PCI DSS : une norme obligatoire depuis 2005

Conçue par les principaux fournisseurs de cartes de paiement (Visa Inc., MasterCard Worldwide, Discover Network, American Express et JCB), la norme PCI DSS définit l’ensemble des règles, des bonnes pratiques et processus de sécurité à respecter par les entreprises qui traitent, transmettent et stockent des données de cartes bancaires. Légalement parlant, la mise en conformité avec PCI DSS n’est pas obligatoire pour les marchands. Toutefois, devant la montée en puissance de la cybercriminalité et, en particulier, la recrudescence d’attaques informatiques visant à dérober des données confidentielles, les fournisseurs de cartes de paiement durcissent leur position. Et demandent aux banques de vérifier que leurs clients e-commerçants respectent ce standard. En imposant progressivement la norme PCI DSS, leur objectif est clair : ne plus assumer la responsabilité de transactions réalisées sur des systèmes non conformes/vérifiés régulièrement.

PCI-DSS : un système contraignant

Le standard PCI DSS implique, pour les marchands, une infrastructure informatique rigoureusement sécurisée (protection physique et logique des données), et des procédures de sécurité documentées et scrupuleusement appliquées. Contraignant, il impose de respecter les 12 critères suivants :

– Création et gestion d’un réseau sécurisé
1. Installer et gérer une configuration de pare-feu pour protéger les données
2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité définis par défaut par le fournisseur
– Protection des données des titulaires de carte de crédit
3. Protéger les données des titulaires de carte stockées (non stockage des données d’authentification sensibles : code PAN, code NIP, etc.)
4. Crypter la transmission des données de titulaire de carte sur les réseaux publics ouverts
– Gestion d’un programme de gestion des vulnérabilités
5. Utiliser des logiciels ou des programmes antivirus et les mettre à jour régulièrement
6. Développer et gérer des systèmes et des applications sécurisés
– Mise en œuvre de mesures de contrôle d’accès strictes
7. Restreindre l’accès aux données des titulaires de carte aux seuls individus qui doivent les connaître
8. Affecter un ID unique à chaque utilisateur
9. Restreindre l’accès physique aux données des titulaires de carte
– Surveillance et test réguliers des réseaux
10. Contrôler et assurer la traçabilité de tous les accès aux ressources et données des titulaires de cartes disponibles sur le réseau
11. Tester régulièrement les processus et les systèmes de sécurité
– Mise en place d’une politique de sécurité
12. Documenter la politique de sécurité et s’assurer que l’ensemble du personnel en a connaissance et la respecte

Les quatre niveaux de conformité PCI DSS

Quelle que soit leur taille, l’ensemble des e-commerçants sont tenus de respecter les exigences PCI DSS. Toutefois, selon le nombre de transactions traitées par an, les règles et les procédures de conformité varient. Au total, 4 niveaux de conformité ont été créés pour les marchands :

– Niveau 1 : plus de 6 millions de transactions par an (ou en cas de fraude déjà constatée).

Un audit de sécurité, réalisé par un organisme extérieur accrédité (Qualified Security Assessor -QSA) ainsi qu’un scan de vulnérabilité trimestriel sont obligatoires pour obtenir la certification.

– Niveau 2 : entre 1 et 6 millions de transactions par an.

Un questionnaire d’auto-évaluation (5 types de questionnaires en fonction de l’activité), une déclaration d’exactitude des réponses et un scan de vulnérabilité trimestriel.

– Niveau 3 : de 20 000 à 1 millions de transactions par an.

Un questionnaire d’auto-évaluation, une déclaration d’exactitude des réponses et un scan de vulnérabilité trimestriel.

– Niveau 4 : moins de 20 000 transactions par an.

Un questionnaire d’auto-évaluation et une déclaration d’exactitude des réponses.

Une conformité renouvelable chaque année

En outre, les marchands doivent renouveler leurs démarches pour démontrer leur conformité à PCI DSS chaque année… Mais au prix de quels efforts ?

Pour les entreprises qui opèrent moins de 20 000 transactions par an, la conformité n’est conditionnée « qu’à » un formulaire d’auto-évaluation, mais elles devront à partir du 1er janvier 2013, apporter la preuve que leur système est réellement conforme PCI DSS pour pouvoir être couvertes par Visa. A l’opposé, les entreprises qui traitent plus de 6 millions de transactions par an sont soumises à un audit de conformité annuel. Si la plupart des très grands marchands sont déjà conformes, voire certifiés, ils doivent déployer des efforts financiers et humains lourds pour maintenir le haut niveau de sécurité exigé par le standard PCI DSS…

S’appuyer sur un tiers de confiance ?

Or, tous les spécialistes de la sécurité s’accordent à dire que le nombre de menaces informatiques progresse d’une année sur l’autre, mais surtout que les cibles attaquées et les moyens employés se diversifient : le pirates s’en prennent désormais aux smartphones, aux tablettes, ou encore aux réseaux sociaux, en plus des désormais « attaques traditionnelles » de sites Web.

Pour les marchands, n’est-ce pas l’heure de se poser à nouveau les questions suivantes : mon cœur de métier est-il de protéger mes données, ou bien de vendre ? N’est-il pas temps d’externaliser le traitement, le stockage et la transmission des données de paiement à une banque ou un opérateur de paiement certifié PCI DSS de niveau 1 ? En effet, dans ce cas, le processus pour démontrer sa conformité à PCI DSS est simplifié : c’est ce tiers de confiance qui porte la responsabilité de respecter les critères imposés par la norme…