La conformité à la norme de l'industrie des cartes de paiement (PCI) renvoie aux normes en matière de sécurité que doivent respecter les entreprises qui recueillent, traitent, transmettent ou stockent des informations de carte de débit ou de crédit. Aussi connues sous le nom de norme de sécurité des données dans l'industrie des cartes de paiement (PCI DSS), ces lignes directrices ont été établies et sont appliquées par le Conseil des normes de sécurité PCI (PCI SSC).
Vous pourriez économiser des dizaines de milliers de dollars ou plus en pertes de revenus en protégeant adéquatement votre entreprise contre les failles de sécurité.
Dans ce guide, nous aborderons les points suivants :
- La conformité à la norme PCI DSS : notions essentielles
- Les coûts de la conformité PCI
- Démystifier la conformité PCI DSS et la certification PCI PTS
- Les conséquences de la non-conformité à la norme PCI
- La norme PCI dans le contexte des petites entreprises
- Conclusion
Qu'entend-on par conformité PCI? Notions essentielles
Au tournant du siècle, l'utilisation des cartes de crédit s'est généralisée et les grands acteurs de ce secteur (Visa, Mastercard, Discover et American Express) ont chacun mis en place leur propre système de protection contre la fraude. Ils ont dû cependant rapidement s'unir pour créer une norme de protection applicable à l'ensemble du secteur : la norme PCI DSS. Lancée en 2004, sa première version a depuis été révisée à plusieurs reprises afin de rester d'actualité. Sa plus récente mouture (3.2.1) a été présentée en mai 2018.
Les entreprises doivent satisfaire à 12 conditions de base pour se conformer à la norme et maintenir cette conformité. Vous trouverez ci-dessous un extrait des Conditions et procédures d’évaluation de sécurité que vous pouvez consulter sur le site Web de la PCI.
PCI DSS version 3.2.1
Objectif 1 : Création et gestion d'un réseau et système sécurisés.
- Condition 1 : Installer et gérer une configuration de pare-feu pour protéger les données du titulaire de la carte.
- Condition 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur.
Objectif 2 : Protection des données du titulaire de la carte.
- Condition 3 : Protéger les données du titulaire de la carte stockées.
- Condition 4 : Crypter la transmission des données du titulaire de la carte sur les réseaux publics ouverts.
Objectif 3 : Maintien d'un programme de gestion des vulnérabilités.
- Condition 5 : Protéger tous les systèmes contre les logiciels malveillants et mettre à jour régulièrement les logiciels ou programmes antivirus.
- Condition 6 : Développer et gérer des systèmes et applications sécurisés.
Objectif 4 : Mise en œuvre de mesures de contrôle d'accès strictes.
- Condition 7 : Restreindre l'accès aux données du titulaire de la carte aux seuls individus devant en être informés.
- Condition 8 : Identifier et authentifier l'accès aux composants du système.
- Condition 9 : Restreindre l'accès physique aux données du titulaire.
Objectif 5 : Surveillance et test réguliers des réseaux.
- Condition 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données du titulaire.
- Tester régulièrement les processus et systèmes de sécurité.
Objectif 6 : Maitien d'une politique de sécurité des informations.
- Condition 12 : Maintenir une politique qui adresse les informations de sécurité pour l'ensemble du personnel.
Coûts de la conformité PCI
Devenir conforme à la norme PCI (et le rester) implique différents coûts. Le montant que vous pouvez vous attendre à débourser dépendra de votre niveau en tant que commerçant, qui est établi en évaluant différents facteurs :
- La taille, l'emplacement et la nature de votre organisation
- Le nombre de transactions par carte que vous traitez annuellement
- La façon dont vous percevez et traitez les paiements par carte (c.-à-d. en personne ou en ligne)
D'autres frais peuvent venir s'ajouter, par exemple pour la formation du personnel, qui est volontaire pour les plus petites organisations mais souvent obligatoire pour les plus grandes. Passer des terminaux à bande magnétique aux lecteurs à puce EMV entraîne aussi des frais. Il en va de même pour les commerçants en ligne qui protègent leurs visiteurs en ajoutant des certificats Secure Sockets Layer (SSL) à leurs sites. Bien sûr, il y a aussi les frais directs de conformité à la norme PCI qui sont généralement calculés et perçus par votre entreprise processeur des paiements.
Ces variables nous empêchent d'établir le coût exact de la conformité à la norme PCI. Toutefois, les organisations de plus petite taille peuvent s'attendre à payer entre 300 $ et 500 $† par an pour devenir conformes et le rester. À titre comparatif, une multinationale pourrait avoir à débourser entre 70 000 $ et 100 000 $† par an pour remplir le même objectif.
C'est cependant la non-conformité qui s'avère la plus coûteuse. Même si votre organisation n'est jamais victime de fraude, tout manquement à satisfaire aux lignes directrices en matière de sécurité pourrait entraîner des amendes allant de 5 000 $ à 100 000 $* – par mois – jusqu'à ce que les problèmes soient résolus. En cas de fraude, vous pourriez devoir assumer les pertes financières. Les violations de données mènent souvent à des batailles juridiques et des enquêtes onéreuses, sans parler de la baisse de confiance des consommateurs et la diminution des ventes.‡
Démystifier la conformité à la norme PCI DSS et la certification PCI PTS
Maintenant que vous connaissez les objectifs et conditions de la PCI DSS, que devriez-vous faire avec ces informations? Votre entreprise sera évaluée en fonction de ces lignes directrices en matière de sécurité, que vous le vouliez ou non. Mieux vaut donc comprendre leurs conséquences pour vos tâches et responsabilités quotidiennes.
Utilisation d'appareils certifiés PCI PTS
Si vous utilisez un terminal point de vente (PDV)(~/ca/small-business-resources/what-is-a-pos-system-and-how-do-i-choose-one "point-of-sale device (POS)") datant déjà de quelques années, vous risquez de ne pas être protégé des menaces éventuelles dans le respect des normes de sécurité actuelles.
Pour vous simplifier la tâche en matière de sécurité, vous pouvez commencer par utiliser un PDV moderne, plus particulièrement un modèle certifié PCI PTS (Payment Card Industry PIN Transaction Security). Songez à la certification PTS comme la norme PCI, mais pour les terminaux de paiement. Les fournisseurs de PDV comme Clover, qui proposent des terminaux de paiement, peuvent soumettre leurs appareils aux fins d'inspection et de certification pour garantir qu'une tierce partie ne sera pas en mesure d'accéder aux informations concernant le titulaire de la carte et son NIP.
Tous les appareils point de vente de Clover sont certifiés PTS, ce qui permet aux commerçants très occupés de se libérer d'une part du fardeau imposé par la conformité à la norme PCI. Un élément essentiel de la certification PTS est le chiffrage point à point (P2PE). Le P2PE intégré dont profitent les commerçants qui possèdent des systèmes PDV Clover récents facilite grandement le processus de conformité à la norme PCI.
Lutte contre les frais cachés
Si vous bricolez votre propre système de traitement des paiements, ou si vous utilisez des appareils qui ne sont pas dotés du P2PE, vous pouvez vous offrir les services de consultants externes en conformité à la norme PCI pour inspecter votre entreprise et adapter vos systèmes afin de répondre aux exigences essentielles. A priori, vous pourriez penser économiser de l'argent en n'optant pas pour un système PDV moderne, mais lors de l'établissement de votre budget, n'oubliez pas de prévoir les honoraires de ces consultants en conformité. Le montant de la facture peut rapidement grimper.
Évaluation de la conformité à la norme PCI et rapport
La conformité à la norme PCI est évaluée de deux façons : questionnaires d'auto-évaluation et audits. En règle générale, les entreprises doivent répondre à un questionnaire d'auto-évaluation annuellement et être auditées chaque trimestre pour garantir leur conformité.
Répondre à un questionnaire une fois par an peut sembler plutôt simple, mais ce sont la structure de votre entreprise et le nombre de transactions par carte que vous traitez qui déterminent lequel des huit questionnaires d'auto-évaluation différents vous devrez choisir de répondre.
Ce qui au départ pouvait ressembler à une simple liste de conditions à cocher peut rapidement se transformer en plus de 200 questions portant entre autres sur vos réseaux, vos systèmes de connexion et votre stockage de données. Voici des exemples de questions figurant dans le questionnaire complet que doivent remplir les commerçants dont les appareils ne sont pas certifiés P2PE :
- Les pare-feu de périmètre sont-ils installés entre tous les réseaux sans-fil et l'environnement des données de titulaires de carte, et ces pare-feu sont-ils configurés pour refuser ou, si nécessaire à des fins professionnelles, autoriser uniquement le trafic entre l'environnement sans-fil et l'environnement des données des titulaires de carte?
- Existe-t-il un schéma du réseau actuel comprenant toutes les connexions entre l'environnement des données de titulaires de carte et les autres réseaux, y compris les réseaux sans fil?
- Un processus formel existe-t-il pour l'approbation et le test de toutes les connexions réseau et des changements apportés aux configurations de pare-feu et de routeur?
Répondre à ces questions s'avère souvent complexe et laborieux. En choisissant de travailler avec un système PDV Clover, vous n'aurez pas à répondre à la plupart d'entre elles. Les appareils certifiés P2PE de Clover comportent de multiples unités centrales afin de protéger les données, même dans l'éventualité où un virus s'introduirait dans le système. Leur chiffrage avancé protège les informations des consommateurs, depuis le moment où elles sont saisies jusqu'à la fin de la passerelle de paiement. Les commerçants bénéficiant de ce niveau de sécurité intégré dans leurs appareils n'ont qu'à répondre à un questionnaire PCI abrégé qui peut ne comporter que 5 questions, par rapport à la version complète qui en compte plus de 200.
Outre votre questionnaire d'auto-évaluation annuel, vous devrez vous prêter à quatre audits de vos systèmes par an. Si vos systèmes sont conformes, ces vérifications électroniques seront un jeu d'enfant Par contre, si vous vous êtes autorisé quelques raccourcis en pensant que cela vous fera gagner du temps ou économiser de l'argent, préparez-vous à un vrai casse-tête.
Si vous faites appel aux services de Clover Security, vous recevrez des rappels automatisés vous invitant à planifier et effectuer ces audits, en plus d'un questionnaire guidé pour effectuer votre auto-évaluation. Cela signifie que vous passerez plus de temps à gérer votre entreprise, et moins de temps à vous inquiéter de la protection de vos données de paiement.
Conséquences de la non-conformité à la norme PCI
Quoiqu'il puisse être tentant d'ignorer vos obligations de conformité à la norme PCI, vous courez le risque d'être victime de piratage, de perdre des clients, d'engager des frais et éventuellement de perdre entièrement le privilège d'accepter les paiements par carte de crédit.
Comportements menant à la non-conformité
Il existe de nombreux comportements où vous pouvez finir par ne plus vous conformer. En voici quelques-uns :
- Omettre de remplir votre questionnaire d'auto-évaluation annuel
- Remplir partiellement votre questionnaire d'auto-évaluation et/ou y inclure des informations inexactes
- Omettre de vous prêter aux audits trimestriels de réseau
- Omettre de prendre les mesures recommandées par les experts de la conformité à la norme PCI
- Utiliser les mêmes identifiants de connexion ou noms d'utilisateur pour plusieurs employés
- Utiliser les mots de passe par défaut pour vos réseaux ou votre équipement
- Utiliser un réseau Wi-Fi public pour certaines de vos transactions si vous rencontrez un problème de réseau ou si vous êtes hors site
Les petites entreprises sont-elles sujettes à un risque de piratage?
Vous pourriez penser que les pirates informatiques sont attirés par les grandes entreprises plutôt que par les petites. Bien que les médias ne parlent que des violations de données dans les grandes entreprises, il est encore plus important pour les plus petits acteurs de se conformer à la norme PCI, car les commerçants de cette catégorie sont souvent les plus vulnérables aux attaques frauduleuses.
Les chiffres parlent d'eux-mêmes : 43 % des cyberattaques visent les petites entreprises§. Qui plus est, 60 % des petites et moyennes entreprises victimes de violations des données avaient mis la clé sous la porte dans les six mois suivants‖. Les pirates informatiques savent que plus l'entreprise est petite, moins elle risque d'avoir du personnel attitré à sa sécurité, laissant ainsi des failles potentielles permettant l'accès à distance et l'introduction de logiciels ou codes malveillants.
Coûts de la non-conformité
Les amendes officielles associées à la non-conformité ne sont pas exorbitantes. Elles tournent généralement autour de 20 $ par mois, bien que chaque fournisseur de services ait le droit de fixer les taux de pénalité à sa discrétion. Cependant, ces frais ne représentent que le sommet de l'iceberg si l'on considère les coûts réels de la non-conformité.
Si votre petite entreprise est piratée, les pertes moyennes encourues sont de 79 841 $¶. Est-ce que votre entreprise peut se permettre de voir près de 80 000 $ disparaître en un claquement des doigts? Il s'agit d'une facture salée pour la plupart des commerçants, ce qui explique pourquoi un si grand nombre de victimes de piratage informatique ferment boutique moins de six mois plus tard.
De plus, la non-conformité pourrait conduire au retrait de vos privilèges par les sociétés émettrices de cartes de crédit. Ce sera probablement la fin de votre entreprise si vous ne pouvez plus accepter les cartes de crédit, ou si vous avez soudain la réputation d'une entreprise offrant une sécurité en dessous de la norme.
Conformité PCI dans le contexte des petites entreprises
La plupart des petits commerçants ouvrent une entreprise parce qu'ils sont passionnés par les produits et services. Il y a de fortes chances que votre passion n'implique pas l'adhésion aux conditions imposées par la norme PCI. Toutefois, maintenant que vous comprenez tout l'intérêt de la conformité, par où devriez-vous commencer?
Conformité PCI pour les propriétaires des petites entreprises (ou l'importance de connaître votre niveau)
Les commerçants se voient attribuer différents niveaux de conformité en fonction du volume et type de transaction qu'ils traitent. La plupart des petites et moyennes entreprises se classent dans le Niveau commerçant 4, regroupant les commerces électroniques qui traitent moins de 20 000 transactions par an et les commerces ayant pignon sur rue qui en traitent moins d'un million annuellement. Votre Niveau commerçant, de même que d'autres informations concernant la configuration de votre système de paiement, déterminent quel questionnaire d'auto-évaluation vous devrez remplir.
Choix du bon système PDV pour faciliter la conformité PCI
Il fut un temps où il suffisait d'une caisse enregistreuse et d'un produit pour lancer votre entreprise. Mais à partir du moment où vous prévoyez d'accepter les paiements par carte de crédit, vous devez établir un partenariat avec une entreprise de traitement des paiements par carte de crédit. De nos jours, les systèmes PDV amalgament le traitement des transactions avec d'autres services aux commerçants afin de propulser votre entreprise sur la voie du succès.
Un système PDV comme celui de Clover vous permet de vous conformer à différentes conditions de la norme dès son installation. En optant pour l'équipement certifié PTS et le chiffrage P2PE, vous aurez peu d'efforts à faire pour respecter les règles. Si vous choisissez en plus de faire appel aux services de Clover Security, vous bénéficierez de rappels automatiques ainsi que d'une assistance lors de vos audits et au moment de remplir votre questionnaire d'auto-évaluation.
Conclusion
Quelle que soit leur taille, les entreprises sont toutes susceptibles de subir les attaques de pirates informatiques et être victimes de violations de données pouvant menacer leur succès. La voie de la conformité à la norme PCI peut être complexe, mais si vous avez les bons partenaires en matière de traitement des paiements et si vous prenez les mesures qui s'imposent pour que votre entreprise reste conforme à la norme PCI, vous pourrez dormir sur vos deux oreilles en sachant que votre protection est assurée. Continuez à vous renseigner sur l'évolution des normes et montrez du même coup à vos clients que vous prenez leur sécurité très au sérieux. Il vous incombe de protéger les données de vos clients : Clover est là pour vous aider à atteindre votre objectif.
† https://www.securitymetrics.com/blog/how-much-does-pci-compliance-cost
* https://www.varonis.com/blog/pci-compliance/
‡ https://www.metacompliance.com/blog/5-damaging-consequences-of-a-data-breach/
§ https://smallbiztrends.com/2017/01/how-to-protect-your-small-business-against-a-cyber-attack.html
¶ https://smallbiztrends.com/2018/12/cost-of-a-cyber-attack-small-business.html