La norme de sécurité des données du secteur des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité conçues pour garantir que les entreprises qui acceptent et traitent les informations de carte de crédit et de débit le font dans un environnement sûr et sécurisé.
Quel que soit votre secteur d'activité ou votre taille, si vous acceptez les paiements par carte et si vous traitez, transmettez et stockez les données des titulaires, vous devez héberger vos données en toute sécurité avec un fournisseur d'hébergement conforme à la norme PCI.
$config[code] not foundLe PCI Security Standards Council a été créé en 2006 par les cinq principales marques de cartes de crédit - American Express, Visa, MasterCard, les bureaux de crédit japonais (JCB) et Discover. Bien que chaque marque de carte de crédit dispose de ses propres programmes de conformité, les normes PCI en sont la base.
Bien que le Conseil n'ait aucune autorité légale, si votre entreprise a l'intention d'accepter les transactions par carte de crédit ou de débit, elle devra adhérer aux normes PCI.
Qu'est-ce que la conformité PCI?
PCI comprend un ensemble de 12 exigences spécifiques qui couvrent six objectifs. Les objectifs fondamentaux sont de maximiser la sécurité en matière de paiement et d’informer les commerçants sur la manière de devenir plus sûr. Et cela signifie construire et maintenir un réseau sécurisé, protéger les données des détenteurs de cartes et tester et surveiller régulièrement les réseaux.
Vous trouverez quatre niveaux de conformité PCI différents en fonction du volume de transactions que votre entreprise effectue sur une période de 12 mois. Le volume des transactions provient du nombre total de transactions Visa effectuées, y compris les transactions par carte de crédit, de débit et prépayée d’un commerçant faisant de la comptabilité en tant que "DBA".
Si vous vendez sous plus d'un administrateur de base de données, tenez compte du volume global des transactions traitées, stockées ou transmises pour déterminer votre niveau de validation.
Si votre société traite 20 000 transactions ou moins chaque année ou si les données de la carte sont traitées uniquement par des fournisseurs tels que des fournisseurs de cartes d'achat, votre entreprise aura moins d'exigences PCI et sera classée au niveau 4.
Si votre entreprise traite entre 20 000 et 1 million de transactions par an, vous serez classé au niveau 3. Les entreprises traitant entre 1 et 6 millions de transactions par carte au cours d'une période de 12 mois sont classées au niveau 2. Chaque niveau entraîne un nombre supérieur. des exigences de conformité.
Le niveau 1 contient le plus grand nombre d'exigences de conformité réservées aux entreprises qui traitent au moins 6 millions de transactions par an ou qui stockent leurs propres données de carte, écrivent leur propre code et exploitent leurs propres serveurs.
Quel sera le coût de la conformité PCI pour mon entreprise?
Pour une entreprise de niveau 4 avec des données de carte de crédit stockées électroniquement sur son site ou des systèmes de traitement avec une connectivité en ligne, un fournisseur de numérisation approuvé doit régulièrement effectuer une numérisation de site Web ou de réseau. Le personnel de l’entreprise doit également remplir un questionnaire d’auto-évaluation et une attestation de conformité. Cela pourrait coûter aussi peu que 60 $ par mois.
Si votre entreprise est au niveau 3, les coûts associés à une analyse régulière du site Web ou du réseau par un fournisseur d'analyse agréé et à la réalisation du questionnaire d'auto-évaluation et de l'attestation de conformité annuels peuvent s'élever à 1 200 USD par an.
Pour les entreprises de niveau 2, ce coût pourrait atteindre 10 000 à 50 000 dollars par an, en fonction du nombre d'adresses IP et de la taille de votre réseau.
Pour les entreprises de niveau 1 de conformité PCI, les coûts peuvent aller de 50 000 USD à plus d'une analyse régulière du réseau par un fournisseur d'analyse agréé, mais aussi d'une attestation de conformité et d'un rapport de conformité annuel par un évaluateur de sécurité qualifié.
Que peut faire mon entreprise pour répondre aux exigences PCI?
Comme suggéré ci-dessus, pour garantir la conformité PCI, vous devez effectuer des analyses régulières du site Web ou du réseau par un fournisseur d'analyse agréé - quel que soit le niveau de classification de votre entreprise. Les entreprises de niveau 1 devront également être assistées par un évaluateur de sécurité qualifié pour effectuer des évaluations annuelles sur site.
Pour les petites entreprises qui gèrent moins de 6 millions de transactions par carte de crédit et de débit par an, le respect des normes de conformité PCI ne nécessite que l'assistance d'un fournisseur de numérisation approuvé et certaines tâches effectuées par votre propre personnel.
Photo via Shutterstock
En savoir plus sur ce qui est un commentaire ▼
