doivent-ils se conformer à la norme PCI de toute façon?
Les normes de sécurité du Conseil comportent des lignes directrices et des processus visant à prévenir la violation des données et la fraude par carte de crédit.
Que se passe-t-il si nous ne nous préoccupons pas de la conformité aux normes PCI?
Dans le pire des cas, votre capacité d’accepter les paiements par cartes de crédit pourrait être suspendue ou révoquée. Le non-respect de cette exigence du eCommerce peut entraîner des violations de données, la perte de confiance des clients et même la résiliation de l’entente qui vous permet d’accepter les paiements par cartes.
De plus, votre entreprise pourrait être responsable envers les émetteurs de cartes de crédit pour le remplacement de cartes et pour les dommages subis.
Qui est vulnérable au piratage?
La bonne nouvelle, c’est que… aucune organisation qui adhère normes de sécurité PCI n’a jamais été victime d’effraction pour ce qui est des paiements ou des données sur les paiements.
Tous les autres détaillants se conforment-ils aux normes PCI? Qui le fait?
Même si la conformité a augmenté de 167 % depuis 2012, quelque 80 % des organisations ne respectent toujours pas les normes.
Quelles sont les normes que je dois mettre en place pour respecter intégralement les normes PCI?
Pour obtenir l’accréditation PCI, votre entreprise de eCommerce doit prouver qu’elle satisfait à de nombreuses exigences en matière de sécurité.
- Bâtir et tenir à jour un réseau sécurisé
- Mettre en place un pare-feu informatique
- Ne pas utiliser les noms d’utilisateur et les mots de passe attribués par le fournisseur, par exemple
- Protéger les données du titulaire de la carte
- Protéger les données stockées du titulaire de la carte
- Crypter la transmission des données du titulaire de la carte
- Maintenir un programme de gestion des vulnérabilités
- Utiliser et mettre régulièrement à jour un logiciel antivirus
- Développer et maintenir des systèmes et des utilisations sécurisés
- Mettre en place de solides mesures de contrôle d’accès
- Restreindre l’accès des employés aux données des titulaires de cartes
- Attribuer une ID unique à chaque personne qui a accès à l’ordinateur
- Restreindre l’accès physique aux données des titulaires de cartes
- Surveiller les réseaux et faire régulièrement des tests
- Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes
- Faire régulièrement des tests sur les systèmes et les procédures de sécurité
- Tenir à jour une politique sur la sécurité des informations
- Maintenir une politique organisationnelle sur la sécurité des informations
Je ne stocke pas de données sur les cartes de crédit – est-ce que je dois quand même respecter la norme PCI?
Que se passerait-il, si les paiements sont faits par Paypal, par exemple, ou par shopify, ou par un service de traitement de paiement? Il y a un niveau conformité aux normes PCI pour vous aussi. Il est faux de croire que la conformité aux normes PCI est exigée uniquement des commerçants qui stockent des données de cartes de crédit. Même si le processus de paiement est entièrement sous-traité, vous devez tout de même vous conformer à certaines exigences PCI DSS, mais les exigences peuvent être moins strictes.
Essentiellement, si vous acceptez les paiements par carte de crédit sur votre site Web de quelque façon, vous devez vous conformer à la norme PCI.
Conclusion – c’est de la protection de vos clients et de votre entreprise qu’il est question!
Ces normes ont été établies pour assurer la protection des données et des renseignements personnels, pour aider à prévenir la fraude par carte de crédit et pour éviter les coûteuses violations de données. En vous conformant à la norme PCI, vous renforcez votre entreprise et devenez un détaillant digne de confiance.
La prochaine étape – le processus à suivre pour vous conformer aux normes
Vous savez que vous devez vous conformer à la norme PCI. Mais comment faire pour satisfaire aux exigences et obtenir l’attestation? C’est ici que les choses peuvent se compliquer. Voyez le prochain article sur les niveaux de marchands pour savoir où votre entreprise se situe dans l’équation PCI.
