Qu'est-ce que la conformité PCI
La conformité à l'industrie des cartes de paiement (PCI) fait référence aux normes techniques et opérationnelles que les entreprises doivent suivre pour garantir la protection des données de carte de crédit fournies par les titulaires de carte. La conformité PCI est appliquée par le PCI Standards Council et toutes les entreprises qui stockent, traitent ou transmettent des données de carte de crédit par voie électronique sont tenues de suivre les directives de conformité.
Comprendre la conformité PCI
Les normes de conformité de l'industrie des cartes de paiement (PCI) obligent les commerçants et autres entreprises à gérer les informations de carte de crédit de manière sécurisée, ce qui contribue à réduire la probabilité de vol de données financières sensibles. Si les commerçants ne traitent pas correctement les informations de carte de crédit, les informations de carte peuvent être piratées et utilisées pour effectuer des achats frauduleux. De plus, des informations sensibles sur le titulaire de la carte pourraient être utilisées dans la fraude d'identité.
Être conforme à la norme PCI signifie adhérer de manière cohérente à un ensemble de directives définies par les sociétés qui émettent des cartes de crédit. Les directives décrivent une série d'étapes que les processeurs de cartes de crédit doivent suivre en permanence. Les entreprises sont d'abord invitées à évaluer leur infrastructure informatique, leurs processus commerciaux et leurs procédures de traitement des cartes de crédit afin d'identifier les menaces potentielles susceptibles de compromettre les données des cartes de crédit. Les entreprises sont ensuite invitées à combler toute lacune dans la sécurité et à éviter de stocker des informations sensibles sur les titulaires de carte, telles que la sécurité sociale et les numéros de permis de conduire, dans la mesure du possible. Les entreprises sont tenues de fournir des rapports de conformité aux marques de cartes avec lesquelles elles travaillent, comme American Express et VISA.
Toutes les entreprises qui traitent les informations de carte de crédit sont tenues de maintenir la conformité PCI, indépendamment de leur taille ou du nombre de transactions par carte de crédit qu'elles traitent. Toutes les entreprises sont réparties en niveaux de marchand en fonction du nombre de transactions traitées au cours d'une période spécifiée. La conformité PCI est régie par le Payment Card Industry Security Standards Council, une organisation créée en 2006 dans le but de gérer la sécurité des cartes de crédit. Les exigences, connues sous le nom de PCI DSS (Payment Card Industry Data Security Standards), sont gérées par les principales sociétés de cartes de crédit, notamment VISA, American Express, Discover et MasterCard, entre autres.
Conformité PCI et violations de données
La plupart des violations de données les plus importantes de l'histoire auraient pu être évitées si les commerçants ou institutions financières concernés étaient conformes à la norme PCI. Voici quelques points clés du rapport sur la sécurité des paiements Verizon 2017, une étude approfondie de la conformité PCI DSS:
- Les organisations de vente au détail ont démontré la durabilité de conformité PCI la plus faible dans toutes les industries clés.L'industrie des services informatiques a atteint la conformité totale la plus élevée de tous les groupes clés de l'industrie étudiés.77% des entreprises évaluées après qu'une violation de données n'était pas conforme à l'exigence PCI numéro un: installer et maintenir une configuration de pare-feu. L'étude montre une corrélation "démontrable" entre les entreprises qui sont à jour sur les normes PCI et les entreprises qui ont réussi à se défendre contre les cybermenaces. Le nombre d'entreprises 100% conformes à la norme PCI est croît considérablement d'une année à l'autre.
