Vous quittez maintenant notre site Web pour accéder à un site tiers sur lequel nous n'avons aucun contrôle.
Sécurité des données des Solutions aux commerçants TD
Protégez les données des titulaires de carte contre le vol
Se tenir au courant des normes du secteur
-
Qu'est-ce que la norme PCI DSS
-
12 principales
exigences -
Importance de la sécurité des données
-
Conseils pour protéger
vos données -
Pour les commerçants
Norme PCI DSS
Les mesures de cette norme vous aident à prévenir le vol de données confidentielles des titulaires de carte en évaluant la sécurité de ces données au sein de votre entreprise et, si nécessaire, en améliorant votre niveau de sécurité pour respecter ou dépasser les normes du secteur.
Nous avons inclus des renseignements essentiels ci-dessous pour que vous restiez informé sur la sécurité des données et vous guider dans votre rôle dans le maintien de la sécurité des données des titulaires de carte.
Respect de la norme
La norme PCI DSS exige de toute organisation qui recueille, traite, transmet ou stocke les données des titulaires de carte qu’elle respecte et maintienne les normes de sécurité des données établies par le secteur des paiements dans le monde entier et gérées par le Conseil des normes de sécurité PCI.
Tous les commerçants gérant les données des titulaires de carte doivent se conformer à cette norme et aux programmes de conformité des réseaux de cartes de paiement. Ceux qui ne s’y conforment pas peuvent être soumis à des amendes, frais ou cotisations et/ou à la cessation de leurs services de traitement.
Programme de conformité Visa
Le programme de conformité des applications de paiement de Visa Canada fournit des directives claires aux acquéreurs sur les délais permettant de s’assurer que les commerçants (nouveaux et existants) qui utilisent une application de paiement pour traiter les opérations emploient uniquement des logiciels conformes aux exigences de la norme PCI DSS.
En savoir plus sur le programme de conformité des applications de paiement de Visa Canada
En savoir plus sur la sécurité des données
12 principes de la norme PCI DSS
PCI DSS est une norme de sécurité à multiples facettes qui comprend des exigences en matière de gestion de la sécurité, de politiques, de procédures, d’architecture réseau, de conception de logiciels et d’autres mesures de protection essentielles. Il en résulte une norme complète destinée à aider les entreprises à protéger les données des titulaires de carte consommateurs.
Vous trouverez ci-dessous les douze exigences principales de la norme PCI DSS.
Développer et maintenir un réseau sécurisé
-
Installez et maintenez une configuration de pare-feu pour protéger les données des titulaires de carte
-
N’utilisez pas les valeurs par défaut du fournisseur pour les mots de passe système et les autres paramètres de sécurité
Protéger les données des titulaires de carte
-
Protégez les données stockées des titulaires de carte
-
Chiffrez la transmission des données des titulaires de carte sur des réseaux publics ouverts
Maintenir un programme de gestion des vulnérabilités
-
Utilisez et mettez à jour régulièrement un logiciel antivirus
-
Développez et maintenez des applications et des systèmes sécurisés
Instaurer des mesures de contrôle d’accès strictes
-
Limitez l’accès aux données des titulaires de carte à ceux qui en ont un besoin légitime
-
Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur
-
Limitez l’accès physique aux données des titulaires de carte
Contrôler et tester régulièrement les réseaux
-
Suivez et surveillez tous les accès aux ressources réseau et aux données des titulaires de carte
-
Testez régulièrement les systèmes et les processus de sécurité
Politique de sécurité de l’information du GFBTD
-
Maintenez une politique qui traite de la sécurité des renseignements
Pour en savoir plus sur la norme PCI DSS et consulter la documentation connexe, visitez le site Web du Conseil des normes de sécurité PCI.
Importance de la sécurité des données
Plus les consommateurs utilisent souvent des cartes de crédit et de débit, plus les renseignements sur les comptes des titulaires de carte sont traités et potentiellement conservés au dossier.
Il en résulte un risque accru d’utilisation frauduleuse de ces données si les entreprises ne prennent pas les mesures nécessaires pour recueillir et stocker ces données de façon proactive et sécurisée. Le programme PCI DSS fournit à ces entreprises des normes cohérentes à suivre afin de maintenir l’intégrité des données sur les titulaires de carte consommateurs qui sont recueillies et stockées.
Examinez les avantages clés suivants pour votre entreprise associés à la protection des données des titulaires de carte.
1. Susciter la confiance des consommateurs
De nombreux clients recherchent non seulement des commerçants de confiance, mais également des commerçants qu’ils sont susceptibles de recontacter et de recommander. Dans un sondage parrainé par Visa mené en 2006 dans 12 pays, les consommateurs ont classé la sécurité des renseignements personnels et financiers au premier rang de leurs préoccupations. Ils ont aussi indiqué que les pratiques de sécurité des données des commerçants peuvent influencer leur désir d’acheter des produits et services.
Le respect des normes du secteur participe à démontrer votre engagement à protéger les renseignements confidentiels sur les paiements de vos clients. Cette sécurité est essentielle pour établir et maintenir la confiance des consommateurs.
2. Renforcer la sécurité
L’objectif principal de la norme PCI DSS est de protéger les données confidentielles à tous les niveaux du système de paiement. La conformité au programme améliore la sensibilisation à la sécurité des données et permet de renforcer les mesures de sécurité afin de réduire au minimum la possibilité d’atteintes à la de sécurité des données.
3. Éviter les coûts inutiles
La mise en œuvre d’une politique de sécurité des données rigoureuse vous aidera à prévenir une atteinte à la sécurité qui pourrait coûter cher à votre entreprise en nuisant à votre réputation et à votre situation financière.
Les violations de données résultant de pratiques de sécurité déficientes pourraient exposer votre entreprise à des examens judiciaires, des pénalités, des litiges coûteux et à une perte globale sur vos opérations commerciales.
En mettant en place des normes efficaces pour la sécurité des données, vous pouvez éviter ces dépenses et protéger la réputation de votre entreprise.
4. Conserver une image positive
Alors que le public est de plus en plus préoccupé par la protection des données personnelles, la conformité à la norme PCI DSS contribue largement à la protection de votre réputation aux yeux de vos clients et de la presse.
5. Se démarquer de la concurrence
Une solide politique de sécurité des données peut vous aider à bâtir une réputation de loyauté et de fiabilité. Lorsque vos clients sont certains que les renseignements confidentiels de leur compte sont en sécurité avec vous, leur fidélité augmentera vos résultats financiers et vous démarquera de la concurrence.
Protéger les données des clients contre les pirates
Suivez ces conseils de sécurité utiles pour protéger les renseignements de votre titulaire de carte, ainsi que ceux de votre entreprise :
-
Stockage
Limitez au minimum le stockage des renseignements sur les titulaires de carte et ne conservez jamais les renseignements contenus dans la bande magnétique d’une carte de crédit ou de débit. -
Comptes
Lorsque vous n’avez plus besoin des renseignements sur votre compte, détruisez-les de façon sécurisée. Ne stockez jamais les codes CVV, CVV2 ou le NIP. -
Réseau
Assurez-vous que l’environnement d’acceptation de votre carte de paiement est bien isolé des réseaux publics tels qu’Internet et testez régulièrement les systèmes de sécurité de votre entreprise.
-
Mots de passe
Modifiez les mots de passe et codes de sécurité du système afin de ne pas conserver ceux fournis à l’origine par les fabricants de logiciels. -
Chiffrement
Chiffrez tous les renseignements sur les cartes de paiement stockés sur les ordinateurs du processeur, et toutes les données de cartes transmises sur Internet ou tout autre réseau public ouvert. -
Accès
N’accordez aux employés l’accès aux données des clients qu’en cas de besoin et veillez à ce qu’ils reçoivent chacun un identifiant unique. Vous devriez également avoir une politique de sécurité des renseignements qui énonce des règles pour les employés qui traitent les données des clients.
La conformité, une priorité dans votre entreprise
- Logiciels
Vérifiez les préférences de logiciel et de mise à jour (en particulier pour l’antivirus et le système d’exploitation) pour vous assurer que les renseignements sur votre compte ne sont pas stockés à votre insu. Vérifiez si votre logiciel est compatible avec la norme PA-DSS.
- Conformité
Conformez-vous aux audits de sécurité en respectant les exigences PCI disponibles sur le site Web du Conseil des normes de sécurité PCI, qui inclut tous les fournisseurs tiers ayant accès aux données des titulaires de carte.
Conformité avec la norme PCI DSS
Tous les commerçants qui stockent, traitent ou transmettent des données relatives aux titulaires de carte doivent se conformer à la norme PCI DSS et valider leur conformité au moyen de la méthode appropriée.
Vous trouverez ci-dessous les descriptions des niveaux de commerçants et les exigences de validation pour chaque niveau, telles que déterminées par Visa Canada.
Niveaux de commerçants et exigences en matière de validation
Vous trouverez ci-dessous les descriptions et les exigences de validation pour chaque niveau de commerçant, telles que déterminées par Visa Canada.
Description |
Exigences de validation |
Validation par |
|
---|---|---|---|
Niveau de commerçant 1 |
Commerçant traitant plus de 6 millions d’opérations Visa chaque année |
|
|
Niveau de commerçant 2 |
Commercant traitant de 1 à 6 millions d’opérations Visa chaque année |
|
|
Niveau de commerçant 3 |
Commerçant traitant entre 20 000 et 1 million d’opérations de cybercommerce Visa chaque année |
|
|
Niveau de commerçant 4 |
Commerçant traitant moins de 20 000 d’opérations de cybercommerce Visa chaque année et tous les autres commerçants traitant jusqu'à 1 million d’opérations Visa chaque année |
|
Pour vous aider à respecter vos exigences de conformité PCI, le Conseil des normes de sécurité PCI propose des ressources aux petits commerçants.
Pour en savoir plus, consultez le site Web du Conseil des normes de sécurité PCI. |
Renseignements sécurisés et conformes à la norme PCI
Conformité des fournisseurs de service
Un fournisseur de services est défini comme une entreprise qui stocke, traite ou transmet des données sur les titulaires de carte au nom d’un commerçant ou d’autres fournisseurs de services. Tous les fournisseurs de services doivent se conformer à la norme PCI DSS, en ce compris la validation de leur conformité à la norme PCI DSS par les services d’un évaluateur agréé en sécurité (EAS).
Pour en savoir plus sur les exigences de conformité pour les fournisseurs de services et voir la liste de ceux ayant validé leur conformité à la norme PCI DSS, veuillez consulter:
Exigences de conformité des fournisseurs de services de Visa
Norme PA-DSS
La norme de sécurité relative aux données des applications de paiement (PA-DSS) est gérée par le Conseil des normes de sécurité PCI et vise à aider les fournisseurs de logiciels à développer des applications de paiement tiers sécurisées qui prennent en charge la norme PCI DSS.
Toutes les applications de paiement vendues, distribuées ou concédées sous licence à des tiers sont soumises aux exigences de la norme PA-DSS. Les applications qui ne sont pas destinées à des tiers ne sont pas soumises à la norme PA-DSS, mais elles doivent néanmoins être sécurisées conformément à la norme PCI DSS.
Enfin, les terminaux de point de vente autonomes, les logiciels de base de données et de serveur Web ne sont pas concernés par la norme PA-DSS.
Pour plus d’informations sur la norme PA-DSS, notamment une liste des applications de paiement conformes, visitez le site Web du Conseil des normes de sécurité PCI.