Depuis 2005, plus de 11 milliards de dossiers de consommateurs ont été compromis à la suite de plus de 8 500 violations de données. Ce sont les derniers chiffres du Privacy Rights Clearinghouse, qui rend compte des violations de données et des atteintes à la sécurité affectant les consommateurs depuis 2005.
Pour améliorer la sécurité des données des consommateurs et la confiance dans l’écosystème de paiement, une norme minimale de sécurité des données a été créée. Visa, Mastercard, American Express, Discover et JCB ont formé le Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI SSC) en 2006 pour administrer et gérer les normes de sécurité pour les entreprises qui traitent les données de cartes de crédit. Avant la création du PCI SSC, ces cinq sociétés de cartes de crédit avaient toutes leurs propres programmes de normes de sécurité – chacune avec des exigences et des objectifs à peu près similaires. Ils se sont regroupés par le biais de la norme PCI SSC pour s’aligner sur une politique standard, les Normes de sécurité des données PCI (appelées PCI DSS), afin d’assurer un niveau de protection de base aux consommateurs et aux banques à l’ère d’Internet.
- Comprendre la norme PCI DSS peut être complexe et difficile
- Aperçu de la norme de sécurité des données PCI (PCI DSS)
- Traitement des données de carte
- Stockage sécurisé des données
- Validation annuelle
- Construire et maintenir un réseau et des systèmes sécurisés
- Protéger les données du titulaire de carte
- Maintenir un programme de gestion des vulnérabilités
- Mettre en œuvre de solides mesures de contrôle d’accès
- Surveiller et tester régulièrement les réseaux
- Maintenir une politique de sécurité de l’information
- Guide étape par étape de la conformité PCI DSS v3.2.1
- Cartographiez vos flux de données
- Vérifiez les contrôles et protocoles de sécurité
- Surveiller et maintenir
- Comment Stripe aide les entreprises à atteindre et à maintenir la conformité PCI
- Conclusion
- La conformité PCI aide. Ce n’est tout simplement pas suffisant.
Comprendre la norme PCI DSS peut être complexe et difficile
Si votre modèle commercial vous oblige à gérer les données de carte, vous devrez peut-être respecter chacun des plus de 300 contrôles de sécurité de la norme PCI DSS. Il y a plus de 1 800 pages de documentation officielle, publiées par le Conseil PCI, sur la PCI DSS, et plus de 300 pages pour comprendre quel(s) formulaire (s) utiliser lors de la validation de la conformité. Cela prendrait plus de 72 heures juste pour lire.
Pour alléger ce fardeau, voici un guide étape par étape pour valider et maintenir la conformité PCI.
Aperçu de la norme de sécurité des données PCI (PCI DSS)
La norme PCI DSS est la norme de sécurité mondiale pour toutes les entités qui stockent, traitent ou transmettent des données de titulaire de carte et/ou des données d’authentification sensibles. La norme PCI DSS définit un niveau de protection de base pour les consommateurs et contribue à réduire la fraude et les violations de données dans l’ensemble de l’écosystème de paiement. Elle s’applique à toute organisation qui accepte ou traite les cartes de paiement.
La conformité PCI DSS implique 3 choses principales:
- Gérer l’entrée des données de carte de crédit des clients, à savoir que les détails sensibles de la carte sont collectés et transmis en toute sécurité
- Stocker les données en toute sécurité, ce qui est décrit dans les 12 domaines de sécurité de la norme PCI, tels que le cryptage, la surveillance continue et les tests de sécurité de l’accès aux données de carte
- Valider chaque année que les contrôles de sécurité requis sont en place, ce qui peut inclure des formulaires, des questionnaires, des services d’analyse de vulnérabilité externes et des audits tiers ( voir le guide étape par étape ci-dessous pour un tableau avec les quatre niveaux de exigences)
Traitement des données de carte
Certains modèles d’affaires nécessitent le traitement direct des données de carte de crédit sensibles lors de l’acceptation des paiements, tandis que d’autres ne le font pas. Les entreprises qui doivent gérer les données de la carte (par exemple, accepter des casseroles non traitées sur une page de paiement) peuvent être tenues de respecter chacun des plus de 300 contrôles de sécurité de la norme PCI DSS. Même si les données de la carte ne traversent ses serveurs que pour un court instant, l’entreprise devrait acheter, implémenter et maintenir des logiciels et du matériel de sécurité.
Si une entreprise n’a pas besoin de gérer des données de carte de crédit sensibles, elle ne devrait pas le faire.Les solutions tierces (par exemple, les éléments Stripe) acceptent et stockent les données en toute sécurité, ce qui élimine une complexité, des coûts et des risques considérables. Étant donné que les données de la carte ne touchent jamais ses serveurs, l’entreprise n’aurait besoin que de confirmer 22 contrôles de sécurité, dont la plupart sont simples, tels que l’utilisation de mots de passe forts.
Stockage sécurisé des données
Si une organisation gère ou stocke des données de carte de crédit, elle doit définir la portée de son environnement de données du titulaire de carte (CDE). La norme PCI DSS définit le CDE comme les personnes, processus et technologies qui stockent, traitent ou transmettent des données de carte de crédit — ou tout système qui y est connecté. Étant donné que les plus de 300 exigences de sécurité de la norme PCI DSS s’appliquent au CDE, il est important de segmenter correctement l’environnement de paiement du reste de l’entreprise afin de limiter la portée de la validation PCI. Si une organisation ne parvient pas à contenir la portée CDE avec une segmentation granulaire, les contrôles de sécurité PCI s’appliqueront alors à tous les systèmes, ordinateurs portables et périphériques de son réseau d’entreprise. Yikes!
Validation annuelle
Quelle que soit la façon dont les données de carte sont acceptées, les organisations sont tenues de remplir un formulaire de validation PCI chaque année. La façon dont la conformité PCI est validée dépend d’un certain nombre de facteurs, qui sont décrits ci-dessous. Voici 3 scénarios dans lesquels une organisation pourrait être invitée à montrer qu’elle est conforme à la norme PCI:
- Les processeurs de paiement peuvent le demander dans le cadre de leurs rapports requis aux marques de cartes de paiement
- Les partenaires commerciaux peuvent le demander comme condition préalable à la conclusion d’accords commerciaux
- Pour les entreprises de plate-forme (celles dont la technologie facilite les transactions en ligne entre plusieurs ensembles distincts d’utilisateurs), les clients peuvent le demander pour montrer à leurs clients qu’ils traitent des données en toute sécurité
Le dernier ensemble de sécurité normes PCI DSS version 3.2.1, comprend 12 exigences principales avec plus de 300 sous-exigences qui reflètent les meilleures pratiques de sécurité.
- Installer et maintenir une configuration de pare-feu pour protéger les données du titulaire de carte
- Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité
- Protéger les données stockées du titulaire de carte
- Crypter la transmission données des titulaires de carte sur des réseaux ouverts ou publics
- Protéger tous les systèmes contre les logiciels malveillants et mettre à jour régulièrement les logiciels antivirus
- Développer et maintenir la sécurité systèmes et applications
- Restreindre l’accès aux données des titulaires de carte selon les besoins de l’entreprise
- Identifier et authentifier l’accès aux composants du système
- Restreindre l’accès physique aux données des titulaires de carte
- Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte
- Tester régulièrement les systèmes et processus de sécurité
- Maintenir une politique qui traite de la sécurité de l’information pour tous personnel
Construire et maintenir un réseau et des systèmes sécurisés
Protéger les données du titulaire de carte
Maintenir un programme de gestion des vulnérabilités
Mettre en œuvre de solides mesures de contrôle d’accès
Surveiller et tester régulièrement les réseaux
Maintenir une politique de sécurité de l’information
Pour faciliter la validation de la conformité PCI par les nouvelles entreprises, le Conseil PCI a créé neuf formulaires ou questionnaires d’auto-évaluation (QSA) différents qui constituent un sous-ensemble de l’ensemble des exigences de la norme PCI DSS. L’astuce consiste à déterminer laquelle est applicable ou s’il est nécessaire d’embaucher un auditeur approuvé par le Conseil PCI pour vérifier que chaque exigence de sécurité PCI DSS a été remplie. De plus, le Conseil PCI révise les règles tous les trois ans et publie des mises à jour incrémentielles tout au long de l’année, ajoutant encore plus de complexité dynamique.
Guide étape par étape de la conformité PCI DSS v3.2.1
La première étape pour atteindre la conformité PCI consiste à savoir quelles exigences s’appliquent à votre organisation. Il existe quatre niveaux de conformité PCI différents, généralement basés sur le volume de transactions par carte de crédit que votre entreprise traite au cours d’une période de 12 mois.
S’applique aux exigences | ||
Niveau 1 |
|
|
Niveau 2 | Organisations qui traitent entre 1 à 6 millions de transactions par an |
|
Niveau 3 |
|
|
4 |
|
Pour les niveaux 2 à 4, il existe différents types de SAQ selon votre mode d’intégration de paiement. Voici un bref tableau:
SAQ | Description |
A |
Commerçants sans carte (commerce électronique ou commande par courrier / téléphone), qui ont entièrement externalisé toutes les fonctions de données de titulaire de carte à des fournisseurs de services tiers conformes à la norme PCI DSS, sans stockage électronique, traitement ou transmission de données de titulaire de carte sur les systèmes ou les locaux du commerçant. Ne s’applique pas aux canaux en face à face. |
A-EP |
Commerçants e-commerce qui sous-traitent tous les traitements de paiement à des tiers validés PCI DSS, et qui ont un ou des sites Web qui ne reçoivent pas directement les données du titulaire de carte mais qui peuvent avoir un impact sur la sécurité de la transaction de paiement. Aucun stockage, traitement ou transmission électronique des données du titulaire de carte sur les systèmes ou les locaux du commerçant. Applicable uniquement aux canaux de commerce électronique. |
B |
Marchands utilisant uniquement:
Ne s’applique pas aux canaux de commerce électronique. |
B-IP |
Commerçants utilisant uniquement des terminaux de paiement autonomes approuvés par PTS avec une connexion IP au processeur de paiement sans stockage de données de titulaire de carte électronique. Ne s’applique pas aux canaux de commerce électronique. |
C-VT |
Commerçants qui saisissent manuellement une seule transaction à la fois via un clavier dans une solution de terminal de paiement virtuel basée sur Internet fournie et hébergée par un fournisseur de services tiers validé par la norme PCI DSS. Pas de stockage de données de titulaire de carte électronique. Ne s’applique pas aux canaux de commerce électronique. |
C |
Commerçants avec des systèmes d’application de paiement connectés à Internet, pas de stockage de données de titulaire de carte électronique. Ne s’applique pas aux canaux de commerce électronique. |
P2PE |
Commerçants utilisant uniquement des terminaux de paiement matériels inclus et gérés via une solution de cryptage Point à Point (P2PE) validée et répertoriée PCI SSC, sans stockage de données de titulaire de carte électronique. Ne s’applique pas aux marchands de commerce électronique. |
D |
SAQ D pour les marchands : Tous les marchands non inclus dans les descriptions des types de SAQ ci-dessus. SAQ D pour les fournisseurs de services : Tous les fournisseurs de services définis par une marque de paiement comme éligibles pour remplir une SAQ. |
Pour sélectionner les documents SAQ et d’attestation qui s’appliquent le mieux à votre organisation, l’organigramme à la page 18 de ce document PCI peut vous aider.
Les exigences PCI DSS changent avec le temps, donc l’un des meilleurs moyens d’obtenir des mises à jour sur les exigences de certification nouvelles ou changeantes et comment les respecter est de devenir une Organisation participante PCI (PO).
Cartographiez vos flux de données
Avant de pouvoir protéger les données sensibles des cartes de crédit, vous devez savoir où elles se trouvent et comment elles y parviennent. Vous voudrez créer une carte complète des systèmes, des connexions réseau et des applications qui interagissent avec les données de carte de crédit au sein de votre organisation. Selon votre rôle, vous devrez probablement travailler avec vos équipes informatiques et de sécurité pour ce faire.
- Tout d’abord, identifiez tous les domaines de l’entreprise axés sur le consommateur qui impliquent des opérations de paiement. Par exemple, vous pouvez accepter des paiements via un panier d’achat en ligne, des terminaux de paiement en magasin ou des commandes passées par téléphone.
- Ensuite, identifiez les différentes façons dont les données du titulaire de carte sont traitées dans toute l’entreprise. Il est important de savoir exactement où les données sont stockées et qui y a accès.
- Ensuite, identifiez les systèmes internes ou les technologies sous-jacentes qui touchent les transactions de paiement. Cela inclut vos systèmes réseau, vos centres de données et vos environnements cloud.
Vérifiez les contrôles et protocoles de sécurité
Une fois que vous avez cartographié tous les points de contact potentiels pour les données de carte de crédit dans votre organisation, travaillez avec les équipes informatiques et de sécurité pour vous assurer que les configurations et protocoles de sécurité appropriés sont en place (voir la liste des 12 exigences de sécurité pour la norme PCI DSS ci-dessus). Ces protocoles sont conçus pour sécuriser la transmission des données, comme la sécurité de la couche de transport (TLS).
Les 12 exigences de sécurité de la norme PCI DSS v3.2.1 découlent des meilleures pratiques de protection des données sensibles pour toute entreprise. Plusieurs chevauchent celles requises pour répondre au RGPD, à la HIPAA et à d’autres mandats de confidentialité, de sorte que quelques-uns d’entre eux peuvent déjà être en place dans votre organisation.
Surveiller et maintenir
Il est important de noter que la conformité PCI n’est pas un événement ponctuel. Il s’agit d’un processus continu pour garantir la conformité de votre entreprise, même à mesure que les flux de données et les points de contact des clients évoluent. Certaines marques de cartes de crédit peuvent vous obliger à soumettre des rapports trimestriels ou annuels, ou à effectuer une évaluation annuelle sur place pour valider la conformité continue, en particulier si vous traitez plus de 6 millions de transactions chaque année.
La gestion de la conformité PCI tout au long de l’année (et d’une année à l’autre) nécessite souvent un soutien et une collaboration interservices. Si cela n’existe pas déjà, il peut être utile de créer une équipe dédiée en interne pour maintenir correctement la conformité. Bien que chaque entreprise soit unique, un bon point de départ pour une « équipe PCI » comprendrait une représentation des éléments suivants:
- Sécurité : Le Directeur de la Sécurité (CSO), le Directeur de la Sécurité de l’information (RSSI) et leurs équipes s’assurent que l’organisation investit toujours correctement dans les ressources et les politiques nécessaires en matière de sécurité des données et de confidentialité.
- Technologie/ Paiements : Le Directeur de la technologie (CTO), le vice-président des paiements et leurs équipes veillent à ce que les outils de base, les intégrations et l’infrastructure restent conformes à l’évolution des systèmes de l’organisation.
- Finances : Le Directeur financier (CFO) et son équipe s’assurent que tous les flux de données de paiement sont pris en compte lorsqu’il s’agit de systèmes de paiement et de partenaires.
- Juridique: Cette équipe peut vous aider à naviguer dans les nombreuses nuances juridiques de la conformité PCI DSS.
Pour plus d’informations sur le monde complexe de la conformité PCI, rendez-vous sur le site Web du Conseil des normes de sécurité PCI. Si vous ne lisez que ce guide et quelques autres documents PCI, nous vous recommandons de commencer par ceux-ci: approche priorisée pour la norme PCI DSS, instructions et directives de la SAQ, FAQ sur l’utilisation des critères d’admissibilité de la SAQ pour déterminer les exigences d’évaluation sur site et FAQ sur les obligations des commerçants qui développent des applications pour les appareils grand public acceptant les données de carte de paiement.
Comment Stripe aide les entreprises à atteindre et à maintenir la conformité PCI
Stripe simplifie considérablement la charge PCI pour les entreprises qui s’intègrent à Checkout, Elements, SDK mobiles et SDK terminaux. Les éléments Stripe Checkout et Stripe utilisent un champ de paiement hébergé pour gérer toutes les données de carte de paiement, de sorte que le titulaire de la carte saisit toutes les informations de paiement sensibles dans un champ de paiement provenant directement de nos serveurs validés PCI DSS. Les SDK mobiles et terminaux Stripe permettent également au titulaire de la carte d’envoyer des informations de paiement sensibles directement à nos serveurs validés PCI DSS.
Avec des méthodes d’acceptation de carte plus sûres comme celles-ci, nous remplirons le formulaire PCI (SAQ) dans le tableau de bord Stripe, ce qui facilitera la validation PCI en cliquant sur un bouton. Pour les petites organisations, cela peut économiser des centaines d’heures de travail, pour les plus grandes, cela peut en économiser des milliers.
Pour tous nos utilisateurs, quel que soit le type d’intégration, Stripe agit en tant que défenseur du PCI et peut aider de différentes manières.
- Nous analyserons votre méthode d’intégration et vous conseillerons sur le formulaire PCI à utiliser et sur la manière de réduire votre fardeau de conformité.
- Nous vous informerons à l’avance si un volume croissant de transactions nécessitera une modification de la façon dont vous validez la conformité.
- Pour les grands commerçants (niveau 1), nous fournissons un paquet PCI qui peut réduire le temps de validation PCI de plusieurs mois à plusieurs jours. Si vous avez besoin de travailler avec un PCI QSA (parce que vous stockez des données de carte de crédit ou que vous avez un flux de paiement plus complexe), il existe plus de 350 sociétés QSA de ce type dans le monde, et nous pouvons vous mettre en relation avec plusieurs auditeurs qui comprennent en profondeur les différentes méthodes d’intégration de Stripe.
Niveau marchand de Visa | Temps moyen d’audit (estimations annuelles) | Temps moyen d’audit avec Éléments Stripe, Checkout ou SDK mobile (estimations annuelles) |
Niveau 1 | 3-5 mois | 2-5 jours |
Niveau 2 | 1-3 mois | 0 jours |
Niveau 3 | 1-3 mois | 0 jours |
Niveau 4 | 1-3 mois | 0 jours |
Pour plus d’informations sur la façon dont Stripe vous aide à protéger votre les données des clients et la conformité PCI, consultez nos documents sur la sécurité de l’intégration.
Conclusion
L’évaluation et la validation de la conformité PCI se font généralement une fois par an, mais la conformité PCI n’est pas un événement ponctuel – c’est un effort continu et substantiel d’évaluation et de correction. Au fur et à mesure qu’une entreprise se développe, la logique et les processus métier de base évolueront également, ce qui signifie que les exigences de conformité évolueront également. Une entreprise en ligne, par exemple, peut décider d’ouvrir des magasins physiques, d’entrer sur de nouveaux marchés ou de lancer un centre de support client. Si quelque chose de nouveau implique des données de carte de paiement, il est judicieux de vérifier de manière proactive si cela a un impact sur votre méthode de validation PCI et de valider à nouveau la conformité PCI si nécessaire.
La conformité PCI aide. Ce n’est tout simplement pas suffisant.
Le respect des directives PCI DSS est une couche de protection nécessaire pour votre entreprise, mais ce n’est pas suffisant. La norme PCI DSS établit des normes importantes pour le traitement et le stockage des données des titulaires de carte, mais elle ne fournit pas en elle-même une protection suffisante pour tous les environnements de paiement. Au lieu de cela, passer à une méthode d’acceptation de carte plus sûre (comme Stripe Checkout, Elements et SDK mobiles) est un moyen beaucoup plus efficace de protéger votre organisation. L’avantage de longue date que cela procure est que vous n’avez pas besoin de vous fier aux normes de base de l’industrie ni de vous inquiéter de la défaillance potentielle des contrôles de sécurité. Cette approche offre aux entreprises agiles un moyen d’atténuer une violation de données potentielle et d’éviter l’approche historique émotionnelle, longue et coûteuse de la validation PCI. Sans oublier qu’une méthode d’intégration plus sûre est fiable chaque jour de l’année.
Retour aux guides