PCI DSS: norme de sécurité des données de l’industrie des cartes de paiement : explication

La norme de sécurité PCI DSS (Payment Card Industry Data Security Standard) a été développée par le groupement des réseaux de cartes (Mastercard, Visa, American Express, JCB et Discover) en 2006 déjà afin de renforcer la sécurité des données des titulaires de cartes de paiement.

Elle s’applique à toutes les entreprises qui stockent, manipulent ou transmettent ce type de données.

Cette norme, mise en place pour lutter contre les fraudes et le piratage, suit 12 points que chaque entreprise acceptant des paiements par carte bancaire, doit suivre afin d’être conforme.

1. Installer et gérer une configuration de pare-feu pour protéger les données du titulaire
2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur
3. Protéger les données du titulaire
4. Chiffrer la transmission des données sur les réseaux publics ouverts
5. Utiliser des logiciels antivirus et faire régulièrement les mises à jour
6. Gérer des systèmes et applications sécurisés
7. Restreindre l’accès aux données du titulaire aux seuls individus devant les connaitre
8. Identifier et authentifier l’accès aux composants du système
9. Restreindre l’accès physique aux données du titulaire
10. Effectuer le suivi et surveiller tous les accès aux ressources réseaux et aux données du titulaire
11. Tester régulièrement les processus et les systèmes de sécurité
12. Maintenir une politique adressant les informations de sécurité pour l’ensemble du personnel

Différents outils sont disponibles sur le marché pour effectuer un audit online de ce que l'entreprise fait déjà. Suite à cet audit et aux résultats obtenus, un test digital est réalisé et les résultats sont divulgués. En cas de succès de ce test, l'entreprise reçoit son certificat de conformité. Attention, cette procédure est payante et le certificat est valable un an. Un système que nous pourrions comparer au certificat Vincotte que réclame votre fournisseur éléctricité et gaz en cas de nouvelle installation. Dans ce cas, c'est IATA qui réclame ce certificat aux agences partenaires. Pour connaitre un fournisseur de ces certificats, nous vous renvoyons à l'article Pagtour de cette semaine à ce sujet.

Qu'est ce que cela signifie pour vous?

Dès le 1^ier mars 2018, toute agence agréée IATA acceptant les paiements par carte de crédit devra être conforme à la norme PCI DSS et devra pouvoir le démontrer. Cette demande a déjà été adressée par l'IATA à ses membres début janvier. Cela n'est donc pas nouveau pour eux.

Plusieurs agences IATA ont entrepris le processus de certification déjà et cela ne semble pas facile; le délai de retour du test digital peut en outre prendre plusieurs semaines. IATA sera-t-il compréhensif face à un retard de sa mise en place?

A noter:

• Utiliser un GDS qui confirme être en ordre de certificat ne veut pas dire que vous l'êtes: les échanges mails entre employés, par exemple, s'ils comportent des données bancaires, ne sont pas protégés. Il s'agit de votre propre installation qui doit être sécurisée.
• Cette nouvelle norme n'est pas une loi mais un accord entre acteurs de cartes bancaires. Ceci n'a donc rien à voir avec la directive GDPR/protection des données.

Pour l'instant, seul IATA exige ce certificat. D'autres insitutions pourraient suivre.

L'UPAV conseille à tous ses membres de vérifier leur système de traitement de données bancaires sur base des 12 points énoncés plus haut.