Norme de sécurité de l’industrie des cartes de paiement (PCI DSS)

La norme de sécurité des données de l'industrie des cartes de paiement, ou PCI DSS en abrégé, a été élaborée par le Conseil des normes de sécurité PCI. Il s'agit d'une norme de sécurité mondialement acceptée pour les transactions par carte de crédit, qui vise à protéger les consommateurs et les entreprises contre l'utilisation abusive et la fraude des données. Pour l'essentiel, cet ensemble de règles contient douze exigences différentes pour les entreprises qui proposent des paiements par carte de crédit. Étant donné que toutes les grandes sociétés de cartes de crédit, telles que VISA, Mastercard et American Express, se sont mises d'accord sur cette norme, elle est juridiquement contraignante pour toutes les entreprises participantes, telles que les fournisseurs de services par abonnement ou les opérateurs de boutiques en ligne. Dans cet article, vous apprendrez tout ce que vous devez savoir sur la conformité à la norme PCI DSS pour votre entreprise et pour la sélection des fournisseurs d'outils et de plateformes, quelles sont les exigences imposées aux entreprises et quels sont les avantages associés à la conformité aux normes de sécurité des données PCI.

Table of Contents

Qu'est-ce que la norme PCI DSS ?
Quelles sont les exigences en matière de conformité à la norme PCI DSS ?
Qu'est-ce que cela signifie dans l'économie de l'abonnement ?
Quels sont les avantages de la norme PCI DSS ?
Conclusion : Une norme de sécurité à l'épreuve du temps

Qu’est-ce que la norme PCI DSS ?

Entreprise certifiée PCI DSS | Entreprise billwerk GmbH | Payment Card Industry Data Security Standard

La norme PCI DSS est une norme contraignante pour toutes les organisations de cartes de crédit et sert à protéger les entreprises et les acheteurs qui acceptent les cartes contre le vol de données. Une condition préalable à une conformité PCI efficace est que la conformité PCI DSS soit obligatoirement réglementée dans les CGV de l’entreprise. En outre, la preuve doit être apportée régulièrement que l’entreprise continue d’être conforme à la norme PCI.

Les normes de sécurité PCI sont basées sur les règles de sécurité respectives des organisations de cartes de crédit VISA, Mastercard, American Express, Discover et JCB. Toutes les entreprises qui acceptent les cartes de crédit comme moyen de paiement sont concernées par cette réglementation. Une distinction est faite entre :

Grands commerçants et prestataires de services effectuant plus de 6 millions de transactions par carte de crédit par an
Marchands entre 20 000 et 6 millions de transactions
Marchands de commerce électronique ayant moins d’un million de transactions

Un e-commerçant doit mandater un prestataire de services certifié PCI DSS pour le traitement des transactions afin de pouvoir proposer des opérations de paiement conformes à la norme PCI. À cette fin, les banques et les caisses d’épargne fournissent également des conseils et un soutien et proposent souvent leurs propres services ou des services marchands partenaires pour effectuer des analyses de vulnérabilité ou des contrôles de sécurité sur place.

Toutefois, il n’est possible de mentionner la conformité à la norme PCI DSS dans les CGV que lorsque les douze exigences relatives au réseau informatique d’une entreprise sont remplies.

Quelles sont les exigences en matière de conformité à la norme PCI DSS ?

Le livre de règles PCI, auquel tout commerçant ou fournisseur de services doit se conformer, se compose de douze exigences obligatoires :

Installer et mettre à jour régulièrement le pare-feu pour protéger les données
Changez régulièrement les mots de passe du système ou les autres paramètres de sécurité, et n’utilisez pas les mots de passe par défaut, tels que ceux fournis par les fournisseurs ou les fabricants.
La protection des données stockées des titulaires de cartes de crédit est une priorité absolue. Il s’agit notamment de ne pas les stocker inutilement (par exemple, seulement une partie du numéro de carte de crédit et pas de code PIN ou de code de vérification)
Transmission cryptée des données des titulaires de cartes et des informations sensibles sur les réseaux ouverts
Utilisez et mettez régulièrement à jour un logiciel anti-virus reconnu
Développement et utilisation de systèmes et d’applications sécurisés
Veiller à ce que l’accès aux données soit limité aux seules fins professionnelles.
Chaque personne ayant accès à un ordinateur a besoin de son propre code d’utilisateur.
Restreindre l’accès physique aux données des titulaires de cartes de crédit
Enregistrement et contrôle de tous les accès aux ressources du réseau et aux données des titulaires de cartes de crédit.
Examen régulier de tous les systèmes de sécurité et des flux de processus
Établir et adhérer à une politique d’entreprise qui régit le sujet de la sécurité de l’information.

Le Conseil des normes de sécurité PCI propose des ressources plus détaillées sur le sujet.

Qu’est-ce que cela signifie dans l’économie de l’abonnement ?

Outre les modes de paiement numériques tels que le prélèvement SEPA, Paypal ou In-App-Purchase, le paiement par carte de crédit est souvent utilisé par les clients qui souscrivent un abonnement en Allemagne, avec une part d’environ 10 %. 8%, même si sa part dans les modes de paiement utilisés diminue en termes relatifs (voir également le livre blanc de Billwerk+ « Subscription Based Services« ). La norme de sécurité des données PCI doit donc être à la base de tout modèle commercial d’abonnement afin de maintenir une relation de confiance avec les clients. La particularité des modèles économiques basés sur l’abonnement est le processus récurrent et automatisé pour lequel le client a conclu un contrat avec l’entreprise.

Ainsi, d’une part, un fournisseur d’abonnements doit assurer un traitement pratique des paiements qui rende justice à un abonnement ; d’autre part, la sécurité des données du client et donc le stockage limité de ses données ont la plus haute priorité.

Quels sont les avantages de la norme PCI DSS ?

Une entreprise qui propose le paiement par carte de crédit conforme à la norme PCI DSS fait non seulement un énorme acte de foi auprès de ses clients potentiels, mais ouvre en même temps le marché des clients qui préfèrent le mode de paiement par carte de crédit. Par exemple, les start-ups et les entreprises en formation doivent savoir que le paiement par carte de crédit ne peut être proposé en option que si elles respectent la réglementation PCI. Ce qui semble être une lourdeur bureaucratique a aussi ses bons côtés sur le plan opérationnel. De nombreux prestataires de services proposent une offre globale sans souci où le mode de paiement par carte de crédit peut être mis en œuvre avec peu de connaissances techniques.

Conclusion : Une norme de sécurité à l’épreuve du temps

La norme de sécurité des données PCI est une protection mondialement reconnue pour les acheteurs et les vendeurs. En raison de son intégrité et de sa prévalence, il n’y a actuellement aucune raison de croire que cela changera dans un avenir prévisible. Ce qui va changer, en revanche, ce sont les normes de sécurité elles-mêmes. Il est donc impératif de procéder à des mises à jour permanentes pour tenir compte des menaces extérieures constantes. Les règles et les contrôles décrits doivent donc non seulement être introduits et constamment respectés, mais aussi toujours mis à jour en temps utile. C’est la seule façon de protéger les clients, mais aussi sa propre entreprise, contre les accès non désirés et les actes criminels.

Par conséquent, lors de la sélection d’une plateforme de gestion des abonnements et dans le cas de tout développement en interne, faites attention à la conformité PCI DSS du fournisseur/développeur. Idéalement, il devrait être certifié PCI DSS.