Norme de sécurité de l'industrie des cartes de paiement : Commerçants (physiques ou en ligne), Prestataires de services de paiement, Hébergeurs traitant des données de cartes, Niveau de conformité exigé dépend du volume de transactions annuelles.
Les 4 niveaux de conformité PCI : + de 6 millions (Audit annuel + scan trimestriel). 1 à 6 millions (Questionnaire + scan trimestriel). 20 000 à 1 million (e-commerce - Questionnaire + scan trimestriel). < 20 000 (e-commerce - Questionnaire recommandé). Réduire les risques de fraude et de vol de données liées aux cartes de paiement en imposant des exigences de sécurité techniques et organisationnelles.
La norme PCI DSS est un standard de sécurité développé par les principaux réseaux de cartes bancaires (Visa, MasterCard, American Express, Discover, JCB) pour protéger les données des titulaires de cartes lors des paiements électroniques. Principales exigences PCI DSS (en 12 points) : Installer et maintenir un pare-feu de protection des données. Ne pas utiliser de mots de passe système par défaut. Protéger les données du titulaire de la carte. Chiffrer la transmission des données sensibles. Utiliser un antivirus à jour. Développer des systèmes sécurisés et les maintenir. Restreindre l’accès aux données selon les besoins. Attribuer un ID unique à chaque utilisateur ayant accès aux données. Limiter l’accès physique aux données. Suivre et surveiller tous les accès aux ressources réseau. Tester régulièrement les systèmes de sécurité. Maintenir une politique de sécurité de l’information. Avantages : Sécurise la confiance client, Réduction des risques de cyberattaques, Requis pour éviter les amendes des banques/acquéreurs. Sanctions en cas de non-conformité : Amendes importantes imposées par les banques, Suspension du droit d’accepter les paiements par carte, Pertes de données et atteinte à la réputation.
