Chat with us, powered by LiveChat
Nous utilisons des témoins à des fins d’analyse du Site Web, de statistiques, de profilage et de reciblage publicitaire. Nous pouvons aussi partager de l’information sur votre utilisation du Site Web avec nos partenaires publicitaires et analytiques. Vous pouvez désactiver les témoins dans les paramètres de votre navigateur à tout moment. Politique de confidentialité .
FERMER X
 Dans Blogue, Communications Unifiées, Fax, Innovation, Productivité, Sécurité, Technologie

Les cartes de crédit et de débit font de plus en plus partie intégrante de la vie des particuliers et des entreprises du monde entier. Dans un sondage de 2018, un pourcentage écrasant de 80 % des répondants ont indiqué qu’ils utilisaient une carte de débit ou de crédit comme principal mode de paiement.  C’est pourquoi l’acceptation des paiements par carte est une composante essentielle de presque toutes les entreprises, de la PME à l’entreprise. Pour accepter les paiements par carte de la plupart des principaux fournisseurs de cartes de crédit, toutefois, les entreprises doivent s’assurer que leur procédure de paiement est conforme à la PCI DSS.

Qu’est-ce que la norme PCI DSS?

La Norme de protection des données pour le secteur des cartes de paiement, ou PCI DSS, est une norme de conformité en matière de sécurité qui définit les politiques et les lignes directrices relatives aux procédures et à la sécurité des paiements. Les critères de certification de la PCI DSS servent à garantir que les entreprises protègent les données des titulaires de carte qu’elles stockent, traitent et transmettent.

La PCI DSS a été créée par le Payment Card Industry Security Standards Council, un organisme fondé en 2006 par American Express, Discover, JCB, MasterCard et Visa, mais fonctionnant indépendamment de tout fournisseur de cartes. Il existe quatre niveaux différents de critères de PCI DSS, le niveau 4 ayant le plus faible niveau de sécurité requis et le niveau 1 le plus élevé.

Quels sont les niveaux de la PCI DSS?

Les quatre niveaux ont des critères de sécurité croissants à mesure que vous passez du niveau 4, qui est le moins exigeant, au niveau 1, qui est le plus élevé. Le niveau qu’une entreprise donnée doit maintenir dépend habituellement de son volume de transactions, mais peut être influencé par d’autres facteurs. Ces facteurs incluent le niveau de risque de l’entreprise (déterminé à la seule discrétion des fournisseurs de cartes) et s’ils ont des antécédents de violation des données. Le volume de transactions pour chaque niveau est le suivant :

  • Niveau 1 – six millions de transactions ou plus par année
  • Niveau 2 – entre un et six millions de transactions par an
  • Niveau 3 – entre vingt mille et un million de transactions par an
  • Niveau 4 – moins de vingt mille transactions par an

 

Bien qu’il s’agisse d’une obligation incontournable pour toute entreprise qui souhaite recevoir un paiement des principaux fournisseurs de cartes de crédit et travailler avec eux, il est important de noter que la conformité à la PCI DSS n’est pas une loi fédérale américaine. Encore qu’il ne s’agisse pas d’une loi fédérale, certains États américains (Minnesota, Nevada et Washington au moment de la présente publication) ont adopté des lois qui font référence aux dispositions de la PCI DSS ou qui les reflètent.

Conseils pour améliorer la sécurité et permettre l’observation de la norme PCI

Même si la conformité à la PCI est une condition obligatoire pour les entreprises qui travaillent avec les données de titulaires de carte, il n’en demeure pas moins que de nombreuses entreprises ont du mal à s’y conformer. En fait, selon le rapport annuel sur la sécurité des paiements de Verizon pour 2018, le pourcentage d’entreprises réussissant à observer la norme PCI DSS est passé de 55,4 % en 2016 à 52,5 % en 2017.

Étant donné que les entreprises ont de la difficulté à maintenir la conformité et le nombre croissant d’atteintes à la protection des données qui se produisent chaque année à l’échelle mondiale, voici quelques pratiques exemplaires à suivre.

Utiliser des produits et services conformes à la norme PCI

Ellen Richey, chef de la gestion des risques de Visa, a déclaré en 2018 que « au moment de l’infraction, aucune entité compromise n’avait encore été jugée conforme à la norme PCI DSS ». Bien qu’il soit important de se rappeler que la corrélation ne signifie pas nécessairement la causalité, ce point de données suggère que les entreprises qui maintiennent un environnement conforme à la norme PCI sont généralement mieux sécurisées.

Étant donné le nombre d’entreprises qui ne sont pas conformes à la norme PCI DSS, il est important de vérifier que les produits que votre entreprise utilise continuent de répondre aux exigences. Même si les conditions étaient observées par le passé, ce n’est peut-être plus le cas maintenant.

Bien que cette mesure ne signifie pas automatiquement qu’une entreprise utilisant des produits conformes sera elle-même conforme, elle contribue à garantir une sécurité adéquate pour prévenir le vol de données.

Automatisez ce que vous pouvez

Les logiciels d’automatisation des procédures peuvent éliminer le risque d’erreur humaine dans le traitement des données relatives aux paiements et aux titulaires de cartes, ce qui aide à garantir que les données sont traitées de manière conforme. Moins d’intervention humaine peut également aider à réduire la surface d’attaque d’une entreprise en cas d’atteinte à la protection des données par des personnes malveillantes, l’ingénierie sociale ou l’hameçonnage.

Rendre le partage sécurisé simple

Il y a encore des cas où certains procédés ne peuvent pas être automatisés, comme quand un agent du service après-vente doit recevoir des renseignements sur le titulaire de la carte auprès du service des finances, afin d’enquêter sur des problèmes liés à une commande passée. Dans de telles situations, en l’absence d’une solution sécurisée et simple d’utilisation, il est probable que les personnes aient recours aux fonctions de courrier électronique, de messagerie instantanée ou de transfert de fichiers ne disposant pas du niveau de sécurité approprié.

De plus, la plupart de ces solutions n’ont pas de politiques de conservation adéquates pour automatiser la suppression des anciennes données qui ne sont plus nécessaires. Bien que les suites de messagerie comme Outlook aient des politiques de conservation que vous pouvez configurer, cela peut prendre du temps, être fastidieux et les règles peuvent ne pas être suffisamment précises. Inversement, les services de transfert de fichiers demandent généralement que quelqu’un supprime manuellement les fichiers transmis.

En outre, l’email offre peu de sécurité, et les renseignements envoyés par ce dernier peuvent souvent être facilement consultés par des tiers qui surveillent le trafic en provenance et à destination du réseau d’une entreprise. L’arnaque au président ne cessant de se répandre, le transfert d’informations par email constitue une menace supplémentaire. L’ingénierie sociale basé sur l’émail est de plus en plus courante, ce qui en fait une méthode particulièrement risquée pour transmettre des données sensibles de toutes sortes.

XMedius peut vous aider

XMedius est en processus de certification conforme avec la PCI DSS pour deux de ses produits, XM SendSecure et XM Fax, qui peuvent aider à automatiser et à rationaliser les pratiques de sécurité conformes à la norme PCI.

XM SendSecure offre un moyen simple de partager en toute sécurité les fichiers et les renseignements des titulaires de carte, tout en proposant un stockage éphémère conçu pour supprimer automatiquement les contenus après une durée de temps définie. Cela permet à la fois d’automatiser et de simplifier la sécurité, en éliminant le besoin de supprimer manuellement les fichiers partagés. XM SendSecure est également dotée d’une fonction de cryptage pour les données en transit ou en veille, ainsi qu’une authentification à deux facteurs, ce qui permet de veiller à ce que les fichiers ne soient accessibles que par leur destinataire prévu.

En utilisant l’exemple précédent d’un représentant du service après-ventes qui demande des renseignements à un membre de l’équipe des finances, l’employé du service financier peut répondre immédiatement à la demande par email directement dans Outlook au moyen d’un connecteur XM SendSecure. Un coffre-fort crypté et éphémère est alors créé pour transférer les fichiers qui sont automatiquement supprimés après une durée définie. Le coffre-fort peut également se servir des coordonnées de contact connues du destinataire, en lui demandant de vérifier son identité avant d’accéder aux fichiers. Ces mesures de protection réduisent considérablement le risque de transmettre accidentellement des données confidentielles de titulaires de carte à la mauvaise personne.

XMedius offre également une solution de fax sur IP de pointe, XM Fax, qui permet aux utilisateurs de télécopier en toute sécurité des documents directement dans les boîtes de réception des destinataires plutôt que dans le télécopieur central du bureau. Elle élimine ainsi le risque que des renseignements sensibles soient vus par la mauvaise personne.

 

Si vous souhaitez en savoir plus sur la façon dont notre suite de solutions de communication peut aider votre entreprise à respecter la PCI DSS, veuillez contacter l’un de nos experts du secteur.

PARLEZ À UN EXPERT

 

Leave a Comment

Start typing and press Enter to search