Paiements par carte de crédit et standard PCI-DSS : Que faire concrètement?

Si votre organisation accepte des paiements par carte de crédit, traite, conserve ou reçoit des informations de cartes de crédit, elle est tenue de se conformer au standard PCI DSS, qui définit les exigences de sécurité pour les transactions par carte de crédit.

Pour une entreprise traitant moins de 6 millions de transactions par carte de crédit, la mise en conformité avec le standard PCI DSS peut être réalisée en 4 étapes :

1- La première étape consiste à réaliser une cartographie des personnes, applications et systèmes ayant un contact avec des informations de cartes de crédit.

2- La seconde étape consiste à sélectionner le questionnaires d’auto-évaluation « SAQ » qui correspond à votre manière de travailler avec les informations de cartes de crédit :

broken image

Il est conseillé de se faire assister lors de la sélection d’un SAQ et de valider ce choix avec l’organisme qui gère vos paiements par carte de crédit (banques, fournisseurs de solutions de paiement).

3- La troisième étape, sera de mettre votre organisation en conformité avec le standard PCI-DSS. Pour ce faire, les personnes, applications et systèmes cartographiés à l’étape 1, ainsi que les systèmes pouvant communiquer avec ces applications/systèmes, devront respecter les contrôles dictés dans le formulaire d’auto-évaluation PCI-DSS « SAQ » sélectionné à l’étape 2. A ce stade, l’intervention d’un professionnel est vivement conseillée afin de réduire le champ d’application du standard PCI-DSS. Sans quoi l’organisation entière risque de devoir se conformer aux contrôles dictés par le standard. Ce qui peut être inutilement long et coûteux.

4- La dernière étape sera la complétion du formulaire SAQ d’auto-évaluation et sa soumission aux établissements bancaires et clients qui vous demanderont ce rapport.

A partir du 31 mars 2025, la mise en œuvre de DMARC sera obligatoire dans la version 4.0 des normes de sécurité PCI (Payment Card Industry) pour protéger les entreprises contre les attaques par e-mail telles que l'hameçonnage. DMARC, recommandé par le PCI SSC, sera exigé pour une authentification robuste des e-mails.

Pour aller plus loin :

Le site du standard PCI DSS :

https://www.pcisecuritystandards.org 

Liste des questionnaires d’auto-évaluation (SAQ) : https://www.pcisecuritystandards.org/document_library?category=saqs#results 

Framework vous permettant de bien « scoper » les systèmes/applications/utilisateurs qui devront respecter le standard PCI-DSS :
https://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/OpenPCIScopingToolkit.pdf 

Des questions concernant cet article ? 
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde. 
Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com 

Billet précédentBillet suivant
Utilisation des cookies
Nous utilisons des cookies pour améliorer l'expérience de navigation, la sécurité et la collecte de données. En acceptant, vous consentez à l'utilisation de cookies à des fins publicitaires et d'analyse. Vous pouvez modifier vos paramètres de cookies à tout moment. En savoir plus
Accepter tout
Paramètres
Refuser Tout
Paramètres des Cookies
Cookies nécessaires
Ces cookies sont destinés pour des fonctionnalités de base telles que la sécurité, la gestion du réseau et l'accessibilité. Ces cookies ne peuvent pas être désactivés.
Cookies pour les statistiques
Ces cookies nous aident à mieux comprendre comment les visiteurs interagissent avec notre site web et nous aident à découvrir les erreurs de navigation.
Préférence pour les Cookies
Ces cookies permettent au site web de se souvenir des choix que vous avez faits afin de fournir une fonctionnalité et une personnalisation améliorées.
Enregistrer