Soutien relatif à la sécurité des données PCI

En tant que client de Chase, vous disposez d’une équipe d’experts en sécurité des données prête à vous conseiller, à vous tenir informé des exigences en matière de sécurité des données et à vous proposer des suggestions sur la façon dont nos solutions de paiement peuvent vous aider à les satisfaire.

Pourquoi la sécurité des données de l’industrie des cartes de paiement (PCI) est-elle importante?

Fournir aux clients des options de paiement sécurisées les incintent non seulement fréquenter votre entreprise, mais avant tout votre responsabilité. L’incapacité à protéger les données des titulaires de carte pourrait coûter à votre entreprise des milliers de dollars en amendes, en plus de la perte d’affaires.

Quelles sont les normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS)?

En tant que marchand qui accepte les cartes de paiement électroniques, vous êtes tenu de suivre les règles de la marque de paiement pour protéger les données de titulaire de carte, en utilisant un ensemble d’exigences communes adoptées par tous et collectivement appelées normes PCI DSS. Il s’agit d’une norme de sécurité mondiale conçue pour aider les marchands à rester en sécurité

Ces exigences vont de la suppression des données de carte sensibles de vos terminaux de paiement et systèmes de traitement à la mise en œuvre de politiques de sécurité des données pour vos employés. Ensemble, les normes PCI DSS fournissent aux marchands une approche unifiée de la sécurité des données des titulaires de carte.

Comment s’assurer de maintenir la conformité de la validation et des rapports?

Les responsabilités du marchand pour le maintien des normes de sécurité et la validation/déclaration de conformité sont basées sur le niveau de volume des transactions et varient non seulement avec le volume, mais aussi avec la marque de paiement.

Comme l’exigent les marques de paiement, Chase vous a attribué un classement au niveau du marchand qui reflète le nombre de transactions que vous traitez sur une période d’un an au sein d’une seule marque de paiement. Selon ce niveau, vous pourriez être tenu de valider et de déclarer votre conformité à la norme PCI DSS à votre acquéreur.

Des exigences supplémentaires peuvent s’appliquer. Par exemple, les marchands ayant des volumes plus élevés doivent travailler avec des :

Évaluateurs de sécurité qualifiés (ESQ) : organismes de sécurité indépendants, reconnus par le Conseil des normes de sécurité PCI, chargés de valider la conformité d’une entité à la norme PCI DSS.
Évaluateurs de sécurité interne (ESI) : personnes certifiées par le Conseil des normes de sécurité PCI, chargées d’effectuer des évaluations de sécurité interne au sein des organisations qui traitent les données de titulaire de carte
Prestataires de service d'analyse agréés (ASV) : une organisation disposant d’un ensemble de services et d’outils de sécurité pour effectuer des services d’analyse de vulnérabilité externes afin de valider le respect des exigences d’analyse externes de la norme PCI DSS

Pour une liste complète des ASV, ou si vous souhaitez en savoir plus sur les ESQ et ESI, visitez le site Web du Conseil des normes de sécurité PCI. Un forum mondial unique qui rassemble les intervenants mondiaux de l’industrie des paiements pour favoriser l’adoption des normes de sécurité des données.

Les marques de paiement établissent leurs propres niveaux pour ces exigences. Bien que les niveaux de Visa^® et Mastercard^® soient généralement les mêmes, American Express utilise un ensemble distinct de critères pour établir les niveaux des marchands et a des exigences de déclaration différentes. Chaque marque de paiement établit également ses propres critères pour déterminer les échéances de validation du marchand.

Le fournisseur de services tiers que j’utilise doit-il également se conformer à la norme PCI DSS?

Oui. Vos prestataires de services qui stockent, traitent ou transmettent des données du compte d’un titulaire de carte sont tenus de se conformer à la norme PCI DSS et aux règles relatives aux marques de paiement.

Mes données pourraient-elles être compromises?

La compromission des données est une menace constante qui nécessite une vigilance constante. Malheureusement, malgré les mesures de protection les plus sophistiquées du système, des événements de compromission des données se produisent. L’exploitation des vulnérabilités du système est un chemin évident pour les pirates informatiques, mais de nombreuses attaques peuvent être attribuées au vol d’indentifiants, à l’hameçonnage ou aux réseaux de zombies (maliciels). Afin d’essayer d’éviter toute compromission des données, nos solutions de paiement sont toutes dotées d’un chiffrement de niveau forteresse, mais nous offrons également la segmentation en unités comme niveau de sécurité supplémentaire pour certains d’entre eux.

Une attaque réussie peut passer inaperçue pendant des jours, des semaines ou même des mois avant la détection. Il est impératif que les marchands disposent de politiques et de procédures pour découvrir les violations possibles du système et prendre les mesures nécessaires pour arrêter d’autres dommages et remédier aux points d’entrée des pirates informatiques concernés.

Se tenir au courant de la validation et de la déclaration de la conformité

Identifier, contenir et limiter l’exposition

Signaler et aviser Chase et les entités juridiques

FAQ sur la compromission des données, le point de vente commun et la segmentation en unités

Explorez cette FAQ pour en savoir plus sur la compromission des données, le point de vente commun, le processus de production de rapports et la segmentation en unités.

La compromission des données du titulaire de carte se produit lorsque le système de paiement d’un marchand est violé et que les renseignements du compte du titulaire de carte sont volés. En cas de compromission des données, il est essentiel de contenir rapidement les dommages pour protéger les données des clients et identifier immédiatement la cause profonde de l’événement. Les marchands doivent fournir un enregistrement exact des événements aux autorités.

Toute suspicion de compromission potentielle des données de titulaire de carte est signalée aux marques de paiement (Visa® et Mastercard®) par les forces de l'ordre, les banques émettrices et/ou vous, le marchand. Les atteintes à la sécurité peuvent se présenter sous différentes formes. Rester vigilant pour les activités suspectes suivantes peut aider à identifier les risques potentiels :

Trafic Internet sortant inattendu
Trafic réseau et adresses IP inattendus
Fichiers, logiciels et dispositifs inconnus installés sur vos systèmes
Défaillance ou désactivation des programmes antivirus
Applications inconnues configurées pour être lancées automatiquement lors du redémarrage de votre système
Activité suspecte du système après les heures normales
Présence de fichiers compressés .zip, .rar, .tar et autres types de fichiers compressés non identifiés contenant des données de titulaire de carte

1. Contenir et limiter l’exposition – Il est très important de préserver les preuves et d’aider à l’enquête pour minimiser les risques. Vous devez respecter ce qui suit :

Ne pas accéder à un système compromis ni le modifier
Ne pas éteindre le système compromis, mais l’isoler du réseau
Conserver les journaux et continuer à consigner toutes les mesures prises
En cas d’utilisation d’un réseau sans fil, changer le point d’accès
Surveiller tout le trafic sur les systèmes contenant des données de titulaire de carte

2. Aviser – Vous devez communiquer avec votre équipe d’intervention en cas d’incident (gestion interne et personnel juridique) et fournir un rapport d’incident à Chase dans les 24 heures. Chase vous avisera des prochaines étapes et fournira une notification applicable aux marques de paiement (Visa et Mastercard). Un rapport d’incident doit contenir les renseignements suivants :

Brève description de l’entreprise et du numéro d’identification du marchand
Détails de la violation de données, y compris qui, quoi, quand et où
Type de données de titulaire de carte stockées, comme le numéro de compte, le code sécurisé (CVV2, CVC2, etc.) et/ou le contenu complet des bandes magnétiques
Mesures prises pour contenir l’incident
Avis aux organismes d’application de la loi, le cas échéant

3. Respectez vos exigences légales – En plus de vos obligations contractuelles auprès de Chase, vous devriez consulter son service juridique pour vous conformer aux exigences de notification des lois fédérales, étatiques et locales applicables.

Enquête judiciaire : À la suite de l’examen d’un rapport d’incident, Visa ou Mastercard peut demander au marchand d’avoir recours à un évaluateur qualifié en intervention en cas d’incident pour effectuer une enquête judiciaire dans un délai précis. La réalisation d’une enquête judiciaire permet de déterminer s’il existe des preuves ou des risques de compromission, et la durée de compromission.
Rapport des conclusions : Une fois l’enquête terminée, l’évaluateur qualifié en intervention en cas d’incident fournira un rapport judiciaire au marchand et le rapport sera partagé avec Chase, Visa et Mastercard. Chase coordonnera un examen des conclusions et des mesures de suivi requises identifiées dans le rapport.
Comptes à risque : L’évaluateur qualifié en intervention en cas d’incident et Chase fourniront à Visa et Mastercard les comptes de titulaire de carte qui ont été traités pendant la période à risque. Visa et Mastercard aviseront ensuite les émetteurs correspondants. Les émetteurs ont une date limite pour signaler toute fraude connexe aux marques de cartes de paiement.
Validation de la conformité à la norme de sécurité des données de l’industrie des cartes de paiement : Toute entité ayant subi un piratage ou une attaque est requise pour valider la conformité à la norme PCI DSS. L’enquête judiciaire ne se terminera pas tant que le marchand n’aura pas fourni un rapport de conformité ou un questionnaire d’auto-évaluation, en plus des analyses trimestrielles du réseau.
Dépenses, amendes et responsabilités : Le marchand est responsable de faire appel à l’évaluateur qualifié en intervention en cas d’incident, au besoin. Visa et Mastercard évalueront des amendes distinctes pour tout manque de conformité qui a mené à la violation. Dans certains cas, il y a également des évaluations pour la fraude progressive et pour la surveillance ou la réémission des comptes de titulaire de carte.

Les incidents de compromission des données ne sont pas tous dus à une intrusion dans le réseau. Certains peuvent être des événements localisés ou de « clonage », où les données de titulaire de carte sont volées, puis utilisées pour des achats frauduleux chez d’autres marchands. Lorsqu’il est déterminé que plusieurs transactions frauduleuses proviennent d’un emplacement commun, cet emplacement devient le point de vente commun et une enquête est amorcée.

Les emplacements du point de vente commun sont signalés aux marques de paiement par les forces de l’ordre et les banques émettrices. Une fois le signalement effectué, la marque de paiement concernée examine la plainte pour déterminer s’il est nécessaire de procéder à une enquête sur le point de vente commun ou une analyse judiciaire.

Si votre entreprise est déclarée comme un emplacement du point de vente commun, Chase communiquera avec vous. La marque de paiement concernée vous remettra un questionnaire à remplir, accompagné des renseignements signalés afin de vous aider dans votre enquête interne. Vous recevrez une date limite pour soumettre le questionnaire à Chase.

Chase soumettra le questionnaire rempli à la marque de paiement concernée, qui déterminera ensuite si un événement de clonage ou une intrusion potentielle dans le réseau a pu se produire.

La segmentation en unités est essentielle dans le monde des paiements numériques. Les paiements numériques sont le processus de paiement électronique de biens ou de services. Alors que les paiements numériques sont devenus de plus en plus courants, la nécessité pour les consommateurs et les institutions financières d’envisager et d’assurer leur sécurité est toujours importante. Afin d’essayer d’éviter les violations de données et les attaques par hameçonnage, de nombreux modes de paiement numériques intègrent des mesures de sécurité, notamment la segmentation en unités. Comme le chiffrement, la segmentation en unités aide à protéger les renseignements sensibles de votre carte. Il s’agit d’un processus qui remplace les détails sensibles de la carte par un identifiant numérique unique ou « jeton ».

Le jeton est souvent une série de chiffres et de lettres qui masquent le numéro à 16 chiffres et les codes de sécurité de votre carte. Ce jeton peut être utilisé pour la transaction, mais n’a aucun sens s’il est intercepté.

La segmentation en unités offre le potentiel d’augmenter la sécurité et de réduire les coûts de conformité :

Sécurité améliorée : le jeton et non le numéro de carte réel, est utilisé pour traiter la transaction, réduisant ainsi le risque de fraude par carte et de violation de données
Assurer la conformité à la norme PCI : en utilisant la segmentation en unités, les entreprises peuvent réduire la portée de leurs obligations de conformité à la norme de l’industrie des cartes de paiement

Si vous utilisez notre solution de paiement en ligne, la Passerrelle de paiement Orbital, alors la segmentation en unités doit être considérée sérieusement. L’application de la segmentation en unités aux transactions Sans carte physique est particulièrement appropriée, car cette solution permet de protéger les données dans divers scénarios propres à votre environnement de commerce électronique. Par exemple, vous pouvez choisir de stocker les profils des clients afin d’accélérer le processus de paiement pour les clients qui reviennent. Dans le même ordre d’idées, la mise à jour automatique des comptes peut être mise en place pour les paiements récurrents. Visitez notre page de soutien dédiée au terminal virtuel Orbital en cliquant ici pour en savoir plus sur ses fonctionnalités ou appelez-nous pour discuter de la segmentation en unités sur Orbital.

Bien que nous offrions la segmentation en unités pour le traitement des paiements en ligne, notamment notre passerelle de paiement Orbital en option, chez Chase, nous avons également intégré cette couche de sécurité supplémentaire dans l’une de nos dernières solutions de paiement : Chase Mobile Checkout-PLUS et PDV Chase.

Vous cherchez plus d’aide pour prévenir la fraude?
Obtenez du soutien ici