Retour à la page d’accueil Square

Norme PCI DSS - Comment réaliser un paiement sécurisé ?

La violation de la conformité PCI peut entraîner de lourdes amendes pour vous et votre entreprise. Apprenez-en plus sur la conformité PCI DSS et voyez comment Square vous protège - gratuitement.

De Square
15 septembre 2021

La violation de la conformité PCI peut entraîner de lourdes amendes pour vous et votre entreprise. Apprenez-en plus sur la conformité PCI DSS et voyez comment Square vous protège - gratuitement.

Introduction à la conformité PCI

Lorsqu’il s’agit d’une entreprise en pleine croissance, la sûreté et la sécurité de vos informations et données sensibles et de celles de vos clients sont probablement au cœur de vos préoccupations, surtout lorsqu’il s’agit de paiements.

Les nouvelles avancées en matière de commerce et de technologie des paiements s’accompagnent souvent de nouvelles règles et réglementations visant à garantir la protection des entreprises et des consommateurs. C’est le cas de la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), une norme mise en place par les cinq plus grandes sociétés de cartes bancaires pour contribuer à réduire les coûteuses violations de données des consommateurs et des banques.

Comprendre la conformité à la norme PCI DSS peut sembler insurmontable pour les décideurs en entreprise. Dans ce guide, nous vous expliquons ce qu’il faut savoir sur la conformité PCI DSS et nous vous guidons à travers les étapes nécessaires pour protéger votre entreprise et vos clients.

Six questions fréquemment posées sur la conformité PCI

Que signifie la conformité à la norme PCI DSS ?

PCI DSS est l’abréviation de Payment Card Industry Data Security Standard (norme de sécurité des données de l’industrie des cartes de paiement), qui définit les exigences auxquelles doivent se conformer les organisations et les vendeurs pour accepter, stocker, traiter et transmettre de manière sûre et sécurisée les données des titulaires de cartes lors des transactions par carte bancaire, afin de prévenir la fraude et les violations de données.

Qui a besoin de la certification de conformité à la norme PCI DSS ?

Bien que la “certification PCI” n’existe pas techniquement, les vendeurs de toutes tailles, les prestataires de services, les banques et toute autre organisation traitant des paiements par carte bancaire doivent prouver qu’ils sont conformes à la norme PCI.

Quels sont les niveaux de conformité PCI DSS ?

Il existe quatre niveaux de conformité PCI ; chaque niveau comporte des exigences uniques permettant à une entreprise de valider sa conformité. Le niveau auquel votre entreprise appartient est basé sur votre volume total de transactions, par an.

Quel est le coût de la conformité à la norme PCI DSS ?

Les frais pour devenir conforme à la norme PCI et maintenir cette conformité chaque année peuvent aller d’environ 500 €par an à plus de 40 000 €par an, selon la taille de votre entreprise.

Suis-je responsable d’un questionnaire d’auto-évaluation de la conformité PCI DSS (SAQ) ? Le questionnaire d’auto-évaluation PCI DSS est une liste de contrôle allant de 19 à 87 pages, créée et distribuée par le PCI Security Standards Council. Il est utilisé comme un mécanisme permettant aux vendeurs d’auto-évaluer leur conformité PCI DSS. Square n’exige pas des vendeurs qu’ils remplissent un SAQ, ou qu’ils s’auto-valident, puisque le matériel et le logiciel de Square sont conformes à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS).

Y a-t-il des frais de non-conformité PCI ?

Oui, il y a généralement des frais associés à la non-conformité PCI. Si votre entreprise ne se conforme pas aux normes PCI, vous risquez de subir des violations de données, des amendes, des coûts de remplacement des cartes, des audits et des enquêtes médico-légales coûteux sur votre entreprise, des dommages à votre marque, etc.

Conformité PCI : Une plongée en profondeur

Vendeur Square ou non, il est toujours utile de comprendre la conformité PCI, car son respect fait partie de la protection de la sécurité des informations financières de vos clients et de votre entreprise.

  1. Installez et maintenez une configuration de pare-feu pour protéger les données des titulaires de cartes.
  2. N’utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité.
  3. Protégez les données stockées des titulaires de cartes.
  4. Cryptez la transmission des données des titulaires de cartes sur les réseaux ouverts et publics.
  5. Utilisez et mettez régulièrement à jour un logiciel anti-virus.
  6. Développez et maintenez des systèmes et des applications sécurisés.
  7. Limitez l’accès aux données des titulaires de cartes en fonction du besoin d’information de l’entreprise.
  8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur.
  9. Limitez l’accès physique aux données des titulaires de cartes.
  10. Suivez et contrôlez tous les accès aux ressources du réseau et aux données des titulaires de cartes.
  11. Testez régulièrement les systèmes et processus de sécurité.
  12. Maintenez une politique de sécurité et assurez-vous que tout le personnel en a connaissance.

*Cette liste de contrôle de conformité PCI a été récupérée en juillet 2018 et peut ne pas être à jour, alors assurez-vous d’être conforme en vendant avec Square ou en consultant le site du Conseil des normes de sécurité PCI.

Comprendre l’histoire sur la norme de sécurité des données de l’industrie des cartes de paiement.

La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est née en 2006, au moment où Internet est apparu comme un outil nécessaire et précieux pour les entreprises de toutes tailles. Alors que l’ère Internet commençait à atteindre sa maturité, les entreprises qui ont choisi de tirer parti de sa puissance ont commencé à mettre en ligne leurs systèmes de traitement des paiements, en les connectant sans fil à leurs terminaux physiques et virtuels. Pendant ce temps, les consommateurs ont commencé à se sentir plus à l’aise avec les cartes bancaires pour effectuer des achats en ligne et hors ligne.

La pertinence historique de ces normes de sécurité est essentielle pour comprendre comment et pourquoi les normes PCI ont évolué. Ces nouveaux modes de commerce ont exposé les entreprises et les consommateurs à des risques de plus en plus importants, et les possibilités pour les fraudeurs de voler des informations sur les cartes bancaires à partir de réseaux et de systèmes de paiement non sécurisés se sont multipliées.

En réponse à l’augmentation des vols de données, les cinq plus grandes marques de cartes bancaire - American Express, MasterCard et Visa - ont mis en place la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) afin d’éviter les coûteuses violations de données des consommateurs et des banques. C’est avec l’avènement de cette réglementation, et du Conseil des normes de sécurité PCI, que la conformité PCI est devenue - et reste - une étape importante dans la réglementation de la sécurité du secteur des paiements par carte bancaire.

Pour faciliter la gestion des normes de conformité, les marques de paiement ont également créé le Conseil des normes de sécurité PCI en tant qu’organe indépendant, destiné à “surveiller les menaces et à améliorer les moyens dont dispose le secteur pour y faire face, en améliorant les normes de sécurité PCI et en formant les professionnels de la sécurité”.

Il est important de noter, cependant, que les sociétés de cartes bancaires ont fait de la conformité PCI un mandat autorégulé, ce qui signifie qu’elles ont transféré la responsabilité du maintien de la conformité pour toutes les parties du cycle de vie du traitement des paiements aux vendeurs et aux organisations.

Ainsi, alors que le Conseil est chargé de définir les normes et d’établir les exigences auxquelles les vendeurs doivent se conformer - comme les applications conformes à la norme PCI et les questionnaires d’auto-évaluation (SAQ) ou les listes de contrôle - les marques de paiement sont chargées de les faire respecter par les vendeurs et les organisations qui acceptent les cartes bancaires.

Avant de commencer à explorer plus en profondeur les normes de conformité PCI, il est important de noter que, dans l’ensemble, les cartes bancaires sont sûres et, grâce à de nouvelles règles et normes comme les cartes bancaires EMV, elles deviennent encore plus sûres (nous en parlerons plus tard). Mais même les plus grandes marques peuvent toujours être exposées à des violations de données importantes liées aux cartes bancaires.

Que vous soyez une entreprise ou une petite entreprise secondaire, vous avez probablement déjà entendu le terme PCI DSS. En maintenant la conformité PCI, vous pouvez aider à défendre votre entreprise contre les pirates qui peuvent s’emparer des données sensibles des titulaires de cartes et les utiliser pour se faire passer pour des titulaires de cartes ou voler leur identité.

Qu’est-ce que la conformité à la norme PCI DSS ?

La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) fait référence aux normes de sécurité des paiements qui garantissent que tous les vendeurs acceptent, stockent, traitent et transmettent de manière sûre et sécurisée les données des titulaires de cartes (également connues sous le nom d’informations sur les cartes bancaires de vos clients) lors d’une transaction par carte bancaire.

Tout commerçant disposant d’un numéro d’identification de commerçant et acceptant les cartes de paiement doit respecter ces règles de conformité PCI pour se protéger contre les violations de données. Les exigences vont de l’établissement de politiques de sécurité des données pour votre entreprise et vos employés à la suppression des données de carte de votre système de traitement et de vos terminaux de paiement.

“Les données relatives au titulaire de la carte ou au paiement comprennent des informations telles que le numéro de compte primaire (PAN) complet, le nom du titulaire de la carte, le code de service de la carte bancaire et la date d’expiration. Les vendeurs sont également responsables de la protection des données d’authentification sensibles contenues dans les données de la carte (par exemple, CAV2, CVC2, CVV2, CID, NIP, blocs NIP et autres).

Le diagramme de carte bancaire ci-dessus montre où les données uniques et sensibles du titulaire de la carte sont contenues dans une carte bancaire. Votre entreprise devrait éviter de stocker les données figurant dans ce diagramme ; si vous le faites, vous devrez probablement présenter une bonne raison commerciale pour le stockage et démontrer que vous avez mis en place les mécanismes appropriés pour les protéger.

Pour identifier les endroits où votre entreprise pourrait être vulnérable à une attaque, il est important de connaître les endroits où les données sensibles des titulaires de cartes peuvent être volées. Par exemple, les données peuvent être volées :

  • Des lecteurs de cartes compromis
  • Bases de données de systèmes de paiement non sécurisées
  • Caméras cachées enregistrant la saisie des données d’authentification
  • Un accès secret au réseau sans fil ou câblé de votre magasin.
  • Du papier stocké dans un classeur ou des notes écrites

Il est donc important de sécuriser l’ensemble du cycle de vie du paiement, de l’acceptation de la carte bancaire au traitement du paiement, en protégeant les données du titulaire de la carte là où elles sont saisies au point de vente et lorsqu’elles passent dans le système de paiement vers votre compte marchand.

Les normes PCI s’appliquent à :

  • Les lecteurs de cartes bancaires
  • Systèmes de caisse
  • Réseaux de magasins et routeurs d’accès sans fil
  • Le stockage et la transmission des données de cartes de paiement
  • Données de cartes de paiement stockées dans des dossiers papier
  • Applications de paiement en ligne et paniers d’achat

Comme vous pouvez le deviner, devenir conforme à la norme PCI et maintenir cette conformité peut être un processus complexe ; il peut impliquer la mise en œuvre de contrôles de sécurité, l’embauche d’un consultant tiers coûteux pour installer des logiciels et du matériel coûteux, et la signature d’un contrat coûteux et contraignant dans lequel vous acceptez les conditions de la banque pour la conformité annuelle à la norme PCI, la réalisation d’auto-évaluations annuelles, etc.

Qu’est-ce que la conformité PCI-SPoC ?

PCI-SPoC est une norme qui s’applique aux applications fonctionnant sur vos appareils (iPad, téléphone mobile) qui peuvent avoir besoin d’accepter des codes PIN pour effectuer des transactions. Square soumet ces applications à un processus de certification rigoureux afin de garantir l’intégrité de toutes les données qui s’y trouvent. Il y a quelques étapes que nous vous demandons de garder à l’esprit.

Quels sont les niveaux et les exigences de conformité PCI ?

Si votre entreprise accepte les cartes de paiement de l’un des cinq membres de la marque de cartes bancaires PCI SSC (American Express, MasterCard et Visa), vous devez être conforme à la norme PCI à différents niveaux, en fonction du volume de vos transactions.

N’oubliez pas que les exigences en matière de rapports de conformité ne sont pas toutes les mêmes - elles peuvent varier en fonction de votre volume de traitement. Par exemple, les vendeurs dont le volume de transactions est plus élevé (comme décrit dans la matrice ci-dessous) doivent travailler avec des évaluateurs de sécurité internes (ISA), des évaluateurs de sécurité qualifiés (QSA) et des fournisseurs de scans approuvés par PCI (ASV).

Il existe quatre niveaux de conformité différents ; ces niveaux stipulent les exigences dont les vendeurs sont responsables. Le PCI Council considère que la note de passage est la conformité à 100 % des critères. En raison de cette responsabilité complexe, de nombreuses grandes entreprises choisissent de travailler avec un consultant en conformité PCI sur les normes et la manière de répondre à ces exigences de niveau de conformité PCI.

Chaque vendeur entre dans l’une des quatre catégories en fonction de son volume de transactions sur une période de 12 mois.

Quelles sont les conséquences de la non-conformité ?

Si vous ne connaissez pas les règles relatives à la conformité PCI ou les conséquences de la non-conformité, vous n’êtes pas seul.

Si votre entreprise ne se conforme pas aux normes PCI, vous risquez de subir des violations de données, des amendes, des coûts de remplacement des cartes, des audits et des enquêtes médico-légales coûteux sur votre entreprise, des dommages à la marque, et plus encore si une violation se produit.

En fait, 30 % des petites entreprises déclarent ne pas connaître les sanctions prévues en cas de non-conformité à la norme PCI DSS 3.0.

Les pénalités ne sont pas très médiatisées, mais elles peuvent être destructrices pour les entreprises. Par exemple, si votre entreprise ne respecte pas les normes de conformité PCI, les marques de cartes bancaires peuvent infliger des amendes allant de 4000 à 85000 €par mois à votre banque acquéreuse. Les banques répercutent souvent ce coût sur le commerçant et peuvent mettre fin à des contrats ou augmenter les frais de transaction en réponse à des infractions et des violations.

Outre le coût financier, d’autres responsabilités potentielles peuvent affecter votre entreprise. Selon les normes de sécurité PCI, le non-respect des normes PCI et les violations de données qui en résultent peuvent entraîner les conséquences suivantes :

  • Perte de confiance, les clients se tournent alors vers d’autres commerçants
  • Diminution des ventes
  • Coût de la réémission de nouvelles cartes de paiement
  • Pertes dues à la fraude
  • Augmentation des coûts ultérieurs de mise en conformité
  • Frais juridiques, règlements et jugements
  • Amendes et pénalités
  • Suppression de la capacité d’accepter des cartes de paiement
  • Perte d’emplois (CISO, CIO, CEO et postes professionnels dépendants)
  • Fermeture de l’entreprise

Combien cela coûte-t-il d’être conforme à la norme PCI ?

Devenir et maintenir une entreprise conforme à la norme PCI peut être coûteux, selon le type et la taille de votre entreprise et le niveau de conformité auquel vous êtes tenu.

Par niveau, les coûts varient généralement de :

Niveau 4 : 50 à 65 € par mois et plus.
Le coût comprend le recours à un fournisseur de services de balayage agréé (ASV), qui doit effectuer un balayage régulier du réseau ou du site Web, ainsi que le remplissage d’un questionnaire d’auto-évaluation (SAQ) et l’attestation de conformité par vous-même ou votre personnel.

Niveau 3 : 1 000 € par an et plus
Vos coûts comprennent des analyses régulières par les ASV et augmentent en fonction de la taille de votre réseau informatique et du nombre d’adresses IP, ainsi que le coût du remplissage du questionnaire d’auto-évaluation et de l’attestation de conformité annuels.

Niveau 2 : 8 500 € par an et plus
Vos coûts comprennent des analyses régulières par des ASV et augmentent en fonction de la taille de votre réseau informatique et du nombre d’adresses IP, ainsi que le coût du questionnaire d’auto-évaluation et de l’attestation de conformité annuels.

Niveau 1 : 42 500 € par an et plus
Vos coûts comprennent une analyse régulière du réseau par un fournisseur d’analyse agréé, un rapport annuel de conformité par un évaluateur de sécurité qualifié et une attestation de conformité.

Méfiez-vous des fournisseurs de services prédateurs qui facturent des frais élevés mais ne satisfont qu’une partie de vos exigences PCI.

Square s’occupe de la conformité PCI de votre entreprise

Square est conforme à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS). Vous n’avez donc pas besoin de valider individuellement votre état de conformité.

Nos matériels/lecteurs sont dotés d’un cryptage de bout en bout dès leur sortie de l’emballage, sans configuration requise et sans coût supplémentaire - sans frais mensuels ni obligation d’évaluation annuelle. Nous maintenons un logiciel conforme à la norme PCI sans coût supplémentaire pour vous, sans contrat mensuel ni engagement à long terme. Si vous utilisez Square pour le stockage, le traitement et la transmission des données des cartes de vos clients, vous n’avez pas besoin de prendre des mesures pour valider votre conformité PCI auprès de Square, et vous n’avez pas besoin de payer des frais de conformité PCI.

Square est le commerçant enregistré pour chaque transaction. Nous traitons avec les banques en votre nom, y compris la conformité PCI, la réglementation et le traitement. Nous plaidons en votre nom pour nous assurer que les erreurs simples, les erreurs honnêtes et les litiges sont résolus de manière équitable.

L’approche technique de Square en matière de sécurité est également conçue pour vous protéger, vous et vos clients. Nous adhérons aux principales normes PCI du secteur pour gérer notre réseau, sécuriser nos applications Web et clients, et définir des politiques dans toute notre organisation. Le système de paiement intégré de Square fournit un cryptage de bout en bout pour chaque transaction au moment de la lecture, de l’écriture ou de l’utilisation, et tokenise les données une fois qu’elles atteignent nos serveurs. De plus, nous surveillons chaque transaction, de l’acceptation au paiement, nous innovons en permanence dans la prévention des fraudes et nous protégeons vos données comme si notre activité en dépendait, car c’est le cas.

Square

The Square Editorial Team is dedicated to telling stories of business, for business owners. Our team comes from a variety of backgrounds and share a passion for providing information that helps businesses to start, run, and grow. The team is based in San Francisco, but has collaborators all over the country.

Retour au début
Partager
Démarrer Contacter l’équipe des ventes