Acceptez-vous les paiements par carte de crédit ou de débit dans votre entreprise? Si tel est le cas, il est probable que vous deviez vous conformer à la norme PCI DSS.
La norme PCI DSS établit des mesures minimales de sécurité des données pour les organisations du monde entier qui détiennent, traitent ou échangent des informations sur les titulaires de cartes de toutes les grandes marques de cartes. Les normes sont revues tous les deux ans et ont été révisées pour la dernière fois en octobre 2010.
$config[code] not foundSelon une étude de la National Retail Federation et de First Data, 86% des PME interrogées ont déclaré vouloir se préoccuper de la sécurité des informations de carte client et ont estimé que la sécurité des données de carte était importante pour leur entreprise. Cependant, alors que la plupart (66%) connaissent l'existence de la norme PCI DSS, seuls 49% avaient effectué l'auto-évaluation requise au moment de l'enquête.
Protéger les données des titulaires de carte peut sembler coûteux et un peu accablant pour les propriétaires de petites entreprises, dont la plupart portent déjà plusieurs chapeaux. Cependant, les coûts financiers et de réputation d'une violation peuvent être importants - mettant parfois votre entreprise en péril.
Mais par où commencer? J'espère que vous limitez déjà l'accès physique aux informations des titulaires de cartes et maintenez le logiciel antivirus à jour. Voici d'autres moyens d'augmenter considérablement la sécurité des données tout en réduisant les coûts de conformité:
Crypter les données sensibles La mesure la plus importante qu'une entreprise puisse prendre pour protéger les informations des titulaires de carte consiste probablement à chiffrer les données de la carte immédiatement après le balayage de la carte au point de vente. Les informations doivent rester dans un état crypté pendant leur transmission au processeur de paiement.
Cette étape signifie que la transaction n'est jamais transmise en texte brut dans le relais de trame, la connexion commutée ou la connexion Internet, où le risque existe d'interception par des fraudeurs. Si les données sont siphonnées une fois qu'elles sont cryptées, elles sont pratiquement inutiles pour les voleurs. Réduisez votre "CDE" Chaque système informatique, classeur et application qui utilise ou stocke des données de carte sensibles, y compris des données cryptées, fait partie de l’environnement global des données de titulaire de carte (CDE) et de la conformité à la norme PCI DSS. En d'autres termes, plus vous avez de données, plus vous devez vous préoccuper de la protection de vos données.
Limitez, voire réduisez, la portée de votre CDE en limitant l'utilisation des données de titulaire de carte aux seules applications directement liées aux paiements (par exemple, authentification de transaction, règlements quotidiens et rétrofacturations). Embrasser Tokenization La tokénisation est un complément «en couches» au cryptage. Les données du titulaire de carte sont envoyées à un serveur (coffre-fort) centralisé et hautement sécurisé après autorisation. Un numéro unique aléatoire (le jeton) est généré et renvoyé aux systèmes de l'entreprise pour être utilisé là où les données du titulaire de carte seraient normalement utilisées.
Le jeton est spécifique à la carte et peut toujours être utilisé pour traiter les déclarations, suivre les habitudes de dépense et d’autres fonctions de l’entreprise, mais le numéro lui-même n’a aucune valeur pour les fraudeurs. Cela peut réduire considérablement l'impact d'une éventuelle violation de données. La tokénisation peut également aider à réduire la portée du CDE, car aucune donnée de titulaire de carte n'est présente. Les entreprises qui remplacent les données des titulaires de cartes par des jetons dans toutes leurs applications d'entreprise peuvent réduire considérablement la portée de leur CDE, puis réduire la portée et le coût de la conformité à la norme PCI DSS et des analyses annuelles / trimestrielles. Travailler avec une tierce partie Un autre moyen de réduire l’environnement soumis à la conformité PCI consiste à confier la responsabilité du stockage des données de la carte à un fournisseur de services tiers. Par exemple, une entreprise peut envoyer des données de carte cryptées au processeur de paiement pour autorisation et lorsque la réponse autorisée est renvoyée, un numéro crypté est également envoyé à l'entreprise.
Cette approche permet de chiffrer le chiffrement et la création de jetons tout en réduisant les CDE d’une entreprise au plus petit encombrement possible: le système de point de vente stockant des données de carte de préautorisation en direct. Lève ta main Les entreprises ont la responsabilité de protéger les données de leurs clients, mais vous n’êtes pas obligé de le faire seul. Discutez avec votre prestataire de services de paiement des solutions et des experts pouvant aider votre entreprise à se conformer et à rester conforme. N'oubliez pas que la norme PCI DSS est une norme minimale et que la recherche du ou des partenaires appropriés peut vous aider à prendre des décisions éclairées en matière de protection de vos clients, voire de votre entreprise.
1