La norme de sécurité des données de l’industrie des cartes de paiement (norme PCI DSS) a été établie par le Conseil des normes de sécurité PCI en vue de protéger les données des titulaires de carte. Tout détaillant qui accepte les paiements par carte doit se conformer à cette norme afin de pouvoir faire affaire avec les sociétés émettrices de cartes de crédit, les banques et les processeurs de paiements.
Un marchant qui est victime d’un vol de données sensibles découlant d’une violation de sécurité ou du piratage de son système peut être tenu responsable de la situation et s’exposer à :
- des pénalités imposées par les associations de cartes;
- une enquête judiciaire;
- une demande de remboursement des coûts d’émission de carte (y compris des pertes imputables à la fraude et des dépenses liées à la surveillance de la fraude) de la part des banques émettrices;
- un litige;
- des amendes.
Certaines sociétés bien connues ont connu des brèches de sécurité très médiatisées qui ont nui à leur réputation et a leur marque. Si vous êtes conforme à la norme PCI DSS, il est très peu probable que votre système soit compromis et encore moins probable que vous subissiez un vol de renseignements sensibles, car les pirates n’auront rien à voler.
Tout le matériel et les logiciels fournis par Lightspeed Payments sont conformes à la norme PCI DSS. Cependant, vous devez tout de même prendre certaines précautions pour assurer un traitement responsable des données sensibles liées aux cartes de paiement.
Traitement des données sensibles liées aux cartes
Pour autoriser une transaction, il est nécessaire d’entrer certains renseignements liés à la carte de crédit. Cela dit, ces données sensibles ne doivent en cas être conservées une fois l’autorisation faite. Certains renseignements, comme le nom du titulaire et la date d’expiration de la carte, peuvent être conservés pour une raison commerciale valide. Cependant, les renseignements jugés sensibles ne doivent pas être conservés. Cette règle ne connaît qu’une seule exception : le numéro de compte primaire (PAN), sur le devant de la carte, qui peut être conservé sous forme tronquée. C’est cette troncation qui fait que seuls les quatre derniers chiffres d’un numéro de carte de crédit sont affichés dans Lightspeed : les autres chiffres sont illisibles.
Les renseignements ci-dessous constituent des données sensibles :
- Numéro de carte de crédit (PAN). Ce numéro peut être conservé tant qu’il est masqué. En général, seuls les quatre derniers chiffres sont visibles lorsque ce numéro est conservé.
- Date d’expiration. Peut être conservée pour une raison professionnelle valable.
- Nom du titulaire de la carte. Peut être conservé pour une raison professionnelle valable.
- CVV2. Ce numéro ne peut en aucun cas être conservé.
Directives sur le traitement des données sensibles
Si vous devez traiter des données sensibles liées à des cartes de crédit, veuillez suivre la procédure ci-dessous afin de réduire les risques au minimum :
- Ne transmettez jamais de numéros de carte (PAN) non protégés par messagerie (par courriel, messagerie instantanée, chat, SMS, etc.).
- Mettez en place des mesures de contrôle (p. ex. verrous, mots de passe) qui permettent de limiter l’accès aux seules personnes concernées.
- Attribuez un identifiant (ID) unique à chaque personne ayant accès aux renseignements. Cette mesure permet de s’assurer que les données et les systèmes critiques sont manipulés par des utilisateurs connus et autorisés qui laissent une trace de leurs actions.
- Protégez de l’altération et de la substitution les appareils qui reçoivent des données de paiement par contact direct avec les cartes. Cela consiste notamment à inspecter périodiquement la surface des appareils de point de vente en vue de repérer tout signe d’altération, et à former le personnel pour le sensibiliser aux activités suspectes.
- Mettez en œuvre un programme officiel de sensibilisation à la sécurité pour que le personnel prenne conscience de l’importance de la sécurité des données des titulaires de carte.
- Vérifiez les candidatures avant l’embauche afin de réduire au minimum le risque d’attaques provenant de l’interne. Il est notamment recommandé de vérifier les antécédents d’emploi, la présence d’un casier judiciaire, l’historique de crédit et les références.
Comment Lightspeed vous aide à maintenir la conformité avec les normes de l’ICP
Lightspeed prend des mesures rigoureuses pour assurer la conformité avec la norme PCI DSS. Notre approche technique en matière de sécurité vise votre protection et celle de vos clients.
- Nous fournissons uniquement du matériel et des logiciels conformes à la norme PCI DSS, et notre plateforme répond également à ses exigences.
- Lightspeed est le nom de marchand qui apparaît sur les relevés pour toute transaction. Nous traitons donc avec les banques en votre nom.
- Nous respectons les normes ICP en vigueur pour gérer notre réseau, sécuriser nos applications web et client, et définir des politiques dans l’ensemble de notre entreprise.
- Le système de paiement intégré de Lightspeed offre le chiffrement de bout en bout de chaque transaction au point de vente et substitue les données aussitôt qu’elles franchissent nos serveurs.
La norme PCI DSS est en constante évolution, et les exigences qui en découlent font l’objet de modifications périodiques. Lightspeed Payments est à l’affût de tous ces changements et s’occupe de garder un œil sur l’industrie pour que vous n’ayez pas à le faire.
Pour demeurer conforme à la norme PCI DSS, il faut se tenir au fait des changements qui touchent l’industrie. Cette conformité peut exiger des évaluations régulières et le remplissage de documents tout au long de l’année. La bonne nouvelle, c’est que Lightspeed se charge de tout cela pour vous! Cela dit, si vous désirez en apprendre davantage sur les mesures que nous prenons, nous vous avons préparé un petit aperçu ci-dessous.
-
La première étape pour se conformer à la norme PCI DSS consiste à déterminer le niveau de norme auquel vous devez satisfaire. Il existe quatre niveaux, mais le seuil à atteindre pour changer de niveau varie selon l’émetteur de cartes. Voici les niveaux et les seuils des quatre principales sociétés émettrices de cartes :
Niveau Visa Mastercard AMEX Discover 1 - traite plus de 6 millions de transactions Visa par année;
- a déjà vu ses données compromises lors d’une brèche de sécurité;
- est considéré comme étant de niveau 1 par Visa.
- traite plus de 6 millions de transactions Mastercard par année;
- a déjà vu ses données compromises lors d’une brèche de sécurité;
- est considéré comme étant de niveau 1 par Mastercard;
- satisfait aux critères de niveau 1 de Visa.
- traite au moins 2,5 millions de transactions AMEX par année;
- est considéré comme étant de niveau 1 par AMEX.
- traite au moins 6 millions de transactions Discover par année;
- est considéré comme étant de niveau 1 par une autre marque ou un autre acquéreur;
- est considéré comme étant de niveau 1 par Discover.
2 - traite de 1 à 6 millions de transactions Visa par année.
- traite de 1 à 6 millions de transactions Mastercard par année;
- satisfait aux critères de niveau 2 de Visa.
- traite de 50 000 à 2,5 millions de transactions AMEX par année.
- traite de 1 à 6 millions de transactions Discover par année.
3 - traite de 20 000 à 1 million de transactions Visa en ligne par année.
- traite de 20 000 à 1 million de transactions Mastercard en ligne par année;
- satisfait aux critères de niveau 3 de Visa.
- traite moins de 50 000 transactions AMEX par année.
- Tous les autres marchands
4 - traite moins de 20 000 transactions Visa en ligne par année;
- traite jusqu’à 1 million de transactions Visa par année.
- Tous les autres marchands
S. O. S. O. -
Une fois que vous avez établi le niveau qui vous correspond, vous savez quelles exigences vous devez respecter pour vous conformer à la norme PCI DSS.
Les marchands de niveau 2, 3 ou 4 doivent remplir un questionnaire d’auto-évaluation annuel (SAQ). Le SAQ contient une série de questions qui concernent les exigences de sécurité applicables à votre entreprise. On y répond par oui ou par non. Puisque les mêmes exigences ne conviennent pas à tous les types d’entreprises, il existe plusieurs versions du SAQ.
Le tableau ci-dessous vous indique le questionnaire qui s’adresse à votre entreprise.
Questionnaire Quels types de paiement par carte de crédit acceptez-vous? Commentaire A
Marchands qui acceptent les transactions sans carte (commerce en ligne, commandes par courrier ou par téléphone), qui sous-traitent le traitement de données de titulaires de carte à des fournisseurs de services tiers dont la conformité avec la norme PCI DSS est validée, et qui ne procèdent à aucun stockage ou traitement ni à aucune transmission par voie électronique de données de titulaires de carte dans leurs systèmes ou leurs installations. Non applicable aux réseaux face à face. A-EP Marchands en ligne qui sous-traitent le traitement des paiements à des fournisseurs de services tiers dont la conformité avec la norme PCI DSS a été validée. Le site Web de ces marchands ne reçoit pas directement les données des titulaires de carte, mais peut avoir une incidence sur la sécurité des transactions. Il n’y a aucun stockage ou traitement ni aucune transmission par voie électronique de données sur les titulaires de carte dans les systèmes ou les installations de ces marchands. Applicable uniquement aux réseaux de commerce en ligne. B Marchands qui utilisent uniquement les appareils suivants : - Dispositifs d’impression qui ne stockent aucune donnée de titulaire de carte par voie électronique
- Terminaux indépendants ou avec ligne directe qui ne stockent aucune donnée de titulaire de carte par voie électronique.
Non applicable aux réseaux de commerce en ligne. B-IP Marchands qui utilisent uniquement des terminaux de paiement certifiés PTS indépendants avec connexion IP au fournisseur de services de paiement, sans stockage des données de titulaires de carte par voie électronique. Non applicable aux réseaux de commerce en ligne. Non applicable aux réseaux de commerce en ligne. C-VT Marchands qui saisissent manuellement les données de carte, une transaction à la fois, sur un terminal virtuel offert et hébergé par un fournisseur de services tiers dont la conformité avec la norme PCI DSS a été validée. Aucune donnée de titulaire de carte n’est stockée par voie électronique. Non applicable aux réseaux de commerce en ligne. C Marchands dont le système de paiement est connecté à Internet, sans stockage de données de titulaires de carte par voie électronique. Non applicable aux réseaux de commerce en ligne. P2PE-HW Marchands utilisant uniquement des terminaux de paiement physiques intégrés et gérés par une solution P2PE validée et conforme à la norme PCI DSS, sans stockage de données de titulaires de carte par voie électronique. Non applicable aux réseaux de commerce en ligne. D Tout marchand qui ne correspond pas à l’une ou l’autre des descriptions précédentes. -
Lightspeed Payments satisfait aux exigences de niveau 1 de la norme PCI DSS. Cela requiert notamment la production de rapports annuels sur la conformité (ROC) et d’attestations de conformité (AOC) ainsi que la réalisation d’analyses trimestrielles de sécurité réseau par un fournisseur de services d’analyse agréé (ASV).
Tout le matériel et les logiciels fournis par Lightspeed Payments sont conformes à la norme PCI DSS. Vous devez prendre certaines précautions pour assurer un traitement responsable des données sensibles liées aux cartes de paiement.
-
Si votre entreprise accepte les cartes de crédit, vous devrez remplir un questionnaire d’auto-évaluation PCI DSS (SAQ) pour démontrer que la sécurité des données est une priorité absolue. Les normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS) sont essentielles pour protéger les consommateurs contre l’usurpation d’identité et la fraude à la carte de crédit.
Le cadre de conformité aux normes de l’ICP est un ensemble de normes mises en œuvre par les principales sociétés de cartes de crédit afin de garantir que tous les marchands traitent, conservent et transmettent les données en toute sécurité. Il exige également que vous présentiez des évaluations ou des rapports annuels attestant de vos contrôles de sécurité.
Si vous utilisez un fournisseur de services de paiement tiers, vous devrez le contacter pour vous renseigner sur votre conformité aux normes de l’ICP.
Pour en savoir plus sur la norme PCI DSS, vous pouvez consulter le site Web du Security Standards Council PCI ainsi que celui des grandes sociétés émettrices de cartes de crédit :