Conformité PCI
La conformité du secteur des cartes de paiement (PCI) fait référence aux normes techniques et opérationnelles que les entreprises doivent suivre pour garantir la protection des données de carte de crédit fournies par les titulaires de carte. Le PCI Standards Council veille à la conformité PCI, et toutes les entreprises qui stockent, traitent ou transmettent des données de carte de crédit par voie électronique doivent se conformer aux consignes de conformité.
RUPTURE DE LA CONFORMITÉ PCI
Les normes de conformité PCI (secteur des cartes de paiement) exigent des commerçants et d’autres entreprises qu’elles gèrent les informations de carte de crédit de manière sécurisée, ce qui permet de réduire les risques de vol de données financières sensibles des titulaires de carte. Si les commerçants ne gèrent pas correctement les informations de carte de crédit, celles-ci pourraient être piratées et utilisées pour effectuer des achats frauduleux. De plus, des informations sensibles sur le titulaire de carte pourraient être utilisées dans la fraude à l'identité.
Etre conforme à la norme PCI signifie adhérer de manière cohérente à un ensemble de directives définies par les entreprises qui émettent des cartes de crédit. Les directives décrivent une série d'étapes que les processeurs de cartes de crédit doivent suivre en permanence. Les entreprises sont d’abord invitées à évaluer leur infrastructure informatique, leurs processus d’entreprise et leurs procédures de traitement des cartes de crédit afin d’identifier les menaces potentielles susceptibles de compromettre les données de carte de crédit. Les entreprises sont ensuite invitées à remédier aux lacunes de la sécurité et à éviter de stocker, dans la mesure du possible, des informations confidentielles sur les titulaires de carte, telles que les numéros de sécurité sociale et de permis de conduire. Les entreprises sont tenues de fournir des rapports de conformité aux marques de cartes avec lesquelles elles travaillent, telles que American Express et VISA.
Toutes les entreprises qui traitent des informations de carte de crédit doivent maintenir la conformité PCI, indépendamment de leur taille ou du nombre de transactions par carte de crédit traitées. Toutes les sociétés sont réparties en niveaux de marchands en fonction du nombre de transactions traitées au cours d'une période donnée. La conformité PCI est régie par le Conseil des normes de sécurité du secteur des cartes de paiement, une organisation créée en 2006 dans le but de gérer la sécurité des cartes de crédit. Les exigences, connues sous le nom de normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS), sont gérées par les principales sociétés émettrices de cartes de crédit, notamment VISA, American Express, Discover et MasterCard.
Conformité PCI et violations de données
Plusieurs des plus grandes violations de données de l'histoire auraient pu être évitées si les marchands ou les institutions financières concernés étaient conformes à la norme PCI. Voici quelques éléments clés du Rapport sur la sécurité des paiements de Verizon 2017, une étude approfondie de la conformité à la norme PCI DSS:
- Les entreprises de vente au détail ont démontré la plus faible durabilité en matière de conformité PCI dans tous les secteurs clés.
- Le secteur des services informatiques a atteint la plus haute conformité de tous les groupes industriels clés étudiés.
- 77% des entreprises évaluées à la suite d'une violation de données n'étaient pas en conformité avec la première exigence de la norme PCI: installer et gérer une configuration de pare-feu.
- L'étude montre une corrélation "démontrable" entre les entreprises à la pointe des normes PCI et les entreprises qui se sont défendues avec succès contre les cybermenaces.
- Le nombre d'entreprises conformes à 100% à la norme PCI augmente considérablement d'une année sur l'autre.