Liste de vérification de la conformité PCI : ce que chaque entreprise de commerce électronique doit savoir

Il semble que chaque jour nous entendons parler d'une nouvelle violation de données. Rien qu'en 2020, de grandes entreprises comme J.Crew, Estee Lauder, T-Mobile, GE, Marriott, Avon et Staples ont toutes subi des violations de données, coûtant de grosses sommes d'argent et nuisant à la confiance des clients.

Il est facile de penser que "cela n'arrive qu'aux gros bonnets", mais le fait est que 90 % des violations ont un impact sur les petites entreprises. Pour cette raison, les détaillants de commerce électronique qui traitent les paiements par carte de crédit ou de débit en ligne - donc, à peu près tous ! – doit être conforme à la norme PCI. Alors, qu'est-ce que la conformité PCI et comment peut-elle aider votre entreprise ? Plongeons-nous !

Qu'est-ce que la conformité PCI ?

PCI est l'acronyme de "Payment Card Industry". Vous pouvez également le voir comme PCI DSS, qui signifie «Payment Card Industry Data Security Standard». Quoi qu'il en soit, la définition de la conformité PCI est "un ensemble d'exigences destinées à garantir que toutes les entreprises qui traitent, stockent ou transmettent des informations de carte de crédit maintiennent un environnement sécurisé".

La conformité PCI a été développée en 2006 par le Conseil des normes de sécurité PCI (PCI SSC) , un organisme indépendant composé de leaders de l'industrie des cartes de paiement de Visa, MasterCard, American Express, Discover et JCB (c'est pourquoi on l'appelle parfois « carte de crédit »). conformité de la carte »). Leur objectif est de protéger toutes les parties impliquées dans les transactions de paiement, y compris les réseaux de paiement, les processeurs, les institutions financières, les clients et les entreprises.

Pourquoi la conformité PCI est-elle importante ?

La conformité PCI n'est pas une obligation légale. Cependant, le non-respect des protocoles PCI pourrait entraîner des problèmes juridiques pour les détaillants de commerce électronique. Comment? Si votre entreprise subit une violation de données et que les enquêtes qui en résultent révèlent que vos processus n'étaient pas conformes à la norme PCI, vous pourriez être passible de milliers de dollars d'amendes et de frais du gouvernement et de l'émetteur de cartes de paiement, et des poursuites et des réclamations d'assurance pourraient être intentées contre vous pour manquement. pour se conformer aux normes PCI. De plus, vous pourriez perdre la confiance des clients, des employés précieux, la capacité d'accepter les cartes de paiement (le glas des détaillants en ligne) et être soumis à des coûts de conformité plus élevés.

Ainsi, bien que vous ne puissiez pas être pénalisé simplement pour être non conforme à la norme PCI, vous pouvez être tenu responsable de toute violation qui se produit si vous n'êtes pas conforme. Et, comme mentionné précédemment, 90 % des violations affectent les petites entreprises, il vaut donc mieux prévenir que guérir.

Vous vous demandez peut-être pourquoi les cybercriminels voudraient s'attaquer aux petites entreprises ; après tout, il y a des poissons bien plus gros à faire frire ! Eh bien, les cybercriminels voient les petites entreprises comme des proies faciles. Ils savent que la plupart des grands détaillants seront conformes à la norme PCI et donc moins vulnérables. Cependant, ils parient que de nombreuses petites entreprises n'ont pas pris les mesures nécessaires pour se conformer à la norme PCI, ce qui en fait une marque facile.

6 types de failles de sécurité La conformité PCI protège contre

Alors que les cybercriminels chercheront toujours un moyen d'entrer malgré les protections (c'est exactement ce qu'ils font), la conformité PCI peut faire beaucoup pour se protéger contre les six types de catastrophes de sécurité suivants .

1. Logiciels malveillants. Les criminels utilisent des logiciels malveillants pour infiltrer un système informatique et voler des données de paiement. Le ransomware , dans lequel un pirate détient des données « en otage » en échange d'argent en Bitcoin, est l'une des formes de malware à la croissance la plus rapide.
2. Hameçonnage. Véhicule de livraison courant pour les logiciels malveillants, les e-mails de phishing (tels qu'une facture ou une demande d'informations de la suite C) semblent légitimes pour convaincre les gens de les ouvrir. Cependant, ils contiennent des liens malveillants ou des pièces jointes qui peuvent infecter un ordinateur et l'ensemble du système.
3. Accès à distance. Des contrôles d'accès à distance faibles, par exemple ceux utilisés par vos fournisseurs de terminaux de paiement, permettent aux cybercriminels d'accéder à vos systèmes qui stockent, traitent ou transmettent des données de paiement.
4. Mots de passe faibles . Il y a une raison pour laquelle les mots de passe demandent aujourd'hui des lettres majuscules, des chiffres et des symboles spéciaux différents : plus de 80 % des violations de données impliquent des mots de passe volés ou faibles.
5. Logiciel obsolète. Les failles des logiciels obsolètes ne sont souvent pas corrigées, ce qui les rend faciles à infiltrer pour les cybercriminels.
6. Écrémage. Bien que cela ne s'applique qu'aux magasins physiques, l'écrémage se produit lorsque les criminels attachent de petits "dispositifs d'écrémage" matériels aux lecteurs de cartes qui volent les données de paiement des clients lorsqu'ils utilisent des cartes de paiement. Ensuite, des cartes contrefaites peuvent être créées pour effectuer des achats illégaux.

Les 4 niveaux de conformité PCI

Vous pensez qu'il n'est pas juste que votre petite entreprise soit tenue aux mêmes normes PCI qu'une entreprise multimilliardaire comme Amazon ? La bonne nouvelle, c'est que non ! Il existe quatre niveaux de conformité PCI, qui sont déterminés par le nombre de transactions qu'une entreprise gère chaque année.

• Niveau 1 : Commerçants qui traitent plus de 6 millions de transactions par carte par an.
• Niveau 2 : Commerçants qui traitent entre 1 et 6 millions de transactions par an.
• Niveau 3 : marchands qui traitent entre 20 000 et 1 million de transactions par an.
• Niveau 4 : Commerçants qui traitent moins de 20 000 transactions par an.

Le PCI SSC propose également un questionnaire d' auto-évaluation simple sur son site Web qui vous aidera à déterminer les exigences de la norme de sécurité des données PCI applicables à votre entreprise.

Comment les startups et les petites entreprises de commerce électronique peuvent se préparer à l'aide de cette liste de contrôle de conformité PCI

Vous trouverez ci-dessous les moyens d'augmenter vos niveaux de conformité PCI afin de protéger votre entreprise et vos clients. Considérez cela comme votre "liste de contrôle de conformité PCI". Les 12 exigences de conformité PCI se rapportent à un principe, et ces principes sont :

• Construire et maintenir un réseau sécurisé
• Protégez les données des titulaires de carte
• Maintenir un programme de gestion des vulnérabilités
• Mettre en place de solides mesures de contrôle d'accès
• Surveiller et tester régulièrement les réseaux
• Maintenir une politique de sécurité de l'information

1. Utiliser et entretenir les pare-feu

Lorsqu'un cybercriminel ou un autre acteur inconnu, malveillant ou autre, tente d'accéder à des données privées dans votre système, un pare-feu les empêche essentiellement d'entrer. Bien sûr, les pare-feu ne sont pas impénétrables et des vulnérabilités peuvent être trouvées (c'est pourquoi il est important de les maintenir via des mises à jour), mais ils constituent une bonne première ligne de défense.

2. Utilisez des protections de mot de passe appropriées

Les logiciels et le matériel tiers sont souvent accompagnés de mots de passe génériques et de mesures de sécurité par défaut facilement accessibles aux cybercriminels. Pour être conforme à la norme PCI, vous devez modifier ces mots de passe et ajuster les configurations de base, ainsi que conserver une liste de tous les périphériques nécessitant un mot de passe ou d'autres moyens d'accès.

3. Protégez les données de titulaire de carte stockées

Les données du titulaire de carte ne doivent jamais être stockées au-delà du temps nécessaire pour finaliser une transaction, sauf si cela est nécessaire pour des besoins légaux, réglementaires ou commerciaux. Si le stockage est nécessaire, les entreprises doivent limiter le temps de stockage et de conservation au minimum, en purgeant les données au moins tous les trimestres. La conformité PCI traite également de la manière dont les numéros de compte principaux (PAN) doivent être affichés, par exemple en ne révélant que les six premiers et les quatre derniers chiffres.

4. Crypter les données transmises

Lorsque les données des titulaires de carte sont transmises sur des réseaux publics, il s'agit d'une excellente occasion pour les cybercriminels de les intercepter. Cette exigence PCI stipule que les données de titulaire de carte doivent être cryptées chaque fois qu'elles sont envoyées à ces emplacements connus et qu'elles ne doivent jamais être envoyées à des emplacements inconnus.

5. Utiliser et maintenir un logiciel antivirus

Un logiciel antivirus tel que McAfee ou Norton est requis pour tout appareil qui interagit avec ou stocke le PAN. Tout comme votre pare-feu, ce logiciel doit être régulièrement mis à jour afin que les vulnérabilités puissent être corrigées. Consultez la liste PC des meilleurs logiciels antivirus pour 2021.

6. Maintenir des systèmes et des applications sécurisés

Les entreprises de commerce électronique doivent assurer la sécurité des logiciels, en travaillant avec leurs fournisseurs de logiciels pour s'assurer que les correctifs de sécurité sont à jour et facilement accessibles et exécutables. En plus de déployer des correctifs critiques en temps opportun, les entreprises doivent créer un processus pour découvrir de nouvelles vulnérabilités et les classer. Ces mises à jour sont particulièrement importantes pour tous les logiciels installés sur des appareils qui interagissent avec ou stockent des données de titulaire de carte.

7. Restreindre l'accès aux données du titulaire de la carte

Les données du titulaire de carte sont des informations très sensibles et ne doivent être consultées que par les agents qui ont absolument besoin de les connaître. La majorité de votre personnel et des tiers n'auront pas besoin d'accéder à ces informations, elles doivent donc être restreintes. Les rôles qui ont besoin d'accéder à ces données doivent être hautement documentés et régulièrement mis à jour.

8. Attribuer des identifiants uniques pour l'accès

Plutôt que d'avoir un nom d'utilisateur et un mot de passe de connexion uniques pour les données de titulaire de carte, les personnes qui ont besoin d'un accès doivent disposer d'informations d'identification et d'identification individuelles. Cela garantit que chaque fois qu'une personne accède aux données du titulaire de carte, cette activité peut être attribuée à un utilisateur connu ou au moins immédiatement reconnue comme un accès non autorisé. Pour l'accès à distance, une autorisation à deux facteurs est requise, ce qui fournit une couche de sécurité supplémentaire.

9. Restreindre l'accès physique aux données

Toutes les données de titulaire de carte sur site doivent être physiquement conservées dans un emplacement sécurisé, surveillées et nécessitent des journaux. Des procédures pour identifier rapidement les personnes qui n'appartiennent pas doivent être mises en place. Les sauvegardes doivent également être conservées sur un site secondaire sécurisé. Enfin, lorsque l'entreprise n'a plus besoin des données, elles doivent être détruites.

10. Auditer régulièrement les réseaux

La conformité PCI exige que les entreprises de commerce électronique surveillent et testent régulièrement leurs réseaux pour s'assurer qu'il n'y a pas de vulnérabilités physiques ou sans fil. Des pistes d'audit automatisées sont nécessaires, ainsi que la possibilité de reconstituer les événements, en cas de violation. Les données d'audit doivent être sécurisées et conservées pendant au moins un an.

11. Analyser et tester les vulnérabilités

Les vulnérabilités se produisent en raison d'activités cybercriminelles, de dysfonctionnements, d'erreurs humaines et de l'introduction d'un nouveau code. Cela signifie que tous les systèmes et processus internes et externes doivent être testés tous les trimestres pour s'assurer que la sécurité est maintenue. Les autres exigences PCI DSS en cours incluent les tests de pénétration ainsi que l'utilisation de systèmes de détection et de prévention des intrusions. De plus, la surveillance des fichiers est requise pour la conformité PCI afin que des alertes soient déclenchées chaque fois qu'un utilisateur a modifié le contenu, la configuration ou un fichier système de manière non autorisée.

12. Documenter les politiques de sécurité

L'inventaire de l'équipement, des logiciels et des employés qui ont accès aux données devra être documenté pour la conformité. Les journaux d'accès aux données du titulaire de carte et la manière dont les informations circulent dans votre entreprise, où elles sont stockées et comment elles sont utilisées après-vente doivent également être documentées. De plus, une personne ou une équipe doit être nommée pour créer des initiatives de sensibilisation à la sécurité et pour sélectionner les employés potentiels, les sous-traitants, etc. dans le cadre du processus d'embauche afin d'éviter les violations de données internes.

Budgétisation pour la conformité PCI

Atteindre et maintenir les 12 étapes de la conformité PCI coûtera sans aucun doute de l'argent. Bien sûr, le montant dépendra du niveau de conformité de votre entreprise, de la taille de votre organisation, de la culture de sécurité de votre entreprise, du type de technologie que vous utilisez et si vous pouvez vous permettre un professionnel IT/PCI dédié.

Cependant, étant donné que le coût de la non-conformité peut être si élevé en cas de violation de données (et honnêtement, ce n'est pas une question de si, mais de quand), cela vaut la peine de trouver le budget pour cela, même si cela signifie réduire les dépenses ailleurs ou augmenter les prix de certains produits temporairement afin de lever des fonds. En fin de compte, vous aurez une entreprise de commerce électronique sécurisée et une tranquillité d'esprit pour vous et vos clients.

Réduisez les problèmes de sécurité des données avec The Fulfillment Lab

La technologie offre aux détaillants de commerce électronique de nombreux avantages, de la surveillance des stocks au suivi des expéditions, du traitement des paiements à la sécurité des données des clients. Bien sûr, l'acquisition de ces systèmes nécessite un gros investissement financier et il y a toujours une courbe d'apprentissage !

Lorsque vous confiez l'exécution des commandes à The Fulfillment Lab, un leader du marketing de commerce électronique avec 14 sites internationaux, vous vous déchargez du fardeau de l'expédition. Vous réduirez également bon nombre de vos problèmes de conformité PCI, car vous aurez accès à notre logiciel de pointe Global Fulfillment System (GFS) . Ce système sécurisé vous permet de surveiller les stocks, de suivre les expéditions, de personnaliser les emballages et de traiter les paiements. Assurez-vous de consulter notre blog, 10 raisons d'utiliser un centre de distribution pour votre expédition de commerce électronique , pour en savoir plus, et n'hésitez pas à nous contacter pour en savoir plus.