Pourquoi vous devez être conforme aux normes de sécurité PCI

Si vous acceptez, transmettez ou stockez des informations de cartes de crédit ou de débit, vous DEVEZ vous conformer aux normes de sécurité PCI.

Être « conforme PCI » signifie que vous vous conformez à la norme de sécurité des données du secteur des cartes de paiement (PCI DSS ou Payment Card Industry Data Security Standard). En d’autres mots, vous devez répondre aux exigences mises de l’avant par le Conseil des normes de sécurité PCI. Il s’agit des règles implantées afin de protéger les données des titulaires de cartes et de réduire les risques de fraude et de vol.

Si vous n’êtes par conforme aux normes de sécurité PCI et que vous recueillez des informations de cartes de crédit, vous pourriez faire l’objet d’un audit, d’une amende ou perdre votre capacité à pouvoir accepter les paiements par carte de crédit.

Voir également : La conformité PCI expliquée

Que signifie la conformité aux normes PCI pour moi?

L’industrie des cartes de crédit s’est dotée de directives de sécurité rigoureuses définies par le Conseil des normes de sécurité PCI.

Ces directives assurent que votre entreprise et que votre site web soient protégés des pirates et menaces de vol d’identité et que les informations de cartes de crédit de vos clients soient protégées comme il se doit.

L’adhésion aux rigoureuses directives PCI protège à la fois vos clients et votre entreprise. Le fait de ne pas s’y conformer signifie que la responsabilité de tout événement fâcheux vous sera attribuée.

Que dois-je faire pour être conforme aux normes PCI?

Vos exigences précises de conformité PCI dépendront de la taille de votre entreprise.

Votre entreprise de traitement des paiements (auprès de laquelle vous obtenez votre compte marchand), votre banque ou les marques de cartes de crédit avec lesquelles vous faites affaires seront en mesure de vous indiquer les exigences se rapportant précisément à votre cas.

Toutefois, selon les normes minimales de conformité PCI, vous devez :

  • maintenir un réseau sécurisé;
  • surveiller et tester régulièrement les réseaux;
  • mettre en place et maintenir un programme de gestion des vulnérabilités;
  • mettre en place et maintenir une politique de sécurité des informations;
  • implanter des mesures vigoureuses de contrôle d’accès;
  • protéger en tout temps les données des titulaires de cartes;
  • ne jamais stocker les données CVV et de cartes de crédit;
  • ne jamais stocker de données sensibles dans des témoins;
  • vous assurer que votre site web supporte et utilise le protocole SSL (Secure Sockets Layer).

Votre site web devra également faire l’objet d’un balayage de conformité PCI effectué par un prestataire de service agréé (ASV – Approved Scanning Vendor). Une liste à jour de ces prestataires vous est présentée ici :

https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php

Le Conseil des normes de sécurité PCI vous offre également des informations utiles ici (en anglais) : https://www.pcisecuritystandards.org/merchants/how_to_be_compliant.php

Veuillez noter : HostPapa est un marchand électronique agréé conformément aux normes PCI; toutefois, il est de la responsabilité de chaque propriétaire et exploitant de site web de commerce électronique d’être conforme aux normes PCI. Plusieurs exigences PCI concernent vos activités quotidiennes d’entreprise, vos réseaux domestiques et de bureau, votre conception de site web et de base de données et autres éléments sur lesquels HostPapa ne détient aucun pouvoir.

Est-il possible de vendre en ligne sans se conformer aux normes PCI?

Vous avez deux options lorsque vous vendez en ligne :

  1. Devenir un marchand conforme aux normes PCI. Vous devez être agréé par un prestataire tiers de service de certification et de sécurité. Étant donné la nature même de l’hébergement web partagé – plusieurs sites web hébergés sur un même serveur – il peut vous être difficile d’obtenir une telle certification tierce.
  2. Utiliser une entreprise tierce qui offre des pages hébergées de paiements et qui soit conforme aux normes PCI, telles PayPal ou Google Wallet/Google Checkout. Ces services satisfont déjà aux exigences de conformité PCI; en utilisant l’un d’eux, vous pourrez rapidement débuter la ventes de vos produits et services en ligne, sans en passer par la certification de conformité aux normes PCI.

Détails supplémentaires :

Paypal et le Website Payments Standard
www.paypal.com

Devenir un marchand conforme aux exigences édictées par les normes PCI peut être onéreux et fastidieux. Le Website Payments Standard traite pour vous les informations sensibles des consommateurs afin que vous puissiez ainsi vous dédier à l’exploitation de votre entreprise et au service de vos clients.

Google Wallet/Google Checkout
http://www.google.com/wallet/business

Commencez à accepter les paiements sur votre site web en quelques minutes seulement en y ajoutant le bouton Google Wallet (anciennement Google Checkout). Vos clients n’auront qu’à cliquer sur le bouton pour régler leur facture avec les cartes qu’ils auront enregistrées auprès de Google Wallet. Google s’occupe du traitement des paiements et de la conformité PCI pour que vous n’ayez pas à le faire.

This article is also available in: Anglais Espagnol

Was this article helpful?

  • Was this article helpful ?

  • yes   no

Related Articles