Dès que vous conservez des données de cartes de clients, vous devez prendre les mesures de sécurité nécessaires. Vous n'avez pas le droit de conserver certaines données et devez les détruire après usage, c'est très important.
La norme PCI
La norme PCI-DSS définit les données que vous pouvez conserver et celles qui doivent être détruites. Le tableau ci-dessous en donne le récapitulatif.
| Données | Stockage autorisé | Sécurisation requise | PCI-DSS 3.4 exigée | |
|---|---|---|---|---|
| Données des détenteurs de cartes | Numéro de carte (PAN) |
OUI | OUI | OUI |
| Nom détenteur de carte* |
OUI | OUI* |
NON |
|
| Code service* |
OUI | OUI* |
NON | |
| Date d'échéance* | OUI | OUI* |
NON |
|
| Données d'authentification sensibles** | Complètes Bande magnétique | NON |
SO | SO |
| CVC2/CVV2/CID |
NON |
SO | SO | |
| PIN/bloc PIN | NON |
SO | SO |
*
Ces données doivent être protégées si elles sont conservées avec le
numéro de carte. Cette sécurisation doit être conforme aux exigences
PCI-DSS et tenir compte de la législation relative à la protection de
la vie privée du détenteur de carte (notamment en ce qui concerne la
protection des données personnelles des consommateurs, la vie privée,
le détournement d'identité ou la sécurisation des données).
Les exigences PCI-DSS ne sont pas d'application lorsque les données de cartes ne sont pas stockées, traitées ou transmises.
** Données d'authentification sensibles / les données d'identification personnelles ne peuvent en aucun cas être stockées, même cryptées.
Un aperçu des exigences PCI-DSS
1. Elaborez et entretenez un réseau sécurisé
- Installez et maintenez une structure de 'firewall' pour protéger les données.
- N'utilisez pas les valeurs standard fournies par le fabricant pour les mots de passe et les autres paramètres de sécurisation. Créez donc immédiatement votre propre mot de passe.
2. Sécurisez les données du détenteur de carte
Si vous envoyez les données du détenteur de carte et des informations sensibles via des réseaux publics, veillez à ce que ces informations soient codées.
3. Connaissez et maîtrisez la vulnérabilité de votre système grâce à un programme de gestion de vulnérabilité
- Utilisez un logiciel antivirus et maintenez-le à jour.
- Développez et maintenez des systèmes et applications de sécurisation.
4. Prenez des mesures de contrôle d'accès sévères
- Limitez l'accès aux données qui sont importantes pour vous.
- Attribuez une identité unique à chaque personne qui a accès à vos systèmes.
- Limitez l'accès physique aux données du détenteur de carte.
5. Contrôlez et testez régulièrement les réseaux
- Controlez chaque accès à des éléments du réseau et aux données du détenteur de carte.
- Testez régulièrement les systèmes et processus de sécurisation.
6. Optez pour une gestion explicite de la sécurité
Assurez une gestion active en matière de sécurisation de l'information.
Guide pour le commerçant
Sécurité des données de la carte : téléchargez ici le Guide à l'usage des commerçant.
