Fil d'Ariane

Norme de sécurité des cartes de paiement PCI DSS

Rédigé par

L'équipe création de contenu de GoCardless est un groupe d'experts en la matière dans plusieurs domaines de GoCardless. Les auteurs et les réviseurs travaillent dans les départements ventes, marketing, juridique et finance. Tous ont une connaissance et une expérience approfondies des différents aspects de la technologie des systèmes de paiement et des règles de fonctionnement applicables à chacun. L'équipe possède une expertise dans les réseaux de paiement bien établis tels que le prélèvement automatique au Royaume-Uni, le réseau européen SEPA et le réseau américain ACH, ainsi que dans les réseaux opérant en Scandinavie, en Australie et en Nouvelle-Zélande.Voir la biographie complète

Dernière modificationjuil. 2020Lecture : 2 minutes

Avec environ 71 millions de CB et plus de 500 milliards d’euros de transactions effectuées en 2019, la carte bancaire (anciennement carte bleue) est le moyen de paiement le plus utilisé en France. Ce chiffre est en constante évolution grâce, notamment, aux paiements sans contact qui se multiplient et au succès croissant de l’e-commerce et donc des transactions par carte bancaire en ligne.

Ces nombres, en constante expansion, créent deux problématiques. Comment sécuriser les nombreuses transactions par carte bancaire au mieux, mais aussi comment protéger les données des utilisateurs ? Pour faire face à ces problèmes, cinq des mastodontes de l’industrie bancaire (Visa, Mastercard, American Express entre autres…) se sont réunis et ont conçu les nouvelles consignes à appliquer pour les paiements par carte bancaire, sous le signe barbare PCI DSS, qui signifie Payment Card Industry Data Security Standard ou les Standards de Sécurité des Données pour l’Industrie des Cartes de Paiement.

Quelles sont les principales mesures contenues dans ces consignes ? Qui est concerné ? Quels sont les risques en cas de non-respect des normes ?

Norme de sécurité des cartes de paiement (PCI DSS)

Plus de 250 points de vérification sont définis dans ces normes PCI DSS. Il est néanmoins possible de les classer en 6 objectifs et 12 exigences principaux.

Créer et gérer un réseau sécurisé :

- installation, gestion et configuration d’un pare-feu pour protéger les données des titulaires de carte

- changement des mots de passe et des configurations par défaut fournis par le fournisseur

Protéger les données des titulaires de carte :

- protection des données stockées à propos des titulaires de carte

- cryptage des transmissions de données effectuées sur un réseau public

Installer et gérer un programme de gestions des failles et vulnérabilités :

- utilisation de programme antivirus régulièrement mis à jour et contrôlés

- développement et gestion de systèmes et applications sécurisés

Contrôler strictement les accès aux données :

- restriction de l’accès aux données des titulaires de carte aux seuls collaborateurs concernés, et donc habilités

- attribution d’identifiants uniques avant l’autorisation d’accès

- restriction de l’accès physique aux données des titulaires de carte

Surveiller, tester et contrôler les réseaux en continu :

- suivi et surveillance des accès aux réseaux et aux données

- test régulier des systèmes de sécurité

Mettre en place et gérer la politique de sécurité sur le long terme

-gestion d’une politique de sécurité pour l’ensemble du personnel

Qui est concerné par les normes PCI DSS ?

Le standard PCI DSS s’applique à toutes les entités juridiques impliquées dans le stockage, le traitement et la transmission des données des cartes de paiement, notamment les commerçants, les banques et les prestataires de services.

En d’autres termes, toute entreprise ou personne qui a accès aux données d’une carte bancaire et/ou de son titulaire doit se soumettre à ces obligations.

Quatre niveaux de conformité sont applicables, en fonction de l’entreprise et du nombre de transactions effectué par an :

- plus de 6 millions de transactions par an (niveau 1)

- entre 1 et 6 millions de transactions par an (niveau 2)

- entre 20 000 et 1 million de transactions par an (niveau 3)

- moins de 20 000 transactions par an (niveau 4)

Seule la première catégorie (au-delà de 6 millions de transaction par an) doit être contrôlée pour obtenir une certification PCI DSS, délivrée après un audit où tous les points de sécurité sont vérifiés. Les catégories suivantes, représentant de plus petits commerces, peuvent évaluer et prouver la conformité de leurs installations avec une simple auto-évaluation. Elle se présente sous la forme d’un questionnaire à remplir chaque année.

Il est important pour votre entreprise d’être en conformité avec les normes PCI DSS. Ainsi, vous protégez les données bancaires de vos clients et évitez les fuites et les vols de données.

Il est vivement conseillé d’utiliser des services bancaires reconnus, et dont l’efficacité a fait ses preuves, pour vous protéger au mieux.

Vous pouvez aussi faire appel à des entreprises de paiement en ligne comme GoCardless. Avec notre aide, vous n’avez accès à aucun moment aux données bancaires des clients. Nos services prennent en charge tout le processus de paiement, et notifient les deux parties du bon déroulé de l’opération. Vous êtes ainsi en toute sécurité, en plus de protéger vos clients, sans avoir la charge responsable d’être en conformité avec les normes PCI DSS, et vous pouvez donc vous concentrer sur l’activité de votre commerce.