FINANCES PERSONNELLES
+ L’achat d’une propriété aux États-Unis
+ Inquiétudes post-emploi
+ Plus
PME
+ En mode survie
+ 10 services valeur ajoutée
+ Marchés étrangers
+ La juste evaluation
+ Faire croître ma PME
+ Vos actifs à la rescousse
+ Plus
IFRS et ISA
+ Sept normes côte à côte
+ Normes canadiennes d'audit
+ Pour réussir le passage obligé
+ Plus
TECHNOLOGIES
+ Systèmes CRM
+ Gestion de performance
+ Enquête 2011 sur les logiciels
+ Plus
LIEU DE TRAVAIL
+ Profession plurielle
+ La RSE : vraiment gagnante
+ Santé et productivité
+ Prévention de la fraude
+ CV chronologique gagnant
+ Gare aux fausses notes
+ Générations et objectifs
+ Les primes gardent la cote
+ Plus
ÉTUDIANTS CA
+ Certifié entreprise
+ Destination: CA
EXPERTISE
+ Les prix de transfert
+ Plus
+ Informations et contacts
RSS
+ Recevez les nouvelles qui vous intéressent
NOUVELLES EN LIGNE
+ Notre cyberlettre mensuelle
Les exigences de la norme PCI
Par Jeff Kress
Illustration : Baiba Black
Un client commerçant encourt de sérieux risques s’il ne se conforme pas à la norme de sécurité des données de cartes de crédit
Que ce soit en ligne ou au magasin, les achats par carte de crédit font partie de la vie quotidienne. Certaines personnes s’inquiètent peut-être de la sécurité des opérations sur Internet, mais la plupart supposent en général que les données stockées sur les cartes de crédit et les renseignements personnels connexes fournis aux commerçants sont protégés. Mais le sont-ils vraiment?
Selon les analystes, la fraude financière a dépassé toutes les formes de pertes informatiques en 2007. La perte la plus notable associée aux cartes de crédit a été celle de TJX (société mère de HomeSense et de Winners) en 2006, pour laquelle un bris de sécurité a donné lieu à la perte de 45 millions de numéros de carte de crédit et de débit.
Les pertes de TJX excéderaient le milliard de dollars américains. Le manquement à la sécurité de TJX est le résultat de contrôles inadéquats. De plus, TJX pourrait aussi avoir perdu des renseignements personnels de ses clients, comme des numéros de permis de conduire. Le problème, c’est que TJX n’est pas un cas isolé. De nombreux commerçants ont des contrôles de sécurité inadéquats pour protéger les renseignements stockés sur les cartes de crédit.
Pour faire face au problème de la fraude financière, les grandes sociétés émettrices de cartes de crédit ont créé une organisation, appelée Payment Card Industry Standards Council (PCI). Elle a pour objectif d’établir des normes visant à rehausser la sécurité des données sur les paiements par carte de crédit. De cet effort est née la norme de sécurité des données de PCI.
Les commerçants qui conservent, traitent ou transmettent des données sur les détenteurs de cartes doivent respecter la norme PCI. Des rapports indiquent que le taux de conformité des commerçants s’améliore.
Le 22 janvier 2008, Visa a annoncé qu’à la fin de 2007, 77 % des grandes entreprises marchandes et 62 % des commerçants de taille moyenne respectaient les exigences de la norme PCI. Ces chiffres représentent une nette amélioration par rapport à l’année précédente, où moins de 20 % de ces entreprises étaient réputées conformes. Ces deux catégories de commerces représentent près des deux tiers du volume de transactions de Visa. Par contre, les petits marchands et les organismes gouvernementaux adhèrent plus lentement aux exigences de PCI.
PCI exige que les commerçants vérifient leur conformité à la norme de sécurité des données. Le volume de transactions par carte de crédit du commerçant détermine les étapes de la validation. Les plus gros commerçants sont tenus de faire faire une vérification annuelle sur place et des analyses trimestrielles de leurs réseaux par des évaluateurs agréés. Dans le cas des plus petits marchands, des autoévaluations peuvent être suffisantes.
Comme les niveaux des marchands en fonction du volume de transactions varient d’une société émettrice de cartes à l’autre, il faut se reporter à la convention du marchand pour connaître les conditions particulières.
Bien que les exigences de validation de la conformité diffèrent, les commerçants de toutes tailles qui conservent, traitent ou transmettent des données sur les titulaires de carte doivent se conformer à tous les aspects de la norme PCI, sous peine d’amende et/ou de résiliation des services de traitement.
L’inobservation des exigences de PCI peut être coûteuse pour le commerçant. Si la sécurité de ses systèmes est atteinte, le commerçant est responsable de tous les coûts associés à l’utilisation inappropriée des cartes de crédit, ainsi que de tous les frais liés à la communication avec les consommateurs, à l’annulation des cartes de crédit en circulation, à l’émission de nouvelles cartes et aux vérifications exécutées par un juricomptable.
Selon les analystes, ces coûts se situent entre 100 $ et 300 $ par carte de crédit. Un manquement à la sécurité peut nuire à la réputation du commerçant et entraîner une perte de clientèle, ainsi que des poursuites de la part des consommateurs. Les sociétés émettrices de cartes de crédit peuvent aussi imposer des amendes pour non-conformité, même si aucun bris de sécurité n’est décelé. Pour éviter ces coûts, les commerçants doivent respecter la norme PCI.
La norme de sécurité des données de PCI vise six objectifs :
1) Établir et maintenir un réseau sécurisé
La plupart des commerçants pensent que leurs systèmes de carte de crédit sont sécurisés. Mais au sens de PCI, qu’est-ce qu’un système de carte de crédit?
La norme PCI considère comme des systèmes de carte de crédit tous les réseaux, serveurs ou applications reliés aux systèmes de conservation, de traitement ou de transmission de l’information stockée sur les cartes de crédit. La conformité à si grande échelle à la norme PCI peut être difficile à réaliser. La solution consiste à configurer les systèmes de carte de crédit de manière à les isoler des autres systèmes des commerçants.
La norme PCI stipule deux exigences principales en matière d’établissement et de maintien d’un réseau sécurisé. La première est l’installation et la maintenance d’une configuration de pare-feu pour protéger les données sur les titulaires de carte.
Les pare-feu doivent interdire l’accès externe à tous les systèmes de carte de crédit. De plus, la norme PCI prescrit le changement des mots de passe système par défaut que fournissent les fabricants. Le maintien des paramètres et des mots de passe implicites installés par le fournisseur constitue une infraction courante à la norme.
2) Protéger les données sur les titulaires de carte de crédit
Il faut réduire au minimum les données conservées sur les titulaires de carte. L’information stockée sur les cartes de crédit doit être protégée au moyen de méthodes de cryptage fort.
Le fait de stocker les données de la bande magnétique des cartes de crédit constitue une autre infraction courante. Ces données contiennent toute l’information dont un criminel a besoin; elles ne devraient jamais être conservées en mémoire.
Les renseignements dont dispose PCI indiquent que la plupart des commerçants ignorent que leurs systèmes conservent les données complètes stockées sur la bande magnétique.
3) Maintenir un programme de gestion de la vulnérabilité
Il est important de protéger les systèmes contre les menaces comme les virus informatiques et il faut suivre les processus appropriés pour y apporter des modifications.
Les commerçants qui recueillent l’information sur les cartes de crédit à partir de leurs sites Web de commerce électronique doivent adopter des processus de sécurité rigoureux pour développer et surveiller leurs sites. Les faiblesses incluent l’absence ou la désuétude des correctifs de sécurité; les applications Web présentent souvent des lacunes que n’importe quel internaute peut exploiter.
4) Mettre en place de solides mesures de contrôle de l’accès
On doit limiter l’accès à l’information sur les titulaires de carte aux personnes qui ont besoin de la connaître. Des comptes d’utilisateur partagés par des groupes, ou des mots de passe qui ne sont pas changés régulièrement ou qui ne respectent pas des normes minimales sont inacceptables.
Par ailleurs, les contrôles d’accès inadéquats en raison d’une mauvaise installation de l’équipement de point de vente du commerçant constituent une faiblesse. Si les données des cartes de crédit sont stockées sur des systèmes, comme c’est généralement le cas, la norme PCI exige des contrôles physiques rigoureux des installations du marchand.
5) Surveiller et tester régulièrement les réseaux
Les commerçants doivent suivre de même que surveiller tous les accès aux ressources du réseau et aux données sur les titulaires de carte, ce qui implique l’accès régulier aux systèmes à des fins de surveillance. Tous les systèmes de carte de crédit doivent être mis à l’épreuve régulièrement; les exigences de la norme PCI à cet égard sont explicites et détaillées. Par exemple, il faut procéder à une évaluation des vulnérabilités au moins chaque trimestre de même qu’après toute modification importante du réseau. Il faut également tester les systèmes chaque année, ce qui comprend notamment un essai de pénétration du réseau et de la couche applicative. La norme exige également la mise en place de systèmes efficaces de détection des intrusions pour alerter le personnel d’un éventuel bris de sécurité.
Une surveillance inadéquate ou inexistante constitue une faiblesse. Les commerçants ont souvent de la difficulté à satisfaire aux exigences de surveillance et d’essai des réseaux imposées par la norme PCI. Ils peuvent toutefois segmenter le réseau de manière à isoler les systèmes de carte de crédit, et réduire ainsi le temps et les sommes d’argent consacrés au respect de ces exigences.
6) Maintenir une politique de sécurité de l’information
Les commerçants doivent se doter d’une politique de sécurité rigoureuse qui soit en mesure de donner le ton à l’ensemble de l’entreprise. Les processus de sensibilisation du personnel doivent faire en sorte que les employés connaissent leurs responsabilités au chapitre de la sécurité de l’information.
De nombreux manquements à la sécurité découlent du fait que le personnel ne connaît pas bien son rôle dans la protection des données de l’entreprise.
Qu’arrive-t-il alors si un commerçant ne peut satisfaire à une exigence de la norme PCI? Celle-ci permet aux marchands de mettre en œuvre des contrôles compensatoires, s’ils sont en mesure de prouver qu’ils atténuent le risque couvert par la norme PCI. La norme de sécurité des données de PCI établit des critères de sécurité et de surveillance qui excèdent les capacités existantes de certains commerçants.
Les petits marchands souhaiteraient une norme aux conditions adaptées à leur taille mais, pour le moment, les commerçants qui stockent, traitent ou transmettent des données sur les titulaires de carte sont tenus de respecter la norme PCI.
Et après?
Si vous êtes un commerçant qui stocke, traite ou transmet de l’information provenant de cartes de crédit et que vous n’avez pas évalué votre conformité à la norme PCI, il est temps d’y penser.
Un questionnaire d’autoévaluation complet est disponible sur le site Web de PCI. Cet outil de validation est conçu pour aider les marchands à évaluer leur conformité à la norme.
PCI a publié une nouvelle version de la liste de contrôle en février dernier. En effet, il existe plusieurs versions de cette liste afin de tenir compte des divers processus de stockage, de traitement ou de transmission des données sur les titulaires de carte qu’emploient les commerçants. Pour savoir quelle est la version qui s’applique à votre situation, il faut consulter les instructions et les directives du questionnaire d’autoévaluation.
Il existe quantité d’articles sur PCI et sur la norme de sécurité des données. La meilleure source de conseils et de documents d’information demeure toutefois le site Web de PCI (https://www.pcisecuritystandards.org/index.htm).
Les marchands devraient aussi consulter leur convention de commerçant afin de mieux s’orienter. Les petits commerçants se méprennent en pensant qu’ils ne sont pas assujettis à la norme PCI. Certains croient que la non-conformité à cette norme ne pose aucun problème tant qu’ils font des efforts.
C’est d’ailleurs ce qu’auraient affirmé des sociétés émettrices de cartes de crédit à TJX avant son bris de sécurité. Ça n’a pourtant pas empêché cette société de subir des pertes évaluées à plusieurs milliards de dollars.
Vous et vos clients devez prendre les mesures nécessaires pour protéger les données stockées sur les cartes de crédit afin de ne pas entacher votre réputation, de ne pas perdre des clients et d’être frappés d’une amende ou encore d’être poursuivis en justice.
Jeff Kress, CA•TI, CISA, CISSP, est directeur principal au sein du Bureau du vérificateur provincial de la Saskatchewan. On peut le joindre par courriel à jeffkress@sasktel.net
Yves Godbout, CA•TI, CA•CISA, directeur des services de la TI au Bureau du vérificateur général du Canada, et qui préside l’Alliance pour l’excellence en technologies de l’information de l’ICCA, dirige cette rubrique. On peut le joindre à godbouy@computrad.com.
