Qu'est-ce que la conformité PCI ?

Parking Management ServicesJoe Ritacca
Par écrit

5 minutes de lecture

Publié sur Parking Industry Insights

main avec bouclier de protection contenant une unité monétaire à l'intérieur

La conformité aux normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est exigée par les sociétés de cartes de crédit telles que MasterCard, Visa et American Express afin de protéger les informations des titulaires de cartes contre le vol et l'utilisation abusive. La conformité PCI, comme on l'appelle généralement, fait référence aux normes techniques et opérationnelles que les commerçants doivent respecter pour limiter les violations de données et empêcher l'utilisation frauduleuse des informations relatives aux titulaires de cartes.

Il existe plusieurs exigences à prendre en compte lorsque l'on cherche à atteindre un niveau élevé de conformité PCI. Vous trouverez ci-dessous les réponses aux questions les plus fréquentes concernant la conformité PCI.

1. La conformité à la norme PCI est-elle une exigence pour le traitement financier ? 

La conformité à la norme PCI n'est pas toujours imposée par la loi ; cependant, tous les principaux émetteurs de cartes de crédit exigent le respect des normes à des fins de responsabilité. De nombreuses juridictions ont élaboré des lois sur la protection des données, soit en se référant aux exigences de l'ICP, soit en les alignant sur ces normes.

Certains émetteurs de crédit, comme Visa, exemptent les commerçants des évaluations annuelles de conformité à la norme PCI s'ils prennent d'autres précautions contre la fraude avec des garanties égales ou supérieures, comme EMV ou le cryptage point à point.

2. Quels sont les différents niveaux de conformité PCI et comment les atteindre ? 

Les niveaux de conformité vont du niveau 1, le plus élevé, au niveau 4. Voici une ventilation des exigences à respecter pour chaque niveau de conformité PCI.

  • Conformité PCI de niveau 4 : Pour satisfaire aux exigences du niveau 4, les commerçants traitent généralement moins de 20 000 transactions de commerce électronique ou moins d'un million de transactions réelles par an. Les commerçants sont tenus de soumettre les SAQ pertinents chaque année, avec la possibilité de subir une analyse PCI trimestrielle.

  • Conformité PCI de niveau 3 : Pour répondre aux exigences du niveau 3, les commerçants traitent entre 20 000 et 1 million de transactions de commerce électronique par an. Ils doivent également soumettre chaque année les SAQ correspondant à leur niveau et peuvent être soumis à des analyses PCI trimestrielles. 

  • Conformité PCI de niveau 2 : Pour satisfaire aux exigences du niveau 2, les commerçants doivent traiter entre 1 et 6 millions de transactions par carte de débit et de crédit dans le monde réel. Les commerçants doivent également soumettre des SAQ annuels relatifs à leur environnement et peuvent être soumis à des analyses PCI trimestrielles.

  • Conformité PCI de niveau 1 : Les commerçants qui traitent annuellement plus de 6 millions de transactions réelles par carte de débit et de crédit doivent se soumettre chaque année à un audit interne réalisé par un auditeur PCI agréé. En outre, ils doivent effectuer des analyses de vulnérabilité et des tests de pénétration tous les trimestres auprès d'un fournisseur de services d'analyse agréé afin de conserver leur niveau 1 de conformité.

3. En quoi consiste le processus d'évaluation pour atteindre la conformité PCI ? 

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) comporte six objectifs importants soutenus par 12 exigences essentielles. Celles-ci, à leur tour, comprennent 78 exigences de base et sont évaluées par plus de 400 procédures de test. Les entités suivantes sont prises en compte au cours du processus d'évaluation rigoureux :

  • Évaluateur de sécurité qualifié (QSA) : Les QSA sont des personnes indépendantes qui ont satisfait aux exigences de la norme PCI DSS en matière d'évaluation et qui sont titulaires d'un certificat délivré par le PCI SSC à cet effet.

  • Assesseur de sécurité interne (ISA) : Un ISA est une personne certifiée par le PCI SSC pour effectuer des auto-évaluations PCI au nom de l'organisation qui l'a parrainée. Cette certification permet à ces personnes d'effectuer des évaluations internes de la conformité de l'organisation et de recommander d'autres solutions et contrôles de sécurité pour atteindre ou conserver la conformité PCI. Une partie de leur responsabilité consiste à assurer la liaison avec les QSA et à les aider dans leurs enquêtes, le cas échéant. 

  • Rapport de conformité (ROC) : Le ROC est rempli par tous les commerçants du niveau PCI 1 pour confirmer que leurs politiques, stratégies, approches et flux de travail ont été développés et mis en œuvre de manière appropriée pour protéger les données des titulaires de cartes contre les transactions frauduleuses.

  • Questionnaire d'auto-évaluation (SAQ) : Les questionnaires d'auto-évaluation qu'un commerçant devra remplir dépendront du nombre et du type de transactions qu'il traite au cours d'une année. Toutefois, l'objectif reste le même : attester à la banque de traitement du commerçant qu'il est conscient des exigences et qu'il s'y conforme. Les questions auxquelles il a été répondu par un "non" seront mises en évidence en vue d'une mise en œuvre ultérieure. 

En tant que vendeur ou opérateur de parking, il est recommandé d'atteindre et de maintenir un niveau élevé de conformité PCI. Le respect des protocoles de sécurité les plus stricts du secteur vous permettra de traiter un nombre nettement plus élevé de transactions et vous mettra en position de naviguer avec succès dans les tendances existantes et émergentes en matière d'infrastructure de sécurité des paiements.

 

Références

Ritacca, J. (2021, 6 avril). Guide des niveaux de conformité PCI. Parking Industry. Consulté le 9 janvier 2023 sur https://www.parkingindustry.ca/parking-revenue/a-guide-to-pci-compliance-levels

Ritacca, J. (2021, 15 mars). Objectifs et exigences de la norme PCI-DSS. Parking Industry. Consulté le 9 janvier 2023 sur le site https://www.parkingindustry.ca/parking-revenue/pci-dss-objectives-and-requirements

Ritacca, J. (2021, 24 mars). La conformité PCI : What it means and how it's evaluated. Parking Industry. Consulté le 9 janvier 2023 sur le site https://www.parkingindustry.ca/parking-revenue/pci-compliance-what-it-means-and-how-its-evaluated

Joe Ritacca

Directeur de la recherche et du développement, Precise ParkLink

Précédent

Precise ParkLink soutient les jeunes professionnels en parrainant le programme d'éducation des leaders émergents de BOMA Toronto.
Suivant

Une situation gagnante pour vous et vos clients : Les quatre principaux éléments auxquels votre service de stationnement doit satisfaire en 2023