Cartes de paiement et norme PCI DSS : des avantages concrets pour les marchands

Ils peuvent dès maintenant appliquer cette norme visant à sécuriser les informations des cartes de paiement. La tâche n’est pas très complexe, et les avantages bien réels.

En application dans les institutions financières canadiennes depuis plusieurs années, et exigées aux marchands américains plus récemment, la norme PCI DSS (Payment Card Industry Data Security Standard) s’achemine vers une adoption générale.

Mode d’emploi

Il ne s’agit pas d’une norme particulièrement complexe à mettre en oeuvre. En comparaison avec d’autres modèles de gouvernance, comme ISO 17799 et ISO 27002, qui portent également sur la sécurité de l’information, PCI DSS n’impose que peu de contraintes. À partir du moment où le marchand manifeste une volonté claire de l’implanter, les choses deviennent beaucoup plus faciles. De plus, le marché évolue rapidement, et il existe dès maintenant des produits matériels et logiciels déjà certifiés qui facilitent la mise en œuvre de la norme.

Celle-ci s’applique uniquement lorsque le numéro d’une carte de paiement, appelé le numéro de compte primaire (primary account number, ou PAN) est mémorisé, traité ou transmis. Elle est composée de douze exigences simples permettant de sécuriser et de surveiller les réseaux, de protéger les données des titulaires de cartes, de gérer les vulnérabilités et de se doter d’une politique en matière de sécurité de l’information.

Elle vise toute application et tout système par lequel on peut traiter, emmagasiner et transmettre des informations des cartes de paiement. Il existe différents niveaux de certification, déterminés selon le volume des transactions effectuées par chaque marchand. Dépendamment de ce niveau, la conformité à la norme sera vérifiée par un audit annuel ou par l’entremise d’un formulaire d’auto-évaluation. Dans tous les cas, un balayage de réseau est effectué trimestriellement.

Quelles sont les données qui doivent être sécurisées? Les informations sensibles sont par exemple le numéro de la carte et sa date d’expiration, le contenu de la piste magnétique de la carte et le NIP.

Promue et régie par l’industrie du paiement par cartes, la norme PCI DSS est appuyée par des organisations de grande envergure comme Visa et MasterCard. Son but est de renforcer la protection des données sensibles d’un bout à l’autre du réseau d’échange de cette industrie, c’est-à-dire du point d’acceptation de la carte jusqu’aux systèmes de traitement des institutions financières, de manière à contrer la fraude. Principalement, la norme touche trois aspects des transactions faites par cartes de crédit :

  • les composantes de réseau où transitent ces transactions, tels les routeurs et pare-feu,
  • les serveurs de données (bases de données, systèmes de courriel, de sauvegarde, etc.) et
  • les applications commerciales ou internes donnant accès au réseau, par exemple les applications de paiement ou les applications d’encaissement.

    Voici quelques données significatives appuyant l’implantation de la norme PCI DSS et qui sont tirées d’un sondage de Javelin Strategy and Reseach effectué en 2007 aux États-Unis auprès de 2 750 consommateurs. On y découvre que les marchands doivent prendre en considération l’avis des consommateurs : 77 % des clients sont prêts à arrêter de magasiner chez un marchand qui fait face à des failles de sécurité; 63 % considèrent les marchands comme le maillon faible pour la protection de leurs données confidentielles; contre 16 % pour les processeurs et 5 % pour les institutions financières (acquéreur et émetteur); mais surtout, 85 % des clients estiment qu’ils pourraient récompenser les marchands-chefs de file en matière de sécurité.

    Avantages de PCI DSS

    La conformité à PCI DSS implique que le marchand fasse une revue de ses systèmes, applique au besoin les changements requis et se soumette à une certification externe. Devant ce type d’investissement, les marchands sont souvent réticents vis-à-vis de cette norme. Ils peuvent pourtant en tirer des avantages tangibles. Le premier consiste à réduire considérablement le risque de fraude, ce qui permet de protéger le fonds de commerce et de préserver la confiance de sa clientèle. En effet, les incidents de sécurité peuvent affecter grandement un marchand, en altérant sa réputation et en entraînant la désertion de nombreux clients.

    La norme évite aussi au marchand les désagréments financiers liés aux incidents de sécurité. Entre autres, elle peut protéger le marchand de poursuites judiciaires. Elle peut non seulement contribuer à prévenir les vols de données, mais tous les désagréments qui s’ensuivent. Certains incidents survenus notamment aux États-Unis et au Canada – par exemple, une brèche dans le réseau informatique d’une chaîne de magasins à grande surface a ouvert l’accès à des milliers de dossiers clients et leurs numéros de carte de crédit et débit – ont montré tout le tors que ce genre de situation peut causer aux marchands en cause.

    Selon l’analyse de l’Institut Ponemon en 2006, le coût de la prévention de la fraude ne représente que 4 % du coût total qu’une fraude peut engendrer en perte de revenus, pénalités, support aux consommateurs, et marketing pour regagner sa part de marché.

    La norme PCI DSS améliore la robustesse des systèmes des marchands et renforce la sécurité entourant l’ensemble de ses opérations, ce qui ne peut lui être que bénéfique.

    Bref, de réels avantages s’offrent aux marchands. D’autant plus qu’on prévoit que la norme deviendra à terme une obligation au Canada, comme c’est déjà le cas aux États-Unis. Même la venue prochaine de la carte à puce n’empêchera pas son adoption. En effet, les deux éléments se complètent : alors que la carte à puce prévient le clonage et la contrefaçon des cartes, PCI DSS protège le traitement, la conservation et la transmission des données de la carte. De plus, la carte à piste ne disparaîtra pas de sitôt, notamment parce que les États-Unis n’ont pas annoncé leur intention de la remplacer. Malgré l’arrivée de la puce, les consommateurs continueront en outre à donner leur numéro de carte par téléphone, par Internet et par la poste.

    Se donner une longueur d’avance

    Actuellement au Canada, l’adoption de la norme PCI DSS se fait par les marchands sur une base volontaire. En passant à l’action dès maintenant, cependant, les marchands peuvent non seulement faire preuve de prévention, mais devancer le marché avant que la norme devienne une obligation. Ceci permet au marchand de procéder de façon plus sereine, plutôt que de baser ses travaux sur un échéancier imposé.

    Au minimum, les marchands devraient évaluer l’état de la sécurité de l’information dans leurs commerces afin de déterminer le travail à faire pour se conformer à la norme et protéger leurs investissements en infrastructures informatiques. Entre autres choses, cet exercice leur permettra de vérifier qu’ils ne conservent pas inutilement certains renseignements sensibles dont les fraudeurs sont friands. La simple élimination de ces données superflues pourrait leur faciliter grandement la vie.

    Des changements importants sont en préparation dans l’industrie des paiements par carte. Les marchands qui se mettront à la tâche rapidement seront les premiers à en retirer les avantages. Ils éviteront la cohue le moment venu et se doteront d’une protection contre de fâcheux incidents. Au bout du compte, cela pourrait même leur conférer un avantage concurrentiel.

    De façon générale, l’application de politique de prévention telle que la norme PCI DSS va permettre un contrôle des coûts reliés à la fraude, ce qui est une plus value pour les marchands et les consommateurs et permettra ultimement de maintenir un lien de confiance vital dans cette industrie.

    Stéphane Darveau, est directeur, développement des affaires, services transactionnels, et Philippe Hébrais est chef de pratique PCI DSS, chez GFI Solutions, une société qui conseille, développe et implante des solutions de pointe en technologies de l’information.

  • Articles connexes

    Nouvelle plateforme basée sur l’IA pour aider les PME à prospérer

    Cubeler est un portail d’affaires pour aider les PME à réaliser leur potentiel de croissance. Cette plateforme gratuite sur inscription permet aux PME de faire face au changement et d’accélérer leur croissance. d’accélérer la recherche de financement, d’accéder à des perspectives stratégiques sur le marché, de réseauter avec d’autres PME et de créer des publicités hautement ciblées pour promouvoir leurs produits et services.

    Certains modèles de téléphones IP Cisco présentent une vulnérabilité très grave

    Plusieurs modèles de téléphones IP de Cisco Systems présentent une vulnérabilité de haute gravité, a reconnu la société, mais un correctif ne sera pas disponible avant janvier.

    LastPass admet un nouveau piratage, des données clients auraient été exposées

    Des informations que les pirates ont obtenues lors d'un piratage en août du fournisseur de gestion de mots de passe LastPass ont été utilisées pour compromettre à nouveau l'entreprise, a reconnu son PDG.

    La FCEI lance l’Académie de la cybersécurité pour les petites et moyennes entreprises

    Un programme de formation en ligne sur la cybersécurité destiné aux petites et moyennes entreprises canadiennes fait ses débuts aujourd'hui, des mois après son lancement

    Le gouvernement du Canada investit dans MEDTEQ+ pour financer des technologies d’avant-garde

    Le gouvernement du Canada annonce un investissement de 47 millions de dollars par l'entremise du Fonds stratégique pour l'innovation afin d’appuyer le réseau envisAGE de MEDTEQ+, un projet de 154 millions de dollars, mis en place en collaboration avec AGE-WELL, un réseau national qui développe des technologies et des services pour faciliter un vieillissement en bonne santé.