Lorsqu’une organisation accepte des paiements en ligne, il est important de bien protéger les données de paiement. Les informations relatives aux cartes de paiement constituent une cible de choix pour les cybercriminels. C’est pourquoi le secteur des paiements impose des exigences de sécurité spécifiques.
C’est pourquoi les grandes marques de paiement telles que Visa et Mastercard ont élaboré la norme PCI DSS (Payment Card Industry Data Security Standard). Il s’agit de la norme internationale applicable aux organisations qui traitent, stockent ou transmettent des données de cartes de paiement. Aujourd’hui, les entreprises appliquent cette norme dans le monde entier.
Ces exigences s’appliquent à toute organisation qui accepte les paiements par carte. Cela va des petites boutiques en ligne aux grandes entreprises internationales. Même lorsque les paiements sont traités par un prestataire de services de paiement externe, certaines obligations peuvent continuer de s’appliquer.
1. Questionnaire d’auto-évaluation en ligne (SAQ)
Le questionnaire d’auto-évaluation est un outil permettant aux organisations de démontrer qu’elles respectent les exigences de sécurité applicables à leur situation. Il existe différentes versions de ce questionnaire, en fonction du mode de traitement des paiements.
Remplir correctement le SAQ aide les organisations à mieux cerner leurs responsabilités et les éventuels points à améliorer en matière de sécurité.
2. Analyses de vulnérabilité et rapports
Outre le questionnaire, de nombreuses organisations doivent effectuer périodiquement des analyses de vulnérabilité. Celles-ci permettent de vérifier si les sites web, les systèmes et les réseaux présentent des failles de sécurité connues.
À l’issue de l’analyse, un rapport est établi, dans lequel les éventuelles vulnérabilités sont décrites. Ce rapport peut servir de preuve auprès des banques, des prestataires de paiement ou des auditeurs.
Cette norme de sécurité a pour objectif de réduire les risques liés aux données de paiement. En effectuant régulièrement des contrôles visant à détecter les vulnérabilités et en documentant de manière vérifiable les mesures de sécurité mises en place, on réduit le risque de fuites de données et de fraude.
Trust Guard accompagne les organisations dans ces deux volets du processus de conformité. Grâce à un environnement SAQ en ligne, les questionnaires peuvent être facilement remplis et gérés. De plus, Trust Guard effectue des analyses automatiques des vulnérabilités et fournit des rapports clairs pouvant être utilisés à des fins de conformité.
