Petite entrepriseServices aux commerçants › Norme de sécurité de l’ICP

Norme de sécurité des données de l’industrie des cartes de paiement (Norme de l’ICP)

À l’ère de l’électronique, les données concernant les comptes des clients sont de plus en plus souvent la cible des fraudeurs. L’un des meilleurs moyens pour contrer ce type de fraude est d’adopter la Norme de sécurité des données de l’ICP et de s’y conformer entièrement.

Les règles établies par la Norme de l’ICP ont été conçues pour vous permettre de prévenir le vol de données confidentielles liées au titulaire d’une carte de crédit. Vous devez d’abord déterminer si les données sont gardées de façon sécuritaire au sein de votre entreprise et, si nécessaire, hausser le niveau de sécurité afin de satisfaire aux normes de l’industrie ou de les dépasser.

L’information qui suit est cruciale, elle a pour but de vous renseigner sur la sécurité des données et de vous guider dans le rôle que vous devez jouer quant à la protection des données du titulaire de carte.

Le respect de la Norme

La Norme de sécurité de l’ICP exige des organisations qui recueillent, traitent, transmettent ou conservent des données sur un titulaire de carte qu'elles voient au respect et au maintien des normes en matière de sécurité des données qui ont été établies par l'industrie des cartes de paiements à l’échelle internationale et qui sont gérées par le PCI Security Standards Council (conseil de normalisation pour la sécurité des données de l'ICP).

Tous les marchands qui recueillent, traitent, transmettent ou conservent des données sur un titulaire de carte doivent se conformer à la Norme de l'ICP en matière de sécurité des données. Ne pas se conformer à la Norme, ainsi qu'aux programmes de conformité à la marque de la carte, peut entraîner pour le marchand l'imposition d'amendes, de frais ou de vérifications, ou encore la résiliation des services de traitement.

Les douze exigences de base de l’ICP

La Norme de l’ICP comporte de multiples facettes qui englobent des exigences quant à la gestion de la sécurité, des politiques, des procédures, une architecture de réseau, la conception de logiciels et d’autres mesures essentielles de protection. Il en résulte une norme exhaustive qui a été mise en place pour aider les entreprises à protéger les données des titulaires de carte.

Voici les douze exigences de base de la Norme de l'ICP:

Mettre en place et gérer un réseau sécurisé
  1. Installer et gérer une configuration de pare-feu afin de protéger les données.
  2. Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe et les autres paramètres de sécurité du système.
Protéger les données des titulaires de carte
  1. Protéger les données des titulaires de carte en stock.
  2. Crypter la transmission des données des titulaires de carte sur les réseaux publics ouverts.
Disposer d’un programme de gestion de la vulnérabilité
  1. Utiliser et mettre à jour régulièrement un logiciel ou des programmes antivirus.
  2. Développer et gérer des systèmes et des applications sécurisés.
Mettre en œuvre des mesures de contrôle d’accès efficaces
  1. Limiter l’accès aux données des titulaires de carte aux cas de nécessité professionnelle absolue.
  2. Attribuer une identité d’utilisateur unique à chaque personne disposant d’un accès informatique.
  3. Limiter l’accès physique aux données des titulaires de carte.
Surveiller et tester régulièrement les réseaux
  1. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte.
  2. Tester régulièrement les systèmes et les procédures de sécurité.
Disposer d’une politique en matière de sécurité de l’information
  1. Disposer d’une politique qui porte sur la sécurité de l’information.

La Norme de l’ICP ainsi que des compléments d’information peuvent être consultés à l’adresse qui suit:https://www.pcisecuritystandards.org

Pourquoi parler de sécurité

Plus les consommateurs utilisent leurs cartes de crédit ou de débit, plus les données sur leur compte sont traitées et potentiellement stockées.

La possibilité de faire un usage frauduleux des données est multipliée si les entreprises ne prennent pas les mesures nécessaires pour recueillir et conserver ces données de façon sécuritaire. Le programme de la Norme de l’ICP fournit aux marchands et aux fournisseurs de services, des normes cohérentes qui leur permettent de protéger l’intégrité des données du titulaire de carte recueillies et stockées.

Examinez les principaux avantages que la protection des données du client peut apporter à votre entreprise.

1. Accroître le sentiment de confiance chez le consommateur

Bien des consommateurs recherchent un détaillant de confiance et ont tendance à lui rester fidèle, en plus de le recommander à leurs connaissances. Dans une étude commanditée par Visa en 2006 et s’étendant sur douze pays, les répondants ont classé la sécurité des renseignements personnels et financiers au premier rang de leurs préoccupations. Ils ont également laissé entendre que les pratiques des détaillants, dans ce domaine, pouvaient les inciter à se procurer des biens ou des services chez eux.

Si vous respectez les normes du secteur, vous démontrez aux clients votre engagement à protéger leurs données de paiement. C’est un moyen essentiel d’obtenir leur confiance et de la renforcer.

2. Mettre la sécurité en vedette

Le principal objectif du programme SIC et de la Norme de l’ICP en matière de sécurité des données consiste à protéger les renseignements confidentiels en tout point du système de paiement. Il en résulte une meilleure prise de conscience qui vous incitera à renforcer vos mesures afin de contrer toute attaque éventuelle.

3. Prévenir les dépenses inutiles

Une solide politique de sécurité des données vous aidera à prévenir les infractions à la sécurité qui pourraient coûter cher à votre entreprise, en termes de réputation et de bénéfices.

Une atteinte à la protection des données en raison de lacunes dans les pratiques de sécurité risque d’engendrer pour l’entreprise des frais importants:vérifications, litiges et amendes, sans compter une exploitation sensiblement compromise.

La mise en application de normes efficaces prévient toutes ces dépenses et protégera votre bonne réputation.

4. Conserver une image positive

Si vous faites l’effort de respecter la Norme de l’ICP en matière de sécurité des données, vous aurez accompli de grands progrès dans la préservation de votre réputation auprès des consommateurs et des médias, car le public accorde de plus en plus d’importance à la protection des données personnelles.

5. Obtenir un avantage concurrentiel

Une excellente politique de sécurité des données peut vous aider à acquérir une réputation de détaillant honnête et fiable. Si vos clients savent que vous protégerez les données confidentielles associées à leur compte, ils reviendront vous voir, votre bénéfice augmentera et vous vous démarquerez de vos concurrents.

Niveaux de marchands et validation de la conformité

Tous les marchands qui conservent, traitent ou transmettent les données d’un titulaire de carte doivent se conformer à la Norme de sécurité de l’industrie des cartes de paiement et faire valider leur conformité selon la procédure appropriée.

La Norme de l’ICP formule clairement les exigences qui se divisent en quatre niveaux. Tous les marchands appartiennent à l’une ou l’autre de ces catégories.

Voici les descriptions des différents niveaux de marchands et les exigences en matière de validation requises pour chacun d'eux, tel qu'ils ont été définis par Visa et MasterCard.

Niveau de marchands Description Exigences en matière de validation Validé par
1
  • Tout marchand, sans égard au réseau d’acceptation, traitant annuellement plus de 6 000 000 de transactions Visa ou MasterCard.
  • Tout marchand ayant été victime d'une intrusion informatique ayant causé la compromission des données concernant les comptes.
  • Tout marchand qui, selon une association de cartes, à son entière discrétion, doit se conformer aux exigences applicables aux marchands de niveau 1.

Évaluation annuelle de la sécurité des données de l’ICP, sur place

Questionnaire annuel d'autoévaluation de l'ICP

Balayage trimestriel du réseau

Évaluateur qualifié en matière de sécurité

Fournisseur autorisé de services de balayage

2
  • Tout marchand traitant annuellement de 1 000 000 à 6 000 000 de transactions Visa ou MasterCard.

Questionnaire annuel d'autoévaluation de l'ICP

Balayage trimestriel du réseau

Évaluateur qualifié en matière de sécurité

Fournisseur autorisé de services de balayage

3
  • Tout marchand traitant annuellement de 20 000 à 1 000 000 de transactions Visa ou MasterCard du commerce électronique.

Questionnaire annuel d'autoévaluation de l'ICP

Balayage trimestriel du réseau

Évaluateur qualifié en matière de sécurité

Fournisseur autorisé de services de balayage

4
  • Tout marchand traitant annuellement moins de 20 000 transactions Visa ou MasterCard de commerce électronique.
  • Tout marchand (sans égard au réseau d’acceptation), traitant annuellement jusqu’à 1 000 000 de transactions Visa ou MasterCard.

Questionnaire annuel d'autoévaluation de l'ICP

Balayage trimestriel du réseau

Nous avons collaboré avec Trustwave Corporation pour vous donner accès aux outils de conformité et aux solutions de sécurité des données, et ce, à un prix préférentiel, afin de vous aider à respecter les exigences de la Norme de l'ICP. Pour obtenir plus d’information concernant la manière dont Trustwave peut vous aider à respecter la Norme de l'ICP, veuillez consulter le site Web à l'adresse suivante  www.servicesauxcommercantstd.com/pci4

1. MasterCard - À compter du 30 juin 2011, les marchands de niveau 1 qui choisissent de faire effectuer une évaluation annuelle sur place par un vérificateur interne doivent s’assurer que le personnel du vérificateur interne principal chargé de valider la conformité à la norme de sécurité des données de l’ICP suive les programmes de formation offerts aux marchands par le Security Standard Council de l’ICP et réussisse tout programme d’accréditation connexe du Security Standard Council de l’ICP annuellement afin de pouvoir continuer d’utiliser les services de vérificateurs internes.

2. MasterCard - À compter du 30 juin 2011, les marchands de niveau 2 qui choisissent de remplir un questionnaire annuel d’autoévaluation doivent s’assurer que le personnel chargé d’effectuer l’autoévaluation suive les programmes de formation offerts aux marchands par le Security Standard Council de l’ICP et réussisse tout programme d’accréditation connexe du Security Standard Council de l’ICP annuellement afin de pouvoir continuer d’utiliser l’option d’autoévaluation pour la validation de la conformité. Au lieu de remplir un questionnaire annuel d’autoévaluation, les marchands de niveau 2 peuvent, s’ils le préfèrent, faire effectuer une évaluation annuelle sur place par un évaluateur qualifié en matière de sécurité, approuvé par le Security Standard Council de l’ICP.

Services d'évaluation en matière de conformité

Il existe plusieurs fournisseurs de services à l'égard de la sécurité des données qui, comme Trustwave, offrent des renseignements sur la sécurité et des services en matière de conformité à la Norme de l'ICP. Pour obtenir une liste d'évaluateurs qualifiés en matière de sécurité reconnus par la Norme de l'ICP et des fournisseurs autorisés de services de balayage, consultez le:
https://www.pcisecuritystandards.org/approved_companies_providers/index.php

Exigences de conformité pour le fournisseur de services

Un fournisseur de services est une organisation qui conserve, traite ou transmet les données d'un titulaire de carte pour le compte de marchands ou d'autres fournisseurs de services. Par conséquent, tous les fournisseurs de services doivent se conformer à la Norme de l’ICP, ce qui comprend la validation de leur conformité à la Norme par un évaluateur qualifié en matière de sécurité.

Pour obtenir plus d’information concernant les exigences en matière de conformité des fournisseurs de services et pour consulter une liste des fournisseurs de services qui ont fait valider leur conformité à la Norme de l’ICP, visitez les sites suivants:

Exigences de conformité pour les fournisseurs de services – Lien Visa

Fournisseurs de services dont la validité a été confirmée – Lien Visa (pdf)

Exigences de conformité pour les fournisseurs de services – Lien MasterCard

Fournisseurs de services dont la validité a été confirmée – Lien MasterCard

Norme de sécurité des données en matière d'application de paiement

La Norme de sécurité des données en matière d’application de paiement (Payment Application Data Security Standard) est gérée par le Security Standard Council. Cette norme est basée sur Pratique exemplaire en matière d’application de paiement (Visa’s Payment Application Best Practices) («la Norme PABP»).

Plusieurs marchands déploient des applications de traitement des paiements de tiers qui sont personnalisées à leurs besoins d’affaires pour le traitement des paiements par carte de crédit. L’objectif de la Norme de sécurité des données en matière d’application de paiements est d’aider les fournisseurs de logiciels à élaborer des applications de traitement des paiements sûres, qui ne conservent pas certaines données interdites, telles que des données complètes de bande magnétique, des valeurs de vérification de carte ou des données sur le NIP, et de s’assurer que les applications de traitement des paiements supportent les critères de conformité de la Norme de sécurité des données de l’industrie des cartes de paiement. Les applications de traitement des paiements vulnérables qui conservent des données interdites sont la principale cause d’atteinte à l’intégrité des données de comptes chez les petits commerçants.

Les applications de traitement des paiements qui sont vendues, distribuées ou mises sous licence à des tiers sont assujetties aux exigences de la Norme de sécurité des données en matière d’application de paiement. Les applications de paiement élaborées à l’interne par des marchands ou des fournisseurs de services qui ne sont pas vendues à des tiers ne sont pas assujetties aux exigences de la Norme de sécurité des données d’application de paiement, mais doivent quand même être sécurisées conformément à la Norme de sécurité de l’ICP. La Norme de sécurité des données en matière d’application de paiement ne s’applique pas aux terminaux point de vente autonomes, aux logiciels de bases de données, ni aux logiciels de serveurs Web.

Pour obtenir un complément d’information sur la Norme de sécurité des données en matière d’application de paiement, y compris une liste des applications qui sont conformes à la norme, consultez:

www.pcisecuritystandards.org

Programme de conformité en matière de sécurité de paiement de Visa Canada

Visa Canada a mis en place des règles qui demandent aux acquéreurs de s’assurer que les marchands (nouveaux et actuels) avec lesquels ils font affaire et qui utilisent des logiciels d’application de paiement n’utilisent que des logiciels conformes à la Norme de sécurité des données en matière d’application de paiement:

  • Depuis le 1er octobre 2008, les acquéreurs doivent s'assurer que tout marchand qui est un nouveau participant utilisant un logiciel d’application de paiement n'utilise qu'un logiciel homologué conforme aux exigences de la Norme de sécurité des données en matière d’application de paiement. Il convient de noter que l’expression «nouveaux participants» vise seulement les nouveaux marchands qui acceptent les cartes Visa comme mode de paiement, et exclut les marchands actuels qui peuvent changer d’acquéreurs, ou un nouveau point de vente chez un marchand à succursales multiples ou une nouvelle franchise.
  • Depuis le 1er juillet 2010, les acquéreurs doivent s’assurer que leurs marchands (nouveaux et actuels) utilisant un logiciel d’application de paiement, n’utilisent qu’un logiciel homologué conforme aux exigences de la Norme de sécurité des données en matière d’application de paiement.

Programme de conformité en matière d'application de paiements MasterCard

À compter du 1er juillet 2012. MasterCard examinera les normes du programme de protection des données de MasterCard pour exiger de tous les marchands et fournisseurs de services qui utilisent des applications de traitement des paiements de tiers qu'ils se servent uniquement des applications qui sont conformes avec la norme de sécurité des données en matière d'application de paiement de l'industrie des cartes de paiement (Norme de l'ICP PA-DSS). L'applicabilité de la norme PCI PA-DSS aux applications de traitement des paiements de tiers est définie dans le guide du programme de la Norme de l'ICP PA-DSS. De plus, MasterCard établira une nouvelle exigence sur la validation de conformité pour la Norme de sécurité des données en matière d'application de paiement pour les marchands des niveaux 1, 2 et 3, de même que pour les fournisseurs de services des niveaux 1 et 2.

Liens vers le programme Visa Sécurité de l’information concernant les comptes, le site de MasterCard sur la protection des données et le PCI Council

Pour obtenir plus de renseignements visitez les sites suivants:

www.visa.ca/sic

www.mastercard.com/sdp

www.pcisecuritystandards.org/

Conseils pour la protection des données

Il est normal que l’on désire conserver les données personnelles de sa clientèle à l’abri des pirates informatiques. Voici quelques conseils à ce sujet, qui vous aideront à protéger les renseignements confidentiels de vos clients et votre entreprise:

  • Ne conservez que le nécessaire en matière de données sur les titulaires de carte et évitez de sauvegarder le contenu de la bande magnétique d’une carte de débit ou de crédit.
  • Détruisez les données de compte dont vous n’avez plus besoin selon la méthode reconnue. Ne sauvegardez jamais le CVV, le CVV2 ou le NIP.
  • Sachez que certains programmes stockent automatiquement des données. Vérifiez la configuration de vos logiciels et vos préférences quant aux mises à niveau pour vous assurer qu'aucun renseignement sur les comptes n'est enregistré à votre insu. Vérifiez si votre logiciel est conforme à la Norme de sécurité des données en matière d'application de paiement.
  • Faites les vérifications de sécurité associées aux normes ICP (pour en savoir plus, consultez le site www.pcisecuritystandards.org)
  • Utilisez des pare-feu efficaces. Assurez-vous que votre système d’acceptation des cartes de paiement est séparé correctement des réseaux publics comme Internet.
  • Changez les mots de passe de système et les codes de sécurité fournis à l’origine par le concepteur de logiciels.
  • Chiffrez toutes les données relatives aux cartes de paiement qui sont enregistrées dans les systèmes de l’entreprise de traitement.
  • Chiffrez toutes les données sur les cartes qui sont transmises sur Internet ou sur un autre réseau public ouvert.
  • Activez votre logiciel antivirus et obtenez toutes les mises à niveau.
  • Assurez la protection des autres logiciels, notamment les systèmes d’exploitation, et obtenez les plus récentes versions.
  • Ne donnez accès aux données sur les clients qu’aux employés qui en ont besoin. Assurez-vous que chaque employé utilisant un ordinateur possède son propre code d’accès.
  • Restreignez l'accès physique aux renseignements sur les cartes de paiement conservés sur support papier.
  • Testez régulièrement les systèmes de sécurité de votre entreprise.
  • Adoptez une politique en matière de sécurité de l'information qui dicte les comportements que doivent adopter les employés ayant accès aux données. Renforcer régulièrement les règles.
  • Exigez que tous les tiers ayant accès aux données sur les titulaires de carte se conforment aux exigences de sécurité de l’ICP.