Quelle est la norme de s?curit? des donn?es de l’industrie des cartes de paiement??

La norme de s?curit? des donn?es de l’industrie des cartes de paiement (PCI DSS) est un ensemble de directives et de bonnes pratiques fournies ? toutes les entreprises et autres entit?s qui traitent, transmettent ou stockent des donn?es de carte de cr?dit. Ces directives ont ?t? ?labor?es par le Conseil des normes de s?curit? PCI (PCI SSC) et visent ? pr?venir les fuites de donn?es et l’usurpation d’identit? et la fraude par carte de cr?dit qui en r?sultent. La conformit? ? la norme PCI DSS comporte trois phases continues?: l’?valuation des processus commerciaux et l’identification des risques potentiels, la r?solution de ces risques et la communication des efforts de conformit? aux banques concern?es et aux autres ?metteurs de cartes de cr?dit.

La conformit? ? la norme de s?curit? des donn?es de l’industrie des cartes de paiement est primordiale pour la cr?ation et la maintenance d’un r?seau informatique s?curis?. Un pare-feu robuste doit ?tre construit entre les donn?es du titulaire de carte et l’acc?s externe au r?seau. Les mots de passe syst?me doivent ?tre mis en ?uvre avec d’autres mesures de s?curit? ? chaque point potentiel de vuln?rabilit? du r?seau. Toutes les donn?es des titulaires de carte doivent ?tre stock?es de mani?re s?curis?e et, lorsqu’elles sont transmises sur des r?seaux publics, elles doivent ?tre crypt?es. Les mesures continues comprennent l’utilisation de logiciels antivirus et l’acc?s physique ou informatique restreint aux donn?es par le personnel en fonction des besoins de l’entreprise.

Il existe de nombreux outils et services disponibles pour aider les organisations ? faire face ? la norme PCI DSS. Alors que le PCI SSC ?tablit les normes de conformit? PCI, toutes les grandes marques de cartes de cr?dit ont cr?? leurs propres normes en ce qui concerne l’application et la conformit? de ces normes ainsi que les proc?dures de validation des cartes de cr?dit. Chacune de ces soci?t?s propose des conseils en ligne et autres aux organisations qui acceptent leurs cartes. Le PCI SSC g?re ?galement un programme qui approuve les ?valuateurs de s?curit? qualifi?s qui valident la conformit? ? la norme de s?curit? des donn?es de l’industrie des cartes de paiement. Pour les organisations qui auto-?valuent leur conformit?, le PCI SSC fournit des outils de validation appel?s questionnaires d’auto-?valuation sous plusieurs formes, chacune adapt?e ? des environnements commerciaux sp?cifiques.

Un principe cl? pour se conformer ? la norme de s?curit? des donn?es de l’industrie des cartes de paiement est de ne stocker que les donn?es de carte de cr?dit qui sont essentielles aux besoins de l’organisation. Les donn?es stock?es doivent ?tre soumises ? des limites de temps et les donn?es d’authentification des transactions ne doivent jamais ?tre stock?es. Tous les num?ros de compte et autres donn?es sensibles qui sont transmis sur les r?seaux publics doivent ?tre partiellement masqu?s.

D’autres mesures PCI DSS en cours incluent la cr?ation et la maintenance d’un programme de gestion des vuln?rabilit?s qui cr?e des applications et des programmes s?curis?s. Une surveillance de routine et des tests de r?seau pour identifier les faiblesses sont ?galement n?cessaires. Chaque organisation doit ?galement maintenir et diffuser une politique de s?curit? ?crite ? tout le personnel.

SmartAsset.