PCI DSS : moteurs du marché et messages clés

Le Payment Card Industry Data Security Standard (PCI DSS) est un standard qui s’applique à toutes les organisations qui traitent, stockent et transmettent les données des titulaires de carte de crédit.

PCI DSS est développé par le PCI Security Standards Council (PCI SSC). Le PCI SSC a été fondé par les grandes marques de cartes de crédit: Mastercard, Visa, AMEX, Discover et JCB.

Les organismes qui acceptent les cartes de crédit comme moyen de paiement pour des biens ou services sont communément appelés commerçants. Les organisations qui aident les commerçants et qui entrent en contact avec les titulaires de cartes sont communément appelés fournisseurs de services, comme par exemple les centres d’appel ou les solutions d’archivage. Les banques d’acquisition sont responsables de l’application et de la notification de la conformité PCI DSS des commerçants, alors que les prestataires de services sont gérés par les marques de cartes de crédit.

Les moteurs du marché

PCI DSS a été créé par les marques de carte de crédit en réponse au nombre croissant des vols de données et des fraudes chez les commerçants et prestataires de services qui traitent, stockent et transmettent les données des titulaires de carte. PCI DSS est conçu pour protéger la confiance des clients, pour protéger les parts de marché et chiffre d’affaires de marques de cartes de crédits, pour réduire les conséquences et les coûts des infractions et des fraudes, et indirectement pour éviter la réglementation gouvernementale de l’industrie des paiements.

PCI DSS précise 12 règles d’ensemble pour protéger les données des titulaires de cartes. Tous les commerçants et prestataires de services doivent certifier leur conformité PCI chaque année. La conformité des commerçants est gérée par leur(s) banque(s) d’acquisition(s) ; celle des prestataires de services est gérée par les marques de cartes de crédit.

Pour les commerçants, ce sont les marques de cartes de crédit qui évaluent les infractions et le montant des amendes pour la non-conformité. Les banques d’acquisition peuvent imposer une amende ou établir différents niveaux de frais de transaction aux commerçants qui ne sont pas conformes.

Les amendes peuvent atteindre des millions de dollars et couter même plus lors de frais de transaction élevés. Les commerçants et les fournisseurs de services sont encouragés à réduire ou éliminer le stockage d’informations sur les titulaires de cartes. Ceci permet de réduire le périmètre d’un environnement PCI et ainsi les coûts et les efforts nécessaires pour atteindre et maintenir la conformité.

Les responsables informatiques craignent que chaque année les exigences PCI croissent, prenant ainsi du temps et du budget à d’autres projets.

Domaines concernés

  • Commerçants verticaux primaires : assurances (détail), détaillants (magazines et sites en ligne), loisirs / hôtellerie, autres services financiers, etc.
  • Commerçants verticaux secondaires : éducation, gouvernement, loterie / jeux, jeux en ligne, etc.
  • Fournisseurs de services : Business Process Outsourcing, centres d’appel, solutions d’archivage, etc.
  • Acheteurs et prescripteurs : architectes, auditeur et compliance manager, sécurité informatique, opérations informatiques, QSA, etc.

Messages clés aux architectes

  • Réduire le périmètre PCI,
  • Imbriquer la protection des données des titulaires de cartes dans l’architecture IT,
  • Améliorer les niveaux de chiffrement et d’authentification,
  • Séparer les contrôles de conformité,
  • Réduire les risques en centralisant le stockage des clés.

Messages clés aux responsables sécurité

  • Endiguer la fraude et les infractions sur les données des titulaires de cartes,
  • Mettre en œuvre les politiques et les contrôles,
  • Réduire le périmètre et faciliter la conformité continue,
  • Automatiser la gestion des clés ce qui permet de réduire les coûts de conformité,
  • Faciliter la conformité par la documentation et les journaux d’audit.

Messages clés aux responsables opérationnels

  • Réduire le temps et le budget consacré à la gestion des clés,
  • Réduire le périmètre consacré à la conformité continue,
  • Améliorer la vitesse de récupération des données,
  • Améliorer les niveaux de chiffrement et d’authentification.

Messages clés aux auditeurs internes et compliance managers

  • Endiguer la fraude et les infractions sur les données des titulaires de cartes,
  • Mettre en œuvre les politiques et les contrôles,
  • Réduire le périmètre et faciliter la conformité continue,
  • Faciliter la conformité par la documentation et les journaux d’audit.

L’impact et la responsabilité ne sont pas clairs pour les parties impliquées dans les paiements par carte. Il existe ainsi encore un certain nombre de défis pour mettre en œuvre la norme PCI DSS. Kyos fournit des services de conseil dans l’analyse de l’impact de la norme PCI DSS.

Kyos propose également des tests de sécurité en vue de la mise en conformité PCI afin d’évaluer le niveau de sécurité des systèmes de la chaîne d’acquisition.