La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est un ensemble de directives et de bonnes pratiques fournies à toutes les entreprises et autres entités qui traitent, transmettent ou stockent des données de carte de crédit. Ces directives ont été élaborées par le Conseil des normes de sécurité PCI (PCI SSC) et visent à prévenir les fuites de données et l’usurpation d’identité et la fraude par carte de crédit qui en résultent. La conformité à la norme PCI DSS comporte trois phases continues : l’évaluation des processus commerciaux et l’identification des risques potentiels, la résolution de ces risques et la communication des efforts de conformité aux banques concernées et aux autres émetteurs de cartes de crédit.
La conformité à la norme de sécurité des données de l’industrie des cartes de paiement est primordiale pour la création et la maintenance d’un réseau informatique sécurisé. Un pare-feu robuste doit être construit entre les données du titulaire de carte et l’accès externe au réseau. Les mots de passe système doivent être mis en œuvre avec d’autres mesures de sécurité à chaque point potentiel de vulnérabilité du réseau. Toutes les données des titulaires de carte doivent être stockées de manière sécurisée et, lorsqu’elles sont transmises sur des réseaux publics, elles doivent être cryptées. Les mesures continues comprennent l’utilisation de logiciels antivirus et l’accès physique ou informatique restreint aux données par le personnel en fonction des besoins de l’entreprise.
Il existe de nombreux outils et services disponibles pour aider les organisations à faire face à la norme PCI DSS. Alors que le PCI SSC établit les normes de conformité PCI, toutes les grandes marques de cartes de crédit ont créé leurs propres normes en ce qui concerne l’application et la conformité de ces normes ainsi que les procédures de validation des cartes de crédit. Chacune de ces sociétés propose des conseils en ligne et autres aux organisations qui acceptent leurs cartes. Le PCI SSC gère également un programme qui approuve les évaluateurs de sécurité qualifiés qui valident la conformité à la norme de sécurité des données de l’industrie des cartes de paiement. Pour les organisations qui auto-évaluent leur conformité, le PCI SSC fournit des outils de validation appelés questionnaires d’auto-évaluation sous plusieurs formes, chacune adaptée à des environnements commerciaux spécifiques.
Un principe clé pour se conformer à la norme de sécurité des données de l’industrie des cartes de paiement est de ne stocker que les données de carte de crédit qui sont essentielles aux besoins de l’organisation. Les données stockées doivent être soumises à des limites de temps et les données d’authentification des transactions ne doivent jamais être stockées. Tous les numéros de compte et autres données sensibles qui sont transmis sur les réseaux publics doivent être partiellement masqués.
D’autres mesures PCI DSS en cours incluent la création et la maintenance d’un programme de gestion des vulnérabilités qui crée des applications et des programmes sécurisés. Une surveillance de routine et des tests de réseau pour identifier les faiblesses sont également nécessaires. Chaque organisation doit également maintenir et diffuser une politique de sécurité écrite à tout le personnel.