Académique Documents
Professionnel Documents
Culture Documents
EN UN COUP D'OEIL
APERÇU DES NORMES
Norme de sécurité des données PCI : la norme PCI DSS s'applique à toute entité qui stocke, traite Norme de sécurité des données des applications de paiement : le PADSS est destiné aux
et/ou transmet les données des titulaires de carte. Il couvre les composants techniques et opérationnels développeurs de logiciels et aux intégrateurs d'applications qui stockent, traitent ou transmettent les
du système inclus ou connectés aux données du titulaire de la carte. Si votre entreprise données des titulaires de carte dans le cadre d'une autorisation ou d'un règlement. Il régit ces applications
accepte ou traite les cartes de paiement, elle doit se conformer à la norme PCI DSS. vendues, distribuées ou concédées sous licence à des tiers.
Exigences de sécurité des transactions PIN : La norme PCI PTS s'applique aux fabricants qui
spécifient et mettent en œuvre les caractéristiques et la gestion des appareils pour les terminaux de
saisie de numéros d'identification personnels (PIN) utilisés pour les transactions financières par
carte de paiement.
Fondateurs du PCI SSC Norme de sécurité des données PCI pour les commerçants et les soustraitants
La norme PCI DSS est la norme mondiale de sécurité des données à laquelle toute entreprise, quelle que soit sa taille, doit adhérer pour accepter les
cartes de paiement. Il présente des étapes de bon sens qui reflètent les meilleures pratiques de sécurité.
Construire et entretenir un 1. Installez et maintenez une configuration de parefeu pour protéger les données des titulaires de carte
Réseau sécurisé
2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres
paramètres de sécurité.
Maintenir une vulnérabilité 5. Utilisez et mettez régulièrement à jour des logiciels ou des programmes antivirus
Programme de gestion 6. Développer et maintenir des systèmes et des applications sécurisés
Mettre en œuvre des mesures fortes 7. Restreindre l'accès aux données des titulaires de carte en fonction des besoins de l'entreprise
Contrôle d'accès
8. Attribuez un identifiant unique à chaque personne ayant accès à l'ordinateur
Mesures
9. Restreindre l'accès physique aux données du titulaire de la carte
Surveiller régulièrement et 10. Suivez et surveillez tous les accès aux ressources du réseau et aux données des titulaires de carte
Réseaux de test
11. Testez régulièrement les systèmes et processus de sécurité
Organisations participantes
Conserver une information 12. Maintenir une politique qui traite de la sécurité des informations pour tout le personnel
Commerçants, banques, processeurs,
Politique de sécurité
développeurs et vendeurs de points de vente
Machine Translated by Google
Évaluer Le Conseil des normes de sécurité PCI définit les normes de sécurité PCI, mais chaque marque de carte de paiement possède son propre programme
de conformité. Les questions spécifiques concernant la conformité doivent être adressées à votre institution financière acquéreuse. Les liens vers le
Testez et vérifiez les contrôles en place pour
programme de conformité des marques de cartes de paiement incluent : • American Express :
protéger les données des titulaires de carte
www.americanexpress.com/datasecurity
pendant le stockage, le traitement et la transmission.
• Découvrez les services financiers : www.discovernetwork.com/fraudsecurity/disc.html
Les systèmes et les données doivent être
• JCB International : www.jcbglobal.com/english/pci/index.html
disponibles pour l’analyse.
• MasterCard dans le monde : www.mastercard.com/sdp
Rapports • Visa Inc : www.visa.com/cisp (ÉtatsUnis)
Valider la conformité et présenter la preuve Évaluateurs qualifiés. Le Conseil propose des programmes pour deux types de certifications : évaluateur de sécurité qualifié (QSA) et fournisseur
que des contrôles de protection des données sont en de numérisation agréé (ASV). Les QSA sont des entreprises qui aident les organisations à examiner la sécurité de leurs systèmes de transactions
place. de paiement et disposent d'un personnel et de processus formés pour évaluer et valider la conformité aux normes PCI DSS et PADSS. Les ASV
Surveillance et alerte fournissent des outils logiciels commerciaux et des services d'analyse pour effectuer des analyses de vulnérabilité certifiées pour vos systèmes. Le
PCI SSC fournit également des ressources pédagogiques pour sensibiliser davantage les commerçants et les prestataires de services à la
Mettez en œuvre des systèmes qui fournissent des
sécurité, y compris une formation pour les évaluateurs de sécurité interne (ISA). Des détails supplémentaires peuvent être trouvés sur notre
alertes automatiques pour surveiller en permanence
site Web à l'adresse : www.
l’accès et l’utilisation des données.
pcisecuritystandards.org.
Étendez les contrôles du système pour inclure la
Questionnaire d'autoévaluation (SAQ). Le SAQ est un outil de validation destiné aux commerçants et prestataires de services éligibles qui auto
collecte et le stockage des données de journaux.
évaluent leur conformité PCI DSS. Différents SAQ sont disponibles pour différents environnements commerciaux ; plus de détails peuvent être
trouvés sur notre site Web à l'adresse : www.pcisecuritystandards.org, ou contactez l'institution financière ou la marque de paiement acquéreuse pour
déterminer si vous devez remplir un SAQ.
Norme de sécurité des données des applications de paiement pour les développeurs
Le PADSS minimise les vulnérabilités des applications de paiement. L’objectif est d’empêcher la compromission des données complètes de la bande
magnétique situées au dos d’une carte de paiement ou des données équivalentes provenant d’une puce. PADSS couvre les applications de paiement
commerciales, les intégrateurs et les prestataires de services. Les commerçants et les prestataires de services doivent utiliser des applications
de paiement certifiées et doivent vérifier auprès de leur institution financière acquéreuse pour comprendre les exigences et les délais de
conformité associés.
Exigences DSS pour les demandes de paiement – Validées par l’évaluation PAQSA
1. Ne conservez pas la bande magnétique complète, la carte 8. Faciliter la mise en œuvre d’un réseau sécurisé
code ou valeur de vérification (CAV2, CID, CVC2,
CVV2), ou données de bloc PIN
2. Protégez les données stockées des titulaires de carte 9. Les données du titulaire de la carte ne doivent jamais être
stockées sur un serveur connecté à Internet
3. Fournir des fonctionnalités d'authentification sécurisées 10. Faciliter l'accès à distance sécurisé à l'application de paiement
4. Enregistrez l'activité des applications de paiement 11. Chiffrer le trafic sensible sur les réseaux publics
5. Développer des applications de paiement sécurisées 12. Chiffrer tous les accès administratifs hors console
7. Testez les applications de paiement pour corriger 14. Conserver la documentation pédagogique et
les vulnérabilités programmes de formation pour les clients, revendeurs et
intégrateurs
Cette norme, appelée PTS, s'applique aux entreprises qui fabriquent des appareils acceptant la saisie d'un numéro d'identification personnel
(PIN) pour toutes les transactions basées sur un code PIN. Les commerçants et les fournisseurs de services doivent utiliser des appareils approuvés
par le PTS et doivent vérifier auprès de leur institution financière acquéreuse pour comprendre les exigences et les délais de conformité
associés.
Lecture et échange de données sécurisés Exigences relatives au cryptage des données des comptes de titulaires de
carte
5. Gestion des appareils Gestion des appareils (fabrication et chargement initial des clés)
© 2010 Conseil des normes de sécurité PCI LLC. L'objectif de ce document est de fournir des informations Octobre 2010
supplémentaires, qui ne remplacent ni ne remplacent les normes de sécurité PCI SSC ou leurs documents justificatifs.