L’essor du e-commerce entraîne l’exécution de nombreuses transactions financières en ligne, dont beaucoup impliquent des paiements d’achats par carte de crédit. L’augmentation des paiements en ligne se traduit logiquement par la croissance des cas de fraude liée aux cartes de crédit. Les numéros de carte et les détails des titulaires constituent des données sensibles qui exigent une protection absolue afin d’éviter un mauvais usage et de sécuriser l’information.
À titre donc de mesure de sécurité stratégique, les entreprises et les fournisseurs gérant des données de carte bancaire doivent à présent respecter des normes de sécurité strictes établies par les principaux émetteurs de cartes comme VISA, MasterCard, American Express, etc. pour prévenir les violations de sécurité et protéger les détails des titulaires. La norme à suivre est une série d’exigences de sécurité connue sous le terme PCI DSS (Payment Card Industry Data Security Standard). Elle s’applique à tous les membres, les commerçants et les fournisseurs de services qui stockent, traitent ou transmettent les données des titulaires quel que soit le type de transaction (point de vente, téléphone, e-commerce, etc.).
PCI DSS désigne une norme de sécurité des données du secteur des cartes de paiement. Il s’agit d’une norme de sécurité à plusieurs facettes qui comprend des exigences de gestion de la sécurité, des politiques, des procédures et des mesures de protection en matière d’architecture réseau, de conception logicielle et autre. Elle représente une série de règles que les entreprises traitant des données de titulaire de carte doivent respecter pour garantir leur protection. La norme PCI DSS comprend 12 exigences générales visant à :
Cette norme est régie par le Conseil des normes de sécurité PCI https://www.pcisecuritystandards.org/
Les organisations qui stockent et traitent les données de carte bancaire de leurs clients, peu importe la taille ou la nature de leur activité, courent toujours un haut risque de détournement des données de titulaire par des criminels et d’autres acteurs malveillants. Ces violations de sécurité entraînent des amendes infligées par les émetteurs de carte bancaire, des litiges et une perte de confiance, voire financière. Les émetteurs de carte bancaire infligent de lourdes amendes jusqu’à 500 000 $ si une entreprise ne respecte pas la norme PCI DSS. L’entreprise court aussi le haut risque de se voir interdire la gestion de données de titulaire en cas de non-conformité ou de perte de données. La mise en conformité avec la norme PCI DSS est donc une priorité première de ces entreprises.
PMP signale les violations des exigences de la norme de sécurité PCI DSS dans le réseau en rapport avec les pratiques d’utilisation et de gestion de mots de passe d’administration partagés, de compte de logiciels ou de services de divers systèmes. Ce rapport couvre les exigences 2, 3, 7, 8, 10 et 12 de PCI DSS.
On peut générer des rapports de conformité distincts pour chaque exigence de PCI DSS. On peut aussi générer un rapport PCI DSS global.