|
Accueil / Conformité / Liste de contrôle de conformité PCI : 12 étapes pour garantir la conformité
Vos clients peuvent-ils vous faire confiance avec leurs informations de carte de crédit sécurisées ? Sinon, votre crédibilité et vos résultats pourraient en prendre un coup.
Chaque entreprise qui accepte les paiements par carte de crédit de ses clients doit respecter les normes de l’industrie des cartes de paiement et de sécurité des données. Communément abrégées en PCI DSS, ces normes protègent les consommateurs en ligne et les fournisseurs de services de commerce électronique.
En lisant les nouvelles, il est facile de comprendre pourquoi les normes de conformité PCI sont importantes. Nous entendons souvent des histoires de violations de données.
De grandes entreprises comme Target, Uber et Equifax ont également été touchées. Les petites entreprises sont également vulnérables.
Construire la confiance avec les clients est une priorité pour chaque entreprise. L’hébergement conforme PCI devrait figurer en tête de votre liste de contrôle de sécurité.
Les clients qui vous paient avec des cartes de crédit ne veulent pas s’inquiéter du vol d’identité. C’est votre travail de faire tout ce que vous pouvez pour minimiser leur risque.
Qu’est-ce Que La Conformité PCI ? Que Veut Dire PCI ?
Parlons de l’importance des normes PCI. Il y a deux choses que les normes PCI sont censées garantir.
- Le stockage sécurisé des données de carte de crédit sur place. Cette préoccupation s’applique uniquement aux entreprises qui stockent des données de carte de crédit. Si vous n’enregistrez pas de données, vous n’avez pas à vous soucier d’une faille de sécurité. Le stockage sécurisé doit inclure à la fois la sécurité virtuelle et physique.
- La transmission sécurisée des données de carte de crédit sur les réseaux publics. Chaque fois que les données sont en transition ; il peut être vulnérable. Les mots de passe, les codes PIN et d’autres méthodes peuvent protéger les informations.
Les normes PCI protègent les informations sensibles des titulaires de carte. Ils s’appliquent que les données soient au repos ou en transit, protégeant vos clients contre les violations et le vol d’identité.
Comment Fonctionnent Les Normes Conformes à La Norme PCI ?
Si votre entreprise accepte, stocke ou transmet des données de carte de crédit, vous devez respecter les normes PCI. Cependant, ces normes varient en fonction de votre situation.
Nous n’allons pas déroger à toutes les normes. Cependant, nous voulons vous donner une idée du fonctionnement de la conformité PCI.
Comment savoir quel niveau de sécurité PCI est requis ? Voici quelques éléments à garder à l’esprit :
- Les normes PCI ont été créées par les principales sociétés de cartes de crédit telles que Visa, MasterCard, JCB International et American Express. Leur but est de protéger les titulaires de carte.
- La certification PCI n’existe pas. Cependant, vous devez prouver que votre entreprise est conforme à la norme PCI.
- Le niveau de conformité auquel vous devez vous conformer est déterminé par le volume annuel de vos transactions par carte de crédit.
- Se conformer aux normes PCI n’est pas gratuit. Cela peut vous coûter de à annuellement.
- Il y a des pénalités si vous ne respectez pas les normes PCI.
Il vous appartient de déterminer le niveau de conformité PCI requis. Ensuite, vous aurez besoin d’une liste de contrôle de conformité PCI. Gardez à l’esprit que la conformité est un problème permanent. Vous devrez continuellement mettre à jour votre sécurité pour vous conformer aux normes PCI – par exemple, les nouvelles réglementations PCI-DSS 3.2 mises à jour.
Que Contient Le Guide De Conformité PCI ?
Le manque de conformité PCI des commerçants peut coûter de l’argent et nuire à la réputation de votre entreprise. Avoir une liste de contrôle à laquelle vous référer peut vous aider à effectuer toutes les étapes nécessaires pour vous mettre en conformité.
Vous devez utiliser la liste de contrôle d’audit PCI DSS pour vous assurer que vous répondez à chaque exigence. N’oubliez pas que les exigences peuvent changer en fonction de votre volume de transactions. C’est votre travail de surveiller vos transactions et de choisir le bon niveau de conformité.
Pour vous faciliter la tâche, nous avons créé un petit guide d’ auto-évaluation PCI . Il est essentiel d’être minutieux lorsque vous parcourez cette liste de contrôle. Gardez une trace pour vous assurer que vous n’avez manqué aucune étape vitale.
1. Installer Et Maintenir Un Pare-feu
Pour répondre aux normes PCI, installez un pare-feu fiable pour protéger la sécurité de votre réseau. Le pare-feu est votre première ligne de défense pour protéger les données des titulaires de carte, car il permet de bloquer l’accès non autorisé à votre réseau.
Pour améliorer son efficacité, vous devez avoir une politique de configuration de pare-feu claire. Exécutez des tests réguliers sur votre pare-feu et assurez-vous que votre service d’hébergement en a un en place.
2. N’utilisez Pas Les Valeurs Par Défaut Fournies Par Le Fournisseur
Garder une trace des mots de passe peut être un problème. Certaines entreprises prennent des raccourcis en utilisant les valeurs par défaut des fournisseurs. La conformité aux normes PCI signifie l’attribution de mots de passe uniques.
Chaque mot de passe que vous utilisez doit respecter les meilleures pratiques en matière de mot de passe. L’inclusion de lettres minuscules et majuscules, de chiffres et de symboles sécurise les mots de passe. L’utilisation des valeurs par défaut permet aux pirates potentiels d’accéder facilement à votre système.
3. Protégez Les Données De Titulaire De Carte Stockées
La protection des données des titulaires de carte selon les normes PCI nécessite que vous réfléchissiez aux vulnérabilités de votre système. Vous devrez mettre en place des barrières électroniques et physiques.
Votre première loyauté doit être envers les clients qui vous font confiance. Les mesures de sécurité peuvent inclure :
- Politiques de mots de passe solides
- Protocoles d’authentification
- Serveurs verrouillés
- Armoires de rangement verrouillées
- Étapes supplémentaires au besoin
Faire un inventaire des mesures existantes peut vous aider à repérer les problèmes.
4. Crypter La Transmission Des Informations Du Titulaire De La Carte
La protection des informations stockées sur les titulaires de cartes est indispensable pour se conformer aux normes PCI, mais il est tout aussi important de les protéger pendant leur transit.
Si vous envoyez des données client via un réseau ouvert, vous devez vous assurer de les chiffrer. Cette étape ajoute une couche de protection pour le protéger des pirates, car ils ne pourraient pas le lire sans clés de chiffrement.
Les meilleures pratiques de conformité PCI ne recommandent pas de stocker des données sensibles. Les codes PIN, les codes de sécurité et les autres informations de vérification doivent être correctement sécurisés et cryptés à la fois au repos et en transit.
5. Utiliser Et Mettre à Jour Le Logiciel Antivirus
Pour protéger les informations des titulaires de carte et respecter les normes PCI, vous devez utiliser un logiciel antivirus. Cela peut sembler évident, mais il n’est pas rare que les entreprises aient des logiciels obsolètes.
Votre logiciel doit être fiable et provenir d’une entreprise ayant de bons antécédents. C’est votre travail de mettre à jour les bases de données régulièrement. Formez les travailleurs à mettre à jour les bases de données sur tous les appareils qu’ils utilisent pour le travail et assurez-vous également d’exécuter des analyses régulières sur votre serveur.
6. Développer Et Maintenir Des Systèmes Et Des Applications Sécurisés
De nombreuses entreprises utilisent à la fois des systèmes et des applications propriétaires et tiers. Pour vous conformer aux normes PCI, vous devez vous assurer que tous les systèmes et logiciels sont sécurisés.
L’utilisation d’applications tierces est parfois bénéfique, mais la prudence s’impose. Vous devez être sûr que leur présence sur votre réseau ne met pas en danger vos données. Toutes les applications ne sont pas sûres à utiliser, alors choisissez judicieusement avant d’installer quoi que ce soit de nouveau.
7. Restreindre L’accès Aux Données Du Titulaire De Carte
En tant que chef d’entreprise, vous devez faire confiance à vos employés. Aucun patron ne veut croire que ses employés seraient négligents avec les données des clients. C’est compréhensible, mais vous devez prendre des mesures pour restreindre l’accès au besoin.
Selon les normes PCI, les personnes qui n’ont pas besoin d’accéder aux données des titulaires de carte ne devraient pas l’avoir. La plupart de vos employés n’auront pas besoin d’y accéder. Seuls ceux qui ont besoin d’informations sur les titulaires de carte devraient y avoir accès. Prendre cette mesure simple minimise le risque d’une violation de données interne.
8. Attribuez Des Identifiants Uniques à Tous Les Utilisateurs
Limiter l’accès aux données sécurisées réduit le risque d’une violation interne. Cela ne signifie pas que vous ne devez pas suivre l’activité et l’accès des utilisateurs. Nous recommandons cela comme mesure de sécurité supplémentaire pour respecter les normes PCI.
Attribuer à chaque utilisateur ayant accès à votre système un identifiant unique est essentiel. Cette étape simple peut vous aider à savoir qui accède à vos données. Lorsque chaque utilisateur dispose d’un identifiant et d’un mot de passe, vous pouvez contrôler qui accède aux données stockées. Faire savoir aux employés que leur activité est observée peut ajouter une couche de protection supplémentaire.
9. Restreindre L’accès Physique Aux Données Des Titulaires De Carte
Empêcher les pirates d’accéder aux données des titulaires de carte par voie électronique est essentiel, mais ce n’est pas la seule mesure à prendre. Vous devez vous assurer que seul le personnel autorisé qui a besoin d’un accès physique aux données du titulaire de carte en dispose.
Cette étape s’applique à la fois aux serveurs et autres matériels ainsi qu’aux enregistrements papier. Si vous conservez des documents imprimés contenant des informations sur les titulaires de carte, conservez-les dans un endroit sécurisé. L’accès à la zone doit être limité. Ces zones ne doivent pas être laissées déverrouillées ou sans surveillance.
10. Suivre Et Surveiller Tous Les Accès Aux Données Des Titulaires De Carte
Vous voulez faire confiance à vos employés, mais vous ne pouvez pas vous permettre d’assumer le meilleur. La protection des données clients doit être votre priorité absolue.
Si vous souhaitez protéger les informations des titulaires de carte, il est essentiel de mettre en place un système de suivi et de surveillance. De cette façon, vous pouvez voir quels employés ont accédé à des données sécurisées, comme l’exigent les normes PCI.
Les employés peuvent se hérisser à l’idée d’être surveillés. C’est compréhensible, mais cela ne change rien à votre obligation envers les clients. Mettez en place un système de suivi et révisez-le périodiquement. Toute activité inhabituelle ou inattendue des employés doit être traitée immédiatement.
11. Tester Les Systèmes Et Processus De Sécurité
L’installation de systèmes de sécurité, de pare-feu, de logiciels antivirus et de sécurité interne est essentielle. Ces étapes sont essentielles pour assurer la sécurité des données de vos clients, mais il en va de même pour les tests continus de vos systèmes existants.
Considérez ces tests comme des exercices d’incendie. Nous mettons un point d’honneur à tester les alarmes incendie et les méthodes d’évacuation dans les écoles et les bureaux. De même, vous devez tester régulièrement vos systèmes de sécurité pour vous assurer qu’ils fonctionnent.
Si un test révèle une faille ou une vulnérabilité, vous devez y remédier immédiatement. Même les meilleures mesures de sécurité peuvent échouer, alors ne commettez pas l’erreur de supposer que les vôtres sont infaillibles.
12. Écrire Et Appliquer Une Politique De Sécurité
La dernière étape de notre liste de contrôle PCI DSS consiste à rédiger et à mettre en œuvre une politique de sécurité complète. Même avec des protections en place, vous devez communiquer et travailler pour faire appliquer votre politique. Chaque employé, fournisseur tiers et client devrait le savoir.
Informer les gens de votre politique fait plusieurs choses à la fois.
- Il permet aux clients de savoir que vous prenez leur vie privée au sérieux et que vous souhaitez protéger leurs données.
- Il garantit que tout le personnel comprend l’importance de la protection des données des titulaires de carte.
- Il avertit votre personnel que vous surveillerez son accès aux informations sécurisées.
Votre politique de sécurité écrite doit inclure un aperçu de la manière dont vous protégez les données des clients. Il devrait également préciser le mot de passe et les conditions d’accès pour le personnel. Assurez-vous de spécifier vos directives d’accès aux données sur le BYOD et les appareils mobiles. Tout le personnel essentiel doit être informé des normes PCI et savoir comment s’y conformer.
Toujours Vérifier La Conformité PCI
Entretenir un climat de confiance avec vos clients est essentiel. En fait, un manque de confiance peut affecter le bien-être général de votre entreprise.
Le respect des normes PCI est essentiel pour inspirer confiance à vos clients, prospects et partenaires commerciaux. Les éléments de la liste de contrôle de conformité PCI doivent être utilisés conjointement avec les meilleures pratiques de sécurité recommandées pour optimiser vos stratégies de protection des données.
Chez, nous connaissons l’importance de la sécurité et de la confiance. Nous proposons des produits pour vous aider à créer une plate-forme conforme à la norme PCI DSS pour votre entreprise et à protéger vos données confidentielles.
