PCI DSS = Payment card industry data security standard fiche de synthèse sur la norme PCI DSS + glossaire
•Pourquoi PCI DSS ?
•PCI DSS : Compliance ou sécurité ?
•Quelles mesures de sécurité pour être compliant ?
•Qui paye les pénalités ?
•Auditer PCI DSS ?
•Les ERT
[...] PCI DSS : Compliance ou sécurité ? Compliance : conformité à un référentiel Sécurité : faire en sorte que les données soient intègres, accessibles, confidentielles Être conforme au référentiel, c'est avoir mis en place des mesures de sécurité. Celui qui est conforme a dû mettre en place un minimum de sécurité. PCI DSS = de la compliance Quelles mesures de sécurité pour être compliant ? PCI DSS = 290 exigences réparties sur 12 chapitres Si l'entreprise a un prestataire de paiement, c'est à lui d'être compliant PCI DSS sauf si le volume est trop important (c'est l'acquéreur (banque) qui est responsable de la conformité du marchand) C'est viral = quand on l'est, nos prestataires doivent l'être car le client l'impose mais ce n'est pas obligatoire. [...]
[...] Questionnaire d'auto-évaluation (SAQ) ou Rapport sur la conformité y compris la documentation concernant tous les contrôles de compensation, selon les directives et instructions PCI applicables) Compléter l'intégralité de l'attestation de conformité, pour les prestataires de services ou les commerçants, selon le cas. Les attestations de conformité sont disponibles sur le site Web du PCI SSC. Envoyer le SAQ ou ROC et l'Attestation de conformité, ainsi que toute autre documentation requise, comme les rapports d'analyse ASV, à l'acquéreur (dans le cas de commerçants), à la marque de carte de paiement ou à tout autre demandeur (dans le cas de prestataires de services). L'assurance n'est pas impliquée dans la signature du papier, si le QSA n'a pas correctement audité. [...]
[...] Le contrat de VAD (vente à distance, il s'agit du contrat ERT20) ou VADS (ERT 24) signé avec celle-ci, vous pourrez avoir recours à un PSP (Payment Service Provider) indépendant où les prix et les services peuvent s'avérer plus intéressants. Ce n'est bien entendu pas dans l'intérêt du banquier de vous parler de solutions externes qui peuvent êtres plus intéressantes pour vous car il ne touchera plus que les commissions du contrat VAD (et encore pas dans tous les cas). Glossaire PAN (Primary Account Number) : il s'agit de l'identifiant de carte. Il est généralement composé de ou 16 chiffres. [...]
[...] L'amende n'est pas émise par le PCI SSC (PCI Security Standards Council). Les pénalités viennent des réseaux redirigés vers les banques acquéreurs qui peuvent les rediriger vers les marchands. Les pénalités sont gérées contractuellement entre les banques et les marchands. Pour les prestataires intermédiaires, qui n'ont pas de contrat avec les banques ils vont signer des contrats avec les marques de cartes directement pour s'engager à respecter PCI DSS et donc payer des pénalités directement aux marques de cartes. Business driver ? [...]
[...] AOC (attestation of compliance) : formulaire utilisé par un commerçant pour attester de sa compliance au PCI DSS. SAQ (Self-Assessment Questionnaire) : pour les commerçants moins critiques, ils peuvent remplir un simple questionnaire d'auto-évaluation (SAQ). Il existe 5 questionnaires dépendant de l'activité du commerçant (commerce en ligne, prise des empreintes de cartes sans stockage ROC (report of compliance) : permet de tester le niveau de standard à appliquer pour protéger les informations des cartes bancaires. Il y a 3 niveaux : -Level 1 merchant : ROC et Scan ASV externes tous les trimestres -Level 2 merchant : ROC ou SAQ approprié et Scan ASV externes tous les trimestres -Level 3 merchant : SAQ approprié et Scan ASV externes tous les trimestres Un marchand de niveau réalise plus de 6 millions de transactions annuelles avec Visa et/ou Mastercard. [...]
Source aux normes APA
Pour votre bibliographieLecture en ligne
avec notre liseuse dédiée !Contenu vérifié
par notre comité de lecture