Sécurité

La signification de PCI

Posted by admin

Le terme PCI signifie Payment Card Industry et nous connaissons tous très bien les différents types de cartes de crédit / solutions de paiement disponibles telles que Master Card, PayPal et Visa, etc. Cet article expliquera plus en détail comment ces sociétés protègent leurs données de titulaires de carte.

Ces entreprises travaillent selon les normes PCI DSS, qui signifie Payment Card Industry Data Security Standard. Selon ces normes, les informations des titulaires de carte doivent être conservées en toute sécurité.

Histoire de PCI DSS

Il existe cinq programmes:

1. Politique de sécurité des données d’entreprise d’American Express

2. Découvrez la sécurité et la conformité des informations

3. Programme de sécurité des données de JCB

4. Protection des données de la Master Card

5. Programme de sécurité des informations des titulaires de carte Visa

Ils ont été lancés par ces sociétés de cartes de crédit. L’intention de chaque entreprise était presque la même; et il s’agissait de développer une couche de protection supplémentaire pour les titulaires de cartes et les émetteurs de cartes, en veillant à ce que les commerçants respectent les niveaux minimaux de sécurité lors du traitement, du stockage et de la transmission des informations de carte de crédit.

Ces mêmes idées ont conduit à la création du Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI SSC), et les entreprises ont combiné leurs politiques pour créer le PCI DSS.

Il existe jusqu’à présent un certain nombre de versions du PCI DSS, avec la première version 1.0 publiée le 15 décembre 2015 et la dernière version 3.2, lancée en avril 2016.

Pourquoi le PCI DSS est-il nécessaire?

Le PCI DSS a été développé pour limiter la fraude par carte de crédit. Cependant, la conformité PCI est plus une question de sécurité que de conformité. Le but de la conformité PCI est de confirmer que les normes de sécurité sont respectées dans le traitement des paiements des clients et dans la gestion des données des clients.

La vérification de la conformité PCI est vérifiée annuellement par un QSA (Qualified Security Assessor), qui crée un ROC (Report on Compliance). Bien que cela soit généralement vrai pour les entreprises qui traitent des millions de transactions, les entreprises avec moins de volume n’ont qu’à remplir un questionnaire d’auto-évaluation (SAQ) comme moyen de signaler la conformité PCI.

La norme PCI DSS a établi douze exigences de conformité PCI, qui sont divisées en six groupes appelés objectifs d’audit. Chaque version de la norme PCI DSS a catégorisé ces douze exigences différemment, en un certain nombre de sous-exigences; pourtant, les douze exigences clés n’ont pas changé depuis l’introduction de la norme.

Objectifs et exigences:

1. Développer et gérer un réseau sécurisé

I. Établir et maintenir une configuration de pare-feu pour protéger les données des titulaires de carte.

ii. N’utilisez pas les valeurs par défaut fournies par le fournisseur comme mots de passe système ou pour d’autres configurations de sécurité.

2. Protégez les informations des titulaires de carte

iii. Protégez les données stockées du titulaire de la carte.

iv. Convertissez les données des titulaires de carte en codes sur des réseaux ouverts et publics.

3. Maintenir la vulnérabilité de l’outil de gestion

v. Utiliser et mettre à jour régulièrement les programmes antivirus sur le système le plus susceptible d’être affecté par des logiciels malveillants.

vi. Créez et maintenez uniquement des systèmes et des applications sécurisés.

4. Utilisez un contrôle strict sur l’accès aux données

vii. Empêcher les entreprises d’accéder aux données des titulaires de carte.

viii. Donnez à chaque utilisateur ayant accès à un ordinateur un identifiant d’accès unique.

ix. Limitez physiquement l’accès aux données des titulaires de carte.

5. Surveiller et tester régulièrement les réseaux

X. Suivez l’accès aux informations des titulaires de carte et aux ressources du réseau.

xi. Testez régulièrement les processus et les systèmes de sécurité.

6. Maintenir les politiques de sécurité des informations

xii. Maintenez une politique relative à la sécurité de l’information.

Leave A Comment