TD Canada Trust
Saut au contenu |  Demande | Recherche | Contactez-nous | Démarrez: 
  
   Mes comptes   Service à la clientèle   Produits et services   Marchés et recherche   Planification 
  Opérations bancaires     Investissements     Assurance     Petite entreprise  
   
  Comptes d'affaires
  Crédit
  U.S. Banking
  Services électroniques
  Solutions de placement
  section choisie Services aux commerçants
    Services aux commerçants TD
    L'engagement de Services aux commerçants TD
    Tarifs spéciaux
    Les Solutions Technologiques
    Améliorez Votre Situation de Trésorerie
    Solutions pour votre entreprise
    Solutions de point de vente
    Terminaux et solutions de point de vente
    Services à valeur ajoutée
    Sensibilisation à la fraude
    Norme de sécurité de l’ICP
    Centre de ressources
  Services de devises
  Services agricoles
  Professionnels
  Franchisés
  Paiements
  Régime d'épargne collectif TD
  Services bancaires commerciaux TD  

  

Services aux commerçants

Norme de sécurité des données de l’industrie des cartes de paiement
(Norme de l’ICP)

À l’ère de l’électronique, les données concernant les comptes des clients sont de plus en plus souvent la cible des fraudeurs. L’un des meilleurs moyens pour contrer ce type de fraude est d’adopter la Norme de sécurité des données de l’ICP et de s’y conformer entièrement.

Les règles établies par la Norme de l’ICP ont été conçues pour vous permettre de prévenir le vol de données confidentielles liées au titulaire d’une carte de crédit. Vous devez d’abord déterminer si les données sont gardées de façon sécuritaire au sein de votre entreprise et, si nécessaire, hausser le niveau de sécurité afin de satisfaire aux normes de l’industrie ou de les dépasser.

L’information qui suit est cruciale, elle a pour but de vous renseigner sur la sécurité des données et de vous guider dans le rôle que vous devez jouer quant à la protection des données du titulaire de carte.

Le respect de la Norme

La Norme de sécurité de l’ICP exige que les marchands voient au respect des normes en matière de sécurité des données, qui ont été établies par l’industrie des cartes de paiement à l’échelle internationale, et qui sont gérées par le PCI Security Standards Council (conseil de normalisation pour la sécurité des données de l’ICP). La conformité à la Norme de l’ICP signifie suivre en tout point les normes de sécurité des données adoptées par les marques de cartes pour toutes les organisations qui traitent, conservent ou transmettent des données sur un titulaire de carte.

Tous les marchands qui ont accès à des renseignements liés aux cartes de crédit et qui les traitent, les transmettent ou les conservent doivent se conformer à la Norme de l’ICP en matière de sécurité des données. Ne pas se conformer à la Norme, ainsi qu’aux programmes de conformité à la marque de la carte, peut entraîner pour le marchand l’imposition d’amendes, de frais ou de vérifications, ou encore la résiliation des services de traitement.

Les douze exigences de base de l’ICP

La Norme de l’ICP comporte de multiples facettes qui englobent des exigences quant à la gestion de la sécurité, des politiques, des procédures, une architecture de réseau, la conception de logiciels et d’autres mesures essentielles de protection. Il s’agit d’une norme exhaustive qui a été mise en place pour aider les entreprises à protéger les données des titulaires de cartes.

Voici les 12 exigences de base de la Norme de l’ICP à être respectées par les entreprises qui recueillent et stockent des données liées aux cartes de crédit.

Mettre en place et gérer un réseau sécurisé
  1. Installer et gérer une configuration de pare-feu afin de protéger les données
  2. Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe et les autres paramètres de sécurité du système.

Protéger les données des titulaires de carte
  1. Protéger les données des titulaires de carte en stock.
  2. Crypter la transmission des données des titulaires de carte sur les réseaux publics ouverts.

Disposer d’un programme de gestion de la vulnérabilité
  1. Utiliser et mettre à jour régulièrement un logiciel ou des programmes antivirus.
  2. Développer et gérer des systèmes et des applications sécurisés.

Mettre en œuvre des mesures de contrôle d’accès efficaces
  1. Limiter l’accès aux données des titulaires de carte aux cas de nécessité professionnelle absolue.
  2. Attribuer une identité d’utilisateur unique à chaque personne disposant d’un accès informatique.
  3. Limiter l’accès physique aux données des titulaires de carte.

Surveiller et tester régulièrement les réseaux
  1. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte.
  2. Tester régulièrement les systèmes et les procédures de sécurité.

Disposer d’une politique en matière de sécurité de l’information
  1. Disposer d’une politique qui porte sur la sécurité de l’information.

La Norme de l’ICP ainsi que des compléments d’information peuvent être consultés à l’adresse qui suit : https://www.pcisecuritystandards.org.

Pourquoi parler de sécurité

Plus les consommateurs utilisent leurs cartes de crédit, et plus les données sur leur compte sont traitées et potentiellement stockées.

La possibilité de faire un usage frauduleux des données est multipliée si les entreprises ne prennent pas les mesures nécessaires pour recueillir et conserver ces données de façon sécuritaire. Le programme de la Norme de l’ICP fournit aux marchands et aux fournisseurs de services, des normes cohérentes qui leur permettent de protéger l’intégrité des données du titulaire de carte recueillies et stockées.

Examinez les principaux avantages que la protection des données du client peut apporter à votre entreprise.

1. Accroître le sentiment de confiance chez le consommateur

Bien des consommateurs recherchent un détaillant de confiance et ont tendance à lui rester fidèle, en plus de le recommander à leurs connaissances. Dans une étude commanditée par Visa en 2006 et s’étendant sur douze pays, les répondants ont classé la sécurité des renseignements personnels et financiers au premier rang de leurs préoccupations. Ils ont également laissé entendre que les pratiques des détaillants, dans ce domaine, pouvaient les inciter à se procurer des biens ou des services chez eux.

Si vous respectez les normes du secteur, vous démontrez aux clients votre engagement à protéger leurs données de paiement. C’est un moyen essentiel d’obtenir leur confiance et de la renforcer.

2. Mettre la sécurité en vedette

Le principal objectif du programme SIC et de la Norme de l’ICP en matière de sécurité des données consiste à protéger les renseignements confidentiels en tout point du système de paiement. Il en résulte une meilleure prise de conscience qui vous incitera à renforcer vos mesures afin de contrer toute attaque éventuelle.

3. Prévenir les dépenses inutiles

Une solide politique de sécurité des données vous aidera à prévenir les infractions à la sécurité qui pourraient coûter cher à votre entreprise, en termes de réputation et de bénéfices.

Une atteinte à la protection des données en raison de lacunes dans les pratiques de sécurité risque d’engendrer pour l’entreprise des frais importants : vérifications, litiges et amendes, sans compter une exploitation sensiblement compromise.

La mise en application de normes efficaces prévient toutes ces dépenses et protégera votre bonne réputation.

4. Conserver une image positive

Si vous faites l’effort de respecter la Norme de l’ICP en matière de sécurité des données, vous aurez accompli de grands progrès dans la préservation de votre réputation auprès des consommateurs et des médias, car le public accorde de plus en plus d’importance à la protection des données personnelles.

5. Obtenir un avantage concurrentiel

Une excellente politique de sécurité des données peut vous aider à acquérir une réputation de détaillant honnête et fiable. Si vos clients savent que vous protégerez les données confidentielles associées à leur compte, ils reviendront vous voir, votre bénéfice augmentera et vous vous démarquerez de vos concurrents. Pour en savoir plus sur la protection du compte de vos clients, visitez le site www.visa.ca/sic.

Niveaux de marchands et validation de la conformité

Tous les marchands qui conservent, traitent ou transmettent les données d’un titulaire de carte doivent se conformer à la Norme de sécurité de l’industrie des cartes de paiement et faire valider leur conformité selon la procédure appropriée.

La Norme de l’ICP formule clairement les exigences qui se divisent en quatre niveaux. Tous les marchands appartiennent à l’une ou l’autre de ces catégories.

Voici les descriptions des différents niveaux de marchands et les exigences requises pour chacun d’eux, tels qu’ils ont été définis par Visa Canada.

Niveau de marchands Description
1

Tout marchand, sans égard au réseau d’acceptation, traitant annuellement plus de 6 000 000 de transactions Visa.

Tout marchand ayant été victime d’une intrusion informatique non autorisée ayant causé la compromission des données concernant les comptes.

Tout marchand qui, selon Visa, à son entière discrétion, doit se conformer aux exigences applicables aux marchands de niveau 1 afin de réduire le risque pour le système Visa.

Tout marchand qui a été identifié par toute autre marque de carte de paiement comme faisant partie du niveau 1.
2 Tout marchand, sans égard au réseau d’acceptation, traitant annuellement entre 1 000 000 et 6 000 000 de transactions Visa.
3 Tout marchand traitant annuellement de 20 000 à 1 000 000 de transactions Visa du commerce électronique.
4 Tout marchand traitant annuellement moins de 20 000 transactions Visa de commerce électronique et tous les autres marchands, sans égard au réseau d’acceptation), traitant annuellement jusqu’à 1 000 000 de transactions Visa.

Validation de la conformité

Niveau de marchand 1

La validation de la conformité consiste à remplir le questionnaire annuel d’autoévaluation de l’ICP, à effectuer des balayages de sécurité sur une base trimestrielle, et à confier à un évaluateur qualifié en matière de sécurité, la vérification annuelle de la sécurité de l’ICP, sur place.

Niveaux de marchands 2 et 3

La validation de la conformité consiste à remplir le questionnaire annuel d’autoévaluation de l’ICP, validé par un évaluateur qualifié en matière de sécurité, et à confier les balayages de sécurité trimestriels à un fournisseur approuvé de services de balayage.

Niveau de marchands 4

Bien que les marchands de niveau 4 n’aient pas à valider leur conformité en ce moment, leur réseau doit être conforme à la Norme de l’ICP.

Il est recommandé de remplir le questionnaire annuel de l’ICP et d’effectuer les balayages de sécurité, lorsque cela s’applique. À la discrétion des Services aux commerçants TD, certains marchands de niveau 4 peuvent avoir à faire valider leur conformité à la Norme de l’ICP en nous soumettant les documents appropriés.

Procédures et documents de validation

Le marchand doit démontrer sa conformité en soumettant les documents requis aux Services aux commerçants TD, lorsqu’ils en font la demande. Il incombe au marchand de payer les frais liés à la validation de sa conformité.

Exigences de conformité pour le fournisseur de services

Le terme « fournisseur de services » désigne une organisation qui conserve, traite ou transmet les données d’un titulaire de carte pour le compte de marchands ou d’autres fournisseurs de services. Par conséquent, tous les fournisseurs de services doivent se conformer à la Norme de l’ICP, ce qui comprend la validation de leur conformité à la Norme par un évaluateur qualifié en matière de sécurité.

Pour obtenir plus d’information concernant les exigences en matière de conformité des fournisseurs de services et pour consulter une liste des fournisseurs de services qui ont fait valider leur conformité à la Norme de l’ICP, visitez les sites suivants :

http://www.visa.ca/fr/merchant/fraudprevention/ais/servicelevels.cfm

http://www.visa.ca/fr/merchant/fraudprevention/ais/providers.cfm

Norme de sécurité des données en matière d’application de paiement

La Norme de sécurité des données en matière d’application de paiement (Payment Application Data Security Standard) est gérée par le Security Standard Council. Cette norme est basée sur l’ancienne Pratique exemplaire en matière d’application de paiement (Visa’s Payment Application Best Practices) (« la Norme PABP »). Plusieurs marchands déploient des applications de traitement des paiements de tiers qui sont personnalisées à leurs besoins d’affaires pour le traitement des paiements par carte de crédit.

L’objectif de la Norme de sécurité des données en matière d’application de paiements est d’aider les fournisseurs de logiciels à élaborer des applications de traitement des paiement sûres qui ne conservent pas certaines données interdites, telles que des données complètes de bande magnétique, des valeurs de vérification de carte ou des données sur le NIP, et de s’assurer que les applications de traitement des paiements supportent les critères de conformité de la Norme de sécurité des données de l’industrie des cartes de paiement. Les applications de traitement des paiements vulnérables qui conservent des données interdites sont la principale cause d’atteinte à l’intégrité des données de comptes chez les petits commerçants.

Les applications de traitement des paiements qui sont vendues, distribuées ou mises sous licence à des tiers sont assujetties aux exigences de la Norme de sécurité des données en matière d’application de paiement. Les applications de paiement élaborées à l’interne par des marchands ou des fournisseurs de services qui ne sont pas vendues à des tiers ne sont pas assujetties aux exigences de la Norme de sécurité des données d’application de paiement, mais doivent quand même être sécurisées conformément à la Norme de sécurité de l’ICP. La Norme de sécurité des données en matière d’application de paiement ne s’applique pas aux terminaux point de vente autonomes, aux logiciels de bases de données, ni aux logiciels de serveurs Web.

Pour obtenir un complément d’information sur la Norme de sécurité des données en matière d’application de paiement, y compris une liste des applications qui sont conformes à la norme, consultez :

www.pcisecuritystandards.org

www.visa.com/pabp

Programme de conformité en matière de sécurité de paiement de Visa Canada

Visa Canada a mis en place des règles qui demandent aux acquéreurs de s’assurer que les marchands « nouveaux participants » avec lesquels ils font affaire et qui utilisent des logiciels d’application de paiement n’utilisent que des logiciels conformes à la Norme de sécurité des données en matière d’application de paiement :

  • D’ici le 1er octobre 2008, les acquéreurs doivent s’assurer que tout marchand qui est un nouveau participant utilisant un logiciel d’application de paiement n’utilise qu’un logiciel homologué conforme aux exigences de la Norme de sécurité des données en matière d’application de paiement. Il convient de noter que l’expression « nouveaux participants » vise seulement les nouveaux marchands qui acceptent les cartes Visa comme mode de paiement, et exclut les marchands actuels qui peuvent changer d’acquéreurs, ou un nouveau point de vente chez un marchand à succursales multiples ou une nouvelle franchise.
  • D’ici le 1er juillet 2010, les acquéreurs doivent s’assurer que leurs marchands (nouveaux et actuels) utilisant un logiciel d’application de paiement, n’utilisent qu’un logiciel homologué conforme aux exigences de la Norme de sécurité des données en matière d’application de paiement.

Liens vers le programme Visa Sécurité de l’information concernant les comptes et le PCI Council

Pour obtenir plus de renseignements visitez les sites suivants :

www.visa.ca/sic

www.pcisecuritystandards.org/

Conseils pour la protection des données

Il est normal que l’on désire conserver les données personnelles de sa clientèle à l’abri des pirates informatiques. Voici quelques conseils à ce sujet, qui vous aideront à protéger les renseignements confidentiels de vos clients et votre entreprise :

  • Ne conservez que le nécessaire en matière de données sur les titulaires de carte et évitez de sauvegarder le contenu de la bande magnétique d’une carte de débit ou de crédit.
  • Détruisez les données de compte dont vous n’avez plus besoin selon la méthode reconnue. Ne sauvegardez jamais le CVV, le CVV2 ou le NIP.
  • Certains logiciels enregistrent automatiquement les données. Examinez les vôtres et actualisez vos préférences pour éviter que des données sur les comptes soient sauvegardées sans avertissement.
  • Faites les vérifications de sécurité associées aux normes ICP (pour en savoir plus, consultez le site www.pcisecuritystandards.org).
  • Utilisez des pare-feu efficaces.
  • Changez les mots de passe de système et les codes de sécurité fournis à l’origine par le concepteur de logiciels.
  • Chiffrez toutes les données relatives aux cartes de paiement qui sont enregistrées dans les systèmes de l’entreprise de traitement.
  • Chiffrez toutes les données sur les cartes qui sont transmises sur Internet ou sur un autre réseau public ouvert.
  • Activez votre logiciel antivirus et obtenez toutes les mises à niveau.
  • Assurez la protection des autres logiciels, notamment les systèmes d’exploitation, et obtenez les plus récentes versions.
  • Ne donnez accès aux données sur les clients qu’aux employés qui en ont besoin. Assurez-vous que chaque employé utilisant un ordinateur possède son propre code d’accès.
  • Contrôlez l’accès aux données de carte de paiement sur support papier.
  • Mettez vos systèmes de sécurité à l’épreuve régulièrement.
  • Adoptez une politique de sécurité décrivant clairement les règles que doivent respecter les employés qui ont accès aux données et renforcez-la régulièrement.
  • Exigez que tous les tiers ayant accès aux données sur les titulaires de carte se conforment aux exigences de sécurité de l’ICP.

Outils et ressources
 •  Comparez les terminaux de point de vente (PDF)
 •  Prévention de la fraude (PDF)
 •  Guide pour comprendre votre relevé (PDF)
 •  Bulletin Contact
 •  Consulter les rapports en ligne
 •  Technologie de puce
 •  Contactez-nous

  
Code de protection de la vie privée | Sécurité de l'Internet | Avis juridique | Accessibilité |
Site des services financiers du Groupe TD - Tous droits réservés © TD