Passer au contenu principal

Soutien relatif à la sécurité des données PCI

 

En tant que client de Chase, vous disposez d’une équipe d’experts en sécurité des données prête à vous conseiller, à vous tenir informé des exigences en matière de sécurité des données et à vous proposer des suggestions sur la façon dont nos solutions de paiement peuvent vous aider à les satisfaire.

 

Pourquoi la sécurité des données de l’industrie des cartes de paiement (PCI) est-elle importante?

 

 

Fournir aux clients des options de paiement sécurisées les incintent non seulement fréquenter votre entreprise, mais avant tout votre responsabilité. L’incapacité à protéger les données des titulaires de carte pourrait coûter à votre entreprise des milliers de dollars en amendes, en plus de la perte d’affaires.

 

Quelles sont les normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS)?

 

En tant que marchand qui accepte les cartes de paiement électroniques, vous êtes tenu de suivre les règles de la marque de paiement pour protéger les données de titulaire de carte, en utilisant un ensemble d’exigences communes adoptées par tous et collectivement appelées normes PCI DSS. Il s’agit d’une norme de sécurité mondiale conçue pour aider les marchands à rester en sécurité

 

Ces exigences vont de la suppression des données de carte sensibles de vos terminaux de paiement et systèmes de traitement à la mise en œuvre de politiques de sécurité des données pour vos employés. Ensemble, les normes PCI DSS fournissent aux marchands une approche unifiée de la sécurité des données des titulaires de carte.

 

Comment s’assurer de maintenir la conformité de la validation et des rapports?

 

Les responsabilités du marchand pour le maintien des normes de sécurité et la validation/déclaration de conformité sont basées sur le niveau de volume des transactions et varient non seulement avec le volume, mais aussi avec la marque de paiement.

 

Comme l’exigent les marques de paiement, Chase vous a attribué un classement au niveau du marchand qui reflète le nombre de transactions que vous traitez sur une période d’un an au sein d’une seule marque de paiement. Selon ce niveau, vous pourriez être tenu de valider et de déclarer votre conformité à la norme PCI DSS à votre acquéreur.

Des exigences supplémentaires peuvent s’appliquer. Par exemple, les marchands ayant des volumes plus élevés doivent travailler avec des :

  • Évaluateurs de sécurité qualifiés (ESQ) : organismes de sécurité indépendants, reconnus par le Conseil des normes de sécurité PCI, chargés de valider la conformité d’une entité à la norme PCI DSS.
  • Évaluateurs de sécurité interne (ESI) : personnes certifiées par le Conseil des normes de sécurité PCI, chargées d’effectuer des évaluations de sécurité interne au sein des organisations qui traitent les données de titulaire de carte
  • Prestataires de service d'analyse agréés (ASV) : une organisation disposant d’un ensemble de services et d’outils de sécurité pour effectuer des services d’analyse de vulnérabilité externes afin de valider le respect des exigences d’analyse externes de la norme PCI DSS

 

Pour une liste complète des ASV, ou si vous souhaitez en savoir plus sur les ESQ et ESI, visitez le site Web du Conseil des normes de sécurité PCI. Un forum mondial unique qui rassemble les intervenants mondiaux de l’industrie des paiements pour favoriser l’adoption des normes de sécurité des données.

 

Les marques de paiement établissent leurs propres niveaux pour ces exigences. Bien que les niveaux de Visa® et Mastercard® soient généralement les mêmes, American Express utilise un ensemble distinct de critères pour établir les niveaux des marchands et a des exigences de déclaration différentes. Chaque marque de paiement établit également ses propres critères pour déterminer les échéances de validation du marchand.

 

Le fournisseur de services tiers que j’utilise doit-il également se conformer à la norme PCI DSS?

 

Oui. Vos prestataires de services qui stockent, traitent ou transmettent des données du compte d’un titulaire de carte sont tenus de se conformer à la norme PCI DSS et aux règles relatives aux marques de paiement.

 

Mes données pourraient-elles être compromises?

 

La compromission des données est une menace constante qui nécessite une vigilance constante. Malheureusement, malgré les mesures de protection les plus sophistiquées du système, des événements de compromission des données se produisent. L’exploitation des vulnérabilités du système est un chemin évident pour les pirates informatiques, mais de nombreuses attaques peuvent être attribuées au vol d’indentifiants, à l’hameçonnage ou aux réseaux de zombies (maliciels). Afin d’essayer d’éviter toute compromission des données, nos solutions de paiement sont toutes dotées d’un chiffrement de niveau forteresse, mais nous offrons également la segmentation en unités comme niveau de sécurité supplémentaire pour certains d’entre eux.

 

Une attaque réussie peut passer inaperçue pendant des jours, des semaines ou même des mois avant la détection. Il est impératif que les marchands disposent de politiques et de procédures pour découvrir les violations possibles du système et prendre les mesures nécessaires pour arrêter d’autres dommages et remédier aux points d’entrée des pirates informatiques concernés.

 

Se tenir au courant de la validation et de la déclaration de la conformité

 

Identifier, contenir et limiter l’exposition

 

Signaler et aviser Chase et les entités juridiques

FAQ sur la compromission des données, le point de vente commun et la segmentation en unités

 

Explorez cette FAQ pour en savoir plus sur la compromission des données, le point de vente commun, le processus de production de rapports et la segmentation en unités.

 

La compromission des données du titulaire de carte se produit lorsque le système de paiement d’un marchand est violé et que les renseignements du compte du titulaire de carte sont volés. En cas de compromission des données, il est essentiel de contenir rapidement les dommages pour protéger les données des clients et identifier immédiatement la cause profonde de l’événement. Les marchands doivent fournir un enregistrement exact des événements aux autorités.

Toute suspicion de compromission potentielle des données de titulaire de carte est signalée aux marques de paiement (Visa® et Mastercard®) par les forces de l'ordre, les banques émettrices et/ou vous, le marchand. Les atteintes à la sécurité peuvent se présenter sous différentes formes. Rester vigilant pour les activités suspectes suivantes peut aider à identifier les risques potentiels :

  • Trafic Internet sortant inattendu
  • Trafic réseau et adresses IP inattendus
  • Fichiers, logiciels et dispositifs inconnus installés sur vos systèmes
  • Défaillance ou désactivation des programmes antivirus
  • Applications inconnues configurées pour être lancées automatiquement lors du redémarrage de votre système
  • Activité suspecte du système après les heures normales
  • Présence de fichiers compressés .zip, .rar, .tar et autres types de fichiers compressés non identifiés contenant des données de titulaire de carte

1. Contenir et limiter l’exposition – Il est très important de préserver les preuves et d’aider à l’enquête pour minimiser les risques. Vous devez respecter ce qui suit :

  • Ne pas accéder à un système compromis ni le modifier
  • Ne pas éteindre le système compromis, mais l’isoler du réseau
  • Conserver les journaux et continuer à consigner toutes les mesures prises
  • En cas d’utilisation d’un réseau sans fil, changer le point d’accès
  • Surveiller tout le trafic sur les systèmes contenant des données de titulaire de carte

2. Aviser – Vous devez communiquer avec votre équipe d’intervention en cas d’incident (gestion interne et personnel juridique) et fournir un rapport d’incident à Chase dans les 24 heures. Chase vous avisera des prochaines étapes et fournira une notification applicable aux marques de paiement (Visa et Mastercard). Un rapport d’incident doit contenir les renseignements suivants :

  • Brève description de l’entreprise et du numéro d’identification du marchand
  • Détails de la violation de données, y compris qui, quoi, quand et où
  • Type de données de titulaire de carte stockées, comme le numéro de compte, le code sécurisé (CVV2, CVC2, etc.) et/ou le contenu complet des bandes magnétiques
  • Mesures prises pour contenir l’incident
  • Avis aux organismes d’application de la loi, le cas échéant

3. Respectez vos exigences légales – En plus de vos obligations contractuelles auprès de Chase, vous devriez consulter son service juridique pour vous conformer aux exigences de notification des lois fédérales, étatiques et locales applicables.

  • Enquête judiciaire : À la suite de l’examen d’un rapport d’incident, Visa ou Mastercard peut demander au marchand d’avoir recours à un évaluateur qualifié en intervention en cas d’incident pour effectuer une enquête judiciaire dans un délai précis. La réalisation d’une enquête judiciaire permet de déterminer s’il existe des preuves ou des risques de compromission, et la durée de compromission.
  • Rapport des conclusions : Une fois l’enquête terminée, l’évaluateur qualifié en intervention en cas d’incident fournira un rapport judiciaire au marchand et le rapport sera partagé avec Chase, Visa et Mastercard. Chase coordonnera un examen des conclusions et des mesures de suivi requises identifiées dans le rapport.
  • Comptes à risque : L’évaluateur qualifié en intervention en cas d’incident et Chase fourniront à Visa et Mastercard les comptes de titulaire de carte qui ont été traités pendant la période à risque. Visa et Mastercard aviseront ensuite les émetteurs correspondants. Les émetteurs ont une date limite pour signaler toute fraude connexe aux marques de cartes de paiement.
  • Validation de la conformité à la norme de sécurité des données de l’industrie des cartes de paiement : Toute entité ayant subi un piratage ou une attaque est requise pour valider la conformité à la norme PCI DSS. L’enquête judiciaire ne se terminera pas tant que le marchand n’aura pas fourni un rapport de conformité ou un questionnaire d’auto-évaluation, en plus des analyses trimestrielles du réseau.
  • Dépenses, amendes et responsabilités : Le marchand est responsable de faire appel à l’évaluateur qualifié en intervention en cas d’incident, au besoin. Visa et Mastercard évalueront des amendes distinctes pour tout manque de conformité qui a mené à la violation. Dans certains cas, il y a également des évaluations pour la fraude progressive et pour la surveillance ou la réémission des comptes de titulaire de carte.

Vous cherchez plus d’aide pour prévenir la fraude?
Obtenez du soutien ici