• Aucun résultat trouvé

Foire aux questions (FAQ)

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "Foire aux questions (FAQ)"

Copied!
5
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Norme de sécurité des données du secteur des cartes de paiement (PCI DSS)

Qu’est-ce que la Norme PCI DSS? Qui définit cette Norme?

Où puis-je obtenir plus d’informations sur la norme PCI DSS en son état actuel ou sur les programmes de sécurité propres à chaque marque de carte bancaire?

Je suis un petit commerçant et mon volume de transactions effectuées par cartes de paiement est assez faible. Dois-je me conformer à la norme PCI DSS?

Détails du programme

Quelles démarches dois-je entreprendre?

Vais-je recevoir un document attestant que je suis bien en conformité? Si oui, ce document sera-t-il automatiquement transmis à Visa ou à Mastercard?

Dois-je effectuer cette démarche une seule fois?

Combien de temps cela nécessite-t-il?

Qu’adviendra-t-il si mon entreprise n’obtient pas la certification PCI?

Y a-t-il une date limite pour se mettre en conformité avec cette norme?

Vue d’ensemble de TrustKeeper

Qu’est-ce que Trustwave?

Qu’est-ce que TrustKeeper?

Qu’est-ce que l’agent TrustKeeper?

Foire aux questions (FAQ)

(2)

Norme de sécurité des données du secteur des cartes de paiement (PCI DSS)

Qu’est-ce que la norme PCI DSS? Qui définit cette norme?

La Norme de sécurité des données du secteur des cartes de paiement (PCI DSS) réunit plusieurs conditions visant à améliorer la sécurité des données de compte de paiement, principalement en vue de réduire le nombre de vols de données de cartes de crédit et d’éviter les fraudes. Elle concerne tous les commerçants qui acceptent des paiements par cartes de crédit et par cartes de débit, que leur volume de transactions de ce type soit important ou non, ainsi qu’à toutes les entre- prises qui doivent stocker, traiter et transmettre des numéros de cartes bancaires dans le cadre de leur activité. La norme PCI DSS a été rédigée par les marques de systèmes de paiement qui ont fondé le Conseil des normes de sécurité PCI (American Express, Discover Financial Services, JCB, MasterCard Worldwide et Visa International), afin de faciliter l’adoption de normes de sécurité des données homogènes au niveau mondial. La norme PCI DSS définit notamment les exigences à respecter en matière de gestion de la sécurité, de réglementations, de procédures, d’architecture réseau, de conception de logiciel et d’autres mesures de protec- tion essentielles, visant à protéger les données de compte des clients de façon proactive

Haut de la page

Où puis-je obtenir plus d’informations sur la norme PCI DSS en son état actuel ou sur les programmes de sécurité propres à chaque marque de carte bancaire?

Le cadre de la norme PCI DSS est géré dans son intégralité par le Conseil des normes de sécurité PCI et peut être téléchargé ici:

PCI Security Standards Council http://pcisecuritystandard.org

Les marques de carte ont chacune leur propre programme visant à aider les entreprises à se mettre en conformité avec la norme PCI DSS. Fondé en 2006, le Con- seil des normes de sécurité PCI a pour but de contrôler la norme elle-même, mais chacune des marques de carte est en mesure d’infliger des amendes et des frais, et de fixer des dates limites, dans le cadre de son propre programme de mise en application.

Visa’s Cardholder Information Security Program (CISP) http://www.visa.com/cisp

MasterCard’s Site Data Protection (SDP) program https://sdp.mastercardintl.com/index.shtml

Discover’s Discover Information Security and Compliance (DISC) program http://www.discovernetwork.com/merchant/resources/data/data_security.html American Express Data Security Operating Policy (DSOP)

http://www.americanexpress.com/datasecurity Haut de la page

Je suis un petit commerçant et mon volume de transactions effectuées par cartes de paiement est assez faible. Dois-je me con- former à la norme PCI DSS?

Oui. Tous les commerçants qui stockent, traitent ou transmettent des données de titulaires de carte bancaire doivent obligatoirement se conformer à la norme PCI DSS, indépendamment de la taille de leur entreprise. Ces exigences de conformité s’appliquent à tous les canaux de distribution (points de vente classiques, vente à distance par correspondance/par téléphone et commerce électronique).

Chaque année, Trustwave effectue des centaines d’expertises chez des commerçants ayant connu une faille de sécurité (vol de données de carte bancaire d’un client utilisées ensuite frauduleusement). Dans plus de 90 % des cas, les commerçants visés sont de petites entreprises. Il s’agit là d’un problème qui concerne tout le secteur et que la norme PCI DSS vise à combattre. Aucun commerçant n’est à l’abri.

Haut de la page

(3)

Détails du programme

Quelles démarches dois-je entreprendre?

Vous devez impérativement prouver que vous êtes en conformité avec la norme PCI DSS. Ce processus s’appelle « certification » (ou « validation ») de la norme PCI DSS. Il est certain que le processus de certification peut s’avérer compliqué. C’est pourquoi Trustwave, par le biais de son portail TrustKeeper, met à disposi- tion toute une gamme d’outils efficaces afin de vous guider dans tout le processus :

1. Cliquez simplement sur le bouton Get Started (Démarrer) de la page que vous avez consultée au début de la procédure d’enregistrement.

2. Après l’enregistrement, l’assistant PCI étape par étape de TrustKeeper vous dirigera vers un questionnaire d’auto-évaluation. Au cours de cette phase, vous devrez vous interroger sur la façon dont votre entreprise gère et protège les données de carte bancaire de vos clients.

3. TrustKeeper utilisera les informations que vous aurez fournies pour remplir le formulaire de certification PCI (appelé également Questionnaire d’auto- évaluation PCI ou SAQ - Self-Assessment Questionnaire), que vous pourrez ensuite corriger puis envoyer.

4. Certains commerçants devront également effectuer une analyse de vulnérabilité du réseau. Ceci permettra de vérifier si votre commerce ou votre site Internet est protégé des attaques de pirates d’Internet.

Si vous êtes concerné par ce problème, TrustKeeper vous guidera également à travers ce processus.

Haut de la page

Vais-je recevoir un document attestant que je suis bien en conformité? Si oui, ce document sera-t-il automatiquement trans- mis à Visa ou à Mastercard?

Une fois que vous aurez réussi le processus de certification, Trustwave vous établira un Certificat de conformité que vous pourrez imprimer et/ou présenter à vos clients ou partenaires commerciaux. Chaque fait rapporté à votre banque ou à l’entreprise qui traite vos paiements sera géré automatiquement par TrustKeeper.

Il incombe à l’acquéreur d’effectuer les signalements auprès des émetteurs de cartes.

Haut de la page

Dois-je effectuer cette démarche une seule fois?

Non. La protection de votre entreprise est un processus continu. À mesure que votre entreprise évolue avec le temps, les pratiques mises en œuvre pour protéger les données de cartes bancaires de vos clients doivent s’adapter. De plus, la norme PCI DSS elle-même évolue régulièrement, afin d’aider votre entreprise à mieux se défendre contre les attaques sans cesse renouvelées des voleurs. En outre, les émetteurs de cartes de paiement exigent de toutes les entreprises acceptant des paiements par carte qu’elles se mettent en conformité avec la norme PCI DSS :

1. Vous êtes tenu de fournir chaque année un formulaire de certification PCI (appelé également Questionnaire d’auto-évaluation PCI ou SAQ - Self-Assess- ment Questionnaire).

2. Si des analyses de vulnérabilité sont obligatoires dans votre activité, vous devrez effectuer et réussir une analyse tous les trois mois. TrustKeeper vous as- sistera à chaque fois.

Haut de la page

Combien de temps cela nécessite-t-il?

La durée du processus varie en fonction de la taille et du type de commerce. Par exemple, pour les petits commerçants n’ayant pas une gestion compliquée des cartes de paiement, cela peut prendre entre 15 et 30 minutes, en supposant l’absence de tout problème de conformité. Toutefois, si des problèmes de non-con- formité apparaissent, la durée de mise en place de solutions adaptées aura un effet sur la durée totale du processus de mise en conformité PCI DSS. La durée varie également en fonction de la résolution du problème et de la complexité de l’environnement en question.

Pour les commerçants dont la situation est nettement plus complexe, sachez que TrustKeeper s’adapte à vos besoins. Il a été conçu de façon à vous permettre d’accomplir le processus par étapes (en accordant, par exemple, 10 minutes à chacune d’entre elles). À chaque étape, vos informations seront enregistrées pour vous permettre de reprendre plus facilement le processus et le terminer par la suite.

Vous devez au moins procéder à la phase d’enregistrement et recenser les opérations nécessaires.

Haut de la page

(4)

Qu’adviendra-t-il si mon entreprise ne réussit pas le processus de certification PCI?

Les pénalités et les amendes encourues pour non-respect des normes ou pour tout problème de sécurité non traité varient en fonction de l’émetteur de cartes de paiement concerné et peuvent être élevées. Elles peuvent aller de 10 000$ à 500 000$ par contentieux. Si une faille de sécurité est identifiée dans votre envi- ronnement, vous serez seul tenu au paiement des coûts de l’expertise nécessaire, ainsi qu’au remboursement des achats frauduleux et des frais d’émission de nouvelles cartes de paiement remplaçant les cartes volées.

Outre les amendes directes, votre entreprise peut également être confrontée à une perte de ses droits d’acceptation de paiement par carte bancaire, au moins de façon temporaire. Vous vous exposez, de plus, à la perte de confiance de vos clients, surtout lorsque ces derniers s’apercevront que votre entreprise est en retard sur les autres en matière de protection des données personnelles.

Haut de la page

Y a-t-il une date limite pour se mettre en conformité avec cette norme?

Toutes les entreprises acceptant les cartes bancaires doivent se mettre en conformité avec la norme PCI DSS. Votre banque ou l’entreprise qui traite vos paiements peut vous imposer des dates butoir pour la mise en conformité et peut également exiger que vous exécutiez le processus de certification chaque année. Si de telles échéances vous sont imposées, elles vous seront communiquées par l’une de ces deux entreprises.

Haut de la page

Vue d’ensemble de TrustKeeper

Qu’est-ce que Trustwave?

Trustwave est le premier fournisseur de solutions de gestion de la conformité dans le domaine de la sécurité des données à la demande et du secteur des cartes de paiement, pour des entreprises du classement Fortune 2000 et du secteur public. Notre produit-phare, TrustKeeper®, fournit des services de sécurisation des données et de certification à des centaines de milliers d’entreprises à travers le monde, afin qu’elles puissent se mettre en conformité avec la norme PCI DSS et d’autres exigences réglementaires en vigueur. Trustwave est un fournisseur d’analyse agréé (ASV - Approved Scanning Vendor) et un évaluateur de sécurité quali- fié (QSA - Qualified Security Assessor) pour les émetteurs de cartes de paiement.

Haut de la page

Qu’est-ce que TrustKeeper?

TrustKeeper est une solution ultramoderne de gestion de la sécurité et de la conformité, conçue pour aider les commerçants à répondre à la norme PCI DSS et à se certifier.

TrustKeeper fournit:

Une formation sur la norme PCI DSS et sur la façon dont elle vous affecte, vous et votre entreprise.

L’assistant PCI Wizard, un outil intelligent et dynamique, destiné à vous accompagner dans tout le processus de certification PCI, notamment en remplis- sant en votre nom le formulaire de certification PCI (également appelé Questionnaire d’auto-évaluation PCI ou SAQ - Self-Assessment Questionnaire).

Un moteur d’analyse électronique de la vulnérabilité capable de tester jusqu’à 5 000 failles, pour garantir que les données de votre commerce ou de votre site Internet sont protégées des attaques de pirates informatiques.

Une analyse et un conseil afin de vous aider à comprendre de quelle manière vous pouvez améliorer la protection des données des cartes bancaires de vos clients.

Des services supplémentaires destinés à améliorer votre sécurité et à résoudre les problèmes de mise en conformité PCI DSS.

Des ressources en ligne et une assistance client multilingue.

Une documentation sur votre certification PCI DSS et un rapport de votre statut qui sera transmis automatiquement à votre banque ou à l’entreprise qui traite vos paiements.

Haut de la page

Qu’est-ce que l’agent TrustKeeper?

L’agent TrustKeeper est intégré à la solution TrustKeeper et vous aide à respecter la norme PCI DSS. Lorsque cela est possible, vous pouvez utiliser l’agent Trust-

(5)

(ou adresse IP) des points de vente au détail qui sont connectés à Internet.

Si l’agent TrustKeeper est installé sur un PC qui exécute des applications de paiement, tels qu’un logiciel de terminal de point de vente (POS - point-of- sale software), il contrôlera les niveaux de protection de l’ordinateur et vous alertera s’il décèle des failles de sécurité.

L’agent TrustKeeper fonctionnera également avec l’assistant PCI afin de répondre à toutes les questions que vous seriez susceptible de vous poser con- cernant la configuration de votre ordinateur et les réglages de sécurité.

L’agent TrustKeeper peut être installé sur toute version récente de Microsoft Windows : Windows 2000, Windows 2003, Windows XP et Microsoft Vista.

Idéalement, l’agent TrustKeeper devrait être installé sur tous les PC où le logiciel de paiement est présent.

Haut de la page

Pour voir une démonstration du produit ou pour en savoir plus sur la norme PCI DSS concernant les petites et moyennes entreprises, consultez le site Internet:

http://www.trustwave.com/level4pci

Références

Télécharger maintenant ( PDF - 5 Page - 219.68 KB )

Documents relatifs

FOIRE AUX QUESTIONS (FAQ) CONFINEMENT

• pour les déplacements professionnels habituels entre le domicile et le lieu d’exercice de l’activité : une attestation permanente peut être établie par l’employeur pour

FAQ, Foire Aux Questions sur la

Pour des raisons d’homogéneïté avec d’autres travaux, ils sont notamment en correspondance avec les niveaux 1,2 et 3 étoiles définis dans le RGS (Référentiel

Carte Rémunération FAQ (Foire Aux Questions)

- Internet : munissez-vous de votre numéro de carte (à 16 chiffres commençant par 4562) et de votre mot de passe multimédia (à 6 chiffres) pour vous connecter sur le site

Foire aux questions (FAQ) FATCA

Le 1er janvier 2017, les retenues commenceront sur les produits bruts des ventes de biens immobiliers qui peuvent produire des dividendes ou intérêts de source américaine

Foire aux questions. Banque en Ligne Banque de Nouvelle Calédonie

Rechargez la page de connexion du site de banque en ligne et composez votre mot de passe à l’aide de votre souris.. En cas de perte ou d'oubli du mot de passe, nous vous conseillons

Coronavirus COVID-19 FOIRE AUX QUESTIONS (FAQ) Mise à jour le 02/11/2020

Le port du masque étant obligatoire tant pour les personnels que pour les élèves dans tous les espaces de l’établissement et en particulier dans les classes, l’apparition d’un

FAQ FOIRE AUX QUESTIONS

Question : Est-ce qu'une entité internationale peut postuler à plusieurs lots et indiquer cela dans ses propositions?.

Coronavirus COVID-19 FOIRE AUX QUESTIONS (FAQ) Mise à jour le 17/02/2022

du décret du 8 septembre 2021 : - avoir reçu une transplantation d'organe ou de cellules souches ; hématopoïétiques ; - être sous chimiothérapie lymphopéniante ;- être