Caisses Desjardins du Québec et caisses populaires de l'Ontario [Choisir un autre site]

La norme PCI DSS

Plus que jamais, la protection des renseignements concernant les détenteurs de cartes de crédit – tout comme la sécurité entourant le paiement électronique des achats et des ventes –, doit être abordée avec toute la rigueur nécessaire au maintien du climat de confiance des consommateurs envers ce mode de paiement. C'est dans cette optique que l'ensemble des acteurs de l'industrie du paiement a reçu, des réseaux de paiement VISA, MasterCard, American Express et de quelques autres réseaux, l'obligation de se conformer à la norme Payment Card Industry Data Security Standard (PCI DSS) qui porte sur la sécurisation des données de détenteurs de cartes de crédit.

Chez Desjardins, sont tous certifiés et pleinement conformes à la norme PCI DSS :

  • les terminaux de paiement;
  • les solutions de paiement intégrées;
  • l'environnement interne.
En quoi consiste la norme PCI DSS et quel est son objectif?
Au cours d'une transaction, des données sensibles telles que les numéros de cartes de crédit de vos clients sont transmises, traitées et parfois conservées pour de brefs instants. Afin de s'assurer que ces données sensibles sont adéquatement protégées durant toutes les étapes du processus transactionnel, la norme PCI DSS impose, à l'ensemble des acteurs de l'industrie du paiement, l'adoption de mesures de sécurité.

La norme PCI DSS a donc pour objectif de protéger les données reliées à l'utilisation des cartes de crédit.

À qui s'adresse la norme PCI DSS?
La norme PCI DSS s'adresse à tous les acteurs de l'industrie du paiement qui ont accès à des numéros de cartes de crédit, qu'ils soient des émetteurs de cartes, des acquéreurs de transactions ou des marchands.

Tous les marchands qui acceptent le paiement par carte de crédit et qui manient, transmettent ou conservent des numéros de cartes, doivent se conformer à la norme PCI DSS, et ce, peu importe le nombre de transactions traitées durant une année.

Quelles sont les exigences de la norme PCI DSS?
Les 12 exigences de la norme de sécurité PCI DSS

Pour être conformes, les acteurs de l'industrie du paiement qui conservent, traitent ou transmettent des numéros de cartes de crédit doivent satisfaire aux exigences suivantes :

Établir et maintenir un réseau informatique sécurisé

  1. Installer et maintenir une configuration de pare-feu pour protéger les données des détenteurs de cartes de crédit.
  2. Ne pas utiliser les paramètres par défaut du fournisseur en ce qui concerne les mots de passe pour le système et les autres paramètres de sécurité.

Protéger les données des détenteurs de cartes de crédit

  1. Protéger les données des détenteurs de cartes de crédit stockées.
  2. Chiffrer la transmission des données des détenteurs de cartes et de l'information confidentielle par le biais des réseaux publics.

Maintenir un programme de gestion de la vulnérabilité

  1. Utiliser et mettre régulièrement à jour un logiciel antivirus.
  2. Développer et maintenir des systèmes informatiques et des applications sécurisées.

Mettre en place des mesures de contrôle d'accès strictes

  1. Restreindre l'accès aux données des détenteurs de cartes aux seules personnes qui doivent les connaître.
  2. Attribuer un code d'utilisateur exclusif à chaque personne ayant accès à l'ordinateur.
  3. Restreindre l'accès physique aux données des détenteurs de cartes.

Surveiller et tester régulièrement les réseaux informatiques

  1. Effectuer le suivi et surveiller tous les accès aux ressources du réseau et aux données des détenteurs de cartes
  2. Tester régulièrement les systèmes et les processus de sécurité.

Maintenir une politique de sécurité des informations

  1. S'assurer de mettre en place des règles et une politique en matière de sécurité des informations.

Pour en savoir plus

Consulter le document PCI DSS - Conditions et procédures d'évaluation de sécurité (en format PDF, 1 Mo1)

1. Nous vous recommandons d'utiliser une ligne haute vitesse.

Quelles sont les exigences qui s'appliquent à ma situation?
Application de la norme PCI DSS selon la solution de paiement utilisée

Les exigences qui s'appliquent à votre situation dépendent des solutions de paiement que vous utilisez et de l'ampleur de l'intégration des numéros de cartes de crédit à vos processus d'affaires.

Solution de paiement par téléphone DéPOSiTEL
En utilisant notre solution de paiement par téléphone DéPOSiTEL, vous diminuez considérablement l'exposition des numéros de cartes de crédit à vos environnements de paiement.

Vous devez simplement vous assurer de ne pas conserver des numéros de cartes dans vos systèmes informatiques : les exigences de la norme PCI DSS seront alors réduites de beaucoup.

Vous devez également protéger physiquement les coupons et les papiers où figurent les numéros de cartes de crédit et vous assurer d'encadrer de façon adéquate le maniement des numéros de cartes par vos employés.

Consultez le questionnaire d'auto-évaluation A publié par le Conseil des normes de sécurité PCI pour obtenir un aperçu des exigences applicables à votre situation.
Terminaux de paiement
En utilisant les terminaux de paiement Desjardins, vous diminuez considérablement l'exposition des numéros de cartes de crédit à vos environnements de paiement.

Assurez-vous de ne pas conserver des numéros de cartes dans vos systèmes informatiques : les exigences de la norme PCI DSS seront alors réduites de beaucoup.

Consultez le questionnaire d'auto-évaluation B publié par le Conseil des normes de sécurité PCI pour obtenir un aperçu des exigences applicables à votre situation.
Terminaux de paiement pour des transactions sans présence de cartes
Si vous acceptez des transactions sans manier de cartes, assurez-vous de ne pas conserver des numéros de cartes dans vos systèmes informatiques. Les exigences de la norme PCI DSS seront alors réduites de beaucoup.

Vous devez également protéger physiquement les coupons et les papiers où figurent les numéros de cartes de crédit et vous assurer d'encadrer de façon adéquate le maniement des numéros de cartes par vos employés.

Consultez le questionnaire d'auto-évaluation A publié par le Conseil des normes de sécurité PCI pour obtenir un aperçu des exigences applicables à votre situation.
Solution semi-intégrée FLEX
La solution semi-intégrée FLEX de Desjardins vous permet d'interfacer de manière partielle vos systèmes de caisse avec les équipements de paiement sans exposer vos systèmes à la lecture des numéros de carte de crédit.

Assurez-vous de ne pas conserver des numéros de cartes dans vos systèmes informatiques : les exigences de la norme PCI DSS seront alors réduites de beaucoup.

Consultez le questionnaire d'auto-évaluation B publié par le Conseil des normes de sécurité PCI pour obtenir un aperçu des exigences applicables à votre situation.
Solutions intégrées avec chiffrement complet
Les solutions intégrées avec l'option du chiffrement complet de Desjardins vous permettent d'interfacer de manière complète vos systèmes de caisse avec nos équipements de paiement, et ce, sans exposer vos systèmes à des numéros de cartes de crédit. Des numéros de cartes transitent alors par vos systèmes mais ces numéros sont chiffrés de manière à ce que vous ne puissiez jamais y être exposés. Desjardins se charge de la protection des numéros de cartes; vous n'avez donc pas à les protéger.

Assurez-vous simplement de ne pas conserver des numéros de cartes dans vos systèmes informatiques : les exigences de la norme PCI DSS seront alors réduites de beaucoup.

Consultez le questionnaire d'auto-évaluation B publié par le Conseil des normes de sécurité PCI pour obtenir un aperçu des exigences applicables à votre situation.

Solutions intégrées sans chiffrement complet
Les solutions intégrées exigent par défaut que des numéros de cartes soient exposés à vos systèmes durant les transactions.

Vous devriez vous assurer de ne conserver, traiter ou transmettre des numéros de cartes de crédit qu'aux endroits absolument nécessaires à vos opérations. Vous pouvez aussi opter pour la solution avec chiffrement complet qui élimine l'exposition de vos systèmes à des numéros de cartes de crédit durant les transactions.

Consultez le site du Conseil des normes de sécurité PCI pour obtenir plus d'information sur les exigences applicables à votre environnement et référez-vous à son questionnaire d'auto-évaluation C pour vous procurer un aperçu de ces exigences.
Solution par Internet avec page de paiement hébergée
En utilisant une solution de paiement par Internet avec une page de paiement hébergée qui se dirige vers les serveurs d'une tierce partie conforme à la norme PCI DSS, vous diminuez considérablement votre exposition aux numéros de cartes de crédit.

Vous devez simplement vous assurer de ne pas conserver des numéros de cartes dans vos systèmes informatiques : les exigences de la norme PCI DSS seront alors réduites de beaucoup.

Consultez le questionnaire d'auto-évaluation A publié par le Conseil des normes de sécurité PCI pour obtenir un aperçu des exigences applicables à votre situation.
Solution par Internet avec page de paiement non hébergée
Les solutions de paiement par Internet avec une page de paiement non hébergée vers les serveurs d'une tierce partie conforme à la norme PCI DSS exigent par défaut que des numéros de cartes soient exposés à vos systèmes durant les transactions.

Vous devriez vous assurer de ne conserver, traiter ou transmettre des numéros de cartes de crédit qu'aux endroits absolument nécessaires à vos opérations. Vous pouvez aussi opter pour notre solution de paiement par Internet avec une page de paiement hébergée par une tierce partie conforme à la norme PCI DSS, ce qui éliminerait les risques d'exposition de vos systèmes à des numéros de cartes de crédit durant les transactions.

Consultez le site du Conseil des normes de sécurité PCI pour obtenir plus d'information sur les exigences applicables à votre environnement et référez-vous à son questionnaire d'auto-évaluation D pour vous procurer un aperçu de ces exigences.
Solution de paiement en lot
Les solutions de paiement en lot par transfert de fichiers exigent par défaut que vous conserviez des numéros de cartes dans vos systèmes.

Vous devriez vous assurer de ne conserver, traiter ou transmettre des numéros de cartes de crédit qu'aux endroits absolument nécessaires à vos opérations.

Vous devez également protéger physiquement les coupons et les papiers où figurent les numéros de cartes de crédit et vous assurer d'encadrer de façon adéquate le maniement des numéros de cartes par vos employés.

Consultez le site du Conseil des normes de sécurité PCI pour obtenir plus d'information sur les exigences applicables à votre environnement et référez-vous à son questionnaire d'auto-évaluation D pour vous procurer un aperçu de ces exigences.

Je sais que je dois me conformer mais dois-je prouver cette conformité à mon acquéreur?
Cela dépend de votre niveau marchand. Ce niveau est déterminé en fonction :
  • du nombre de transactions annuelles que vous effectuez par l'entremise des réseaux de paiement VISA et MasterCard;
  • de votre type de commerce : avez-vous pignon sur rue ou faites-vous du commerce électronique?

En effet, les marchands sont catégorisés selon ces critères, qui vont du niveau le plus élevé (niveau 1) au moins élevé (niveau 4). Il est important de mentionner que le niveau d'un marchand peut varier d'un réseau de paiement à un autre si le nombre de transactions annuelles par types de cartes n'est pas le même. Par conséquent, un marchand pourrait être d'un certain niveau avec MasterCard et d'un autre avec VISA. Le niveau retenu devrait toutefois être le plus élevé, mais cela demeure à la discrétion de l'acquéreur.

Niveaux de conformité à la norme PCI DSS1

Niveau
Nombre de transactions annuelles
Type de commerce
1
Plus de 6 000 000
Tous les types
2
De 1 000 000 à 6 000 000
Tous les types
3
De 20 000 à 1 000 000
Commerce électronique
4
Moins de 1 000 000
Commerce ayant pignon sur rue
4
Moins de 20 000
Commerce électronique

Une fois le « niveau marchand » établi, le marchand a la responsabilité de prouver sa conformité à la norme PCI DSS selon les exigences suivantes.

Marchand de niveau 1, 2 ou 3

  • Desjardins communique avec vous afin de s'assurer de votre conformité à la norme.

Marchand de niveau 4

  • Vous pouvez vous-même valider votre conformité ou embaucher, à votre discrétion, un auditeur certifié ou un autre accompagnateur.
  • Vous n'avez pas à informer Desjardins de l'avancement de vos travaux et de votre statut de conformité à la norme PCI DSS.
  • Vous n'avez pas à prouver chaque année à Desjardins votre conformité à la norme PCI DSS.

Pour en savoir plus

Consultez la liste officielle des auditeurs (en anglais seulement) mise à jour par le Conseil PCI.

À quoi je m'expose en n'appliquant pas les règles de la norme PCI DSS?
S'il est prouvé qu'un marchand compromis par l'exposition non protégée de numéros de cartes n'est pas conforme à la norme PCI DSS, ce marchand peut faire face à des amendes, payer éventuellement les frais d'enquête et demeurer responsable des fraudes engendrées. Pour la sécurité de votre entreprise ainsi que celle de vos clients, il est donc essentiel de vous conformer aux normes PCI DSS.

Pourquoi mettre en application les mesures de contrôle PCI DSS?
Pour préserver votre image :
  • L'idéal pour fidéliser et accroître votre clientèle.
Pour vous doter d'un avantage concurrentiel :
  • Un argument commercial positif et un avantage stratégique, particulièrement pour les fabricants de logiciels de caisse et leurs distributeurs.
Pour sensibiliser vos employés à la protection des données confidentielles :
  • Enrichir les connaissances en matière de sécurisation des données tout en favorisant de bonnes pratiques sécuritaires chez tous vos employés est une réussite en soi.
Pour vous protéger, ainsi que les consommateurs, contre la fraude et les litiges potentiels :
  • Tout le monde gagne à établir un climat de confiance.
 

À titre de marchand, vous avez à cœur d'offrir à vos clients des solutions de paiement sécurisé. Grâce à la norme PCI DSS, vous êtes en mesure de répondre efficacement à leurs attentes et d'accroître leur satisfaction à l'égard de vos services.

Pour en savoir plus

Consultez le forum mondial du PCI Security Standards Council


Télécharger le lecteur PDF Adobe Reader

Desjardins – Partager cette pageDesjardins – Évaluer cette page

À consulter