Cartes de paiement et norme PCI DSS : des avantages concrets pour les marchands

Stéphane Darveau et Philippe Hébrais, GFI Solutions -31/10/2008

Ils peuvent dès maintenant appliquer cette norme visant à sécuriser les informations des cartes de paiement. La tâche n'est pas très complexe, et les avantages bien réels.

En application dans les institutions financières canadiennes depuis plusieurs années, et exigées aux marchands américains plus récemment, la norme PCI DSS (Payment Card Industry Data Security Standard) s'achemine vers une adoption générale.

Mode d'emploi

Il ne s'agit pas d'une norme particulièrement complexe à mettre en oeuvre. En comparaison avec d'autres modèles de gouvernance, comme ISO 17799 et ISO 27002, qui portent également sur la sécurité de l'information, PCI DSS n'impose que peu de contraintes. À partir du moment où le marchand manifeste une volonté claire de l'implanter, les choses deviennent beaucoup plus faciles. De plus, le marché évolue rapidement, et il existe dès maintenant des produits matériels et logiciels déjà certifiés qui facilitent la mise en œuvre de la norme.

Celle-ci s'applique uniquement lorsque le numéro d'une carte de paiement, appelé le numéro de compte primaire (primary account number, ou PAN) est mémorisé, traité ou transmis. Elle est composée de douze exigences simples permettant de sécuriser et de surveiller les réseaux, de protéger les données des titulaires de cartes, de gérer les vulnérabilités et de se doter d'une politique en matière de sécurité de l'information.

Elle vise toute application et tout système par lequel on peut traiter, emmagasiner et transmettre des informations des cartes de paiement. Il existe différents niveaux de certification, déterminés selon le volume des transactions effectuées par chaque marchand. Dépendamment de ce niveau, la conformité à la norme sera vérifiée par un audit annuel ou par l'entremise d'un formulaire d'auto-évaluation. Dans tous les cas, un balayage de réseau est effectué trimestriellement.

Quelles sont les données qui doivent être sécurisées? Les informations sensibles sont par exemple le numéro de la carte et sa date d'expiration, le contenu de la piste magnétique de la carte et le NIP.

Promue et régie par l'industrie du paiement par cartes, la norme PCI DSS est appuyée par des organisations de grande envergure comme Visa et MasterCard. Son but est de renforcer la protection des données sensibles d'un bout à l'autre du réseau d'échange de cette industrie, c'est-à-dire du point d'acceptation de la carte jusqu'aux systèmes de traitement des institutions financières, de manière à contrer la fraude.
Principalement, la norme touche trois aspects des transactions faites par cartes de crédit :

les composantes de réseau où transitent ces transactions, tels les routeurs et pare-feu,

les serveurs de données (bases de données, systèmes de courriel, de sauvegarde, etc.) et

les applications commerciales ou internes donnant accès au réseau, par exemple les applications de paiement ou les applications d'encaissement.

Voici quelques données significatives appuyant l'implantation de la norme PCI DSS et qui sont tirées d'un sondage de Javelin Strategy and Reseach effectué en 2007 aux États-Unis auprès de 2 750 consommateurs. On y découvre que les marchands doivent prendre en considération l'avis des consommateurs :
77 % des clients sont prêts à arrêter de magasiner chez un marchand qui fait face à des failles de sécurité;
63 % considèrent les marchands comme le maillon faible pour la protection de leurs données confidentielles; contre 16 % pour les processeurs et 5 % pour les institutions financières (acquéreur et émetteur);
mais surtout, 85 % des clients estiment qu'ils pourraient récompenser les marchands-chefs de file en matière de sécurité.

Page 1 – Mode d'emploi

Page 2 – Avantages de PCI DSS