La documentation officielle, publiée par le Conseil PCI SSC, comporte quelques 1800 pages qui pourraient se résumer en trois grandes règles :
- Collecter et transmettre en toute sécurité les données relatives aux cartes bancaires des utilisateurs (nom du porteur, numéro de carte, date d’expiration, code de sécurité CVV)
- Sauvegarder l’ensemble des données de façon sécurisée, notamment grâce aux technologies de chiffrement
- Pouvoir garantir que les centaines de contrôles de sécurité décrits dans le PCI DSS sont bien effectués chaque année.
Dans le détail, ces mesures impliquent par exemple de :
- Disposer d'un pare-feu dans toutes les couches du réseau,
- Ne pas se contenter d’utiliser les configurations et mots de passe par défaut des fabricants et prestataires, car c’est bien souvent par cette porte qu’un réseau peut être pénétré
- Rendre illisible ou partiellement masqué le numéro de carte pour protéger les données stockées
- Chiffrer la transmission des données pour empêcher toute lisibilité par des cybercriminels
- Se prémunir des logiciels malveillants et des virus en mettant à jour régulièrement les logiciels
- Maintenir un haut niveau de sécurité de l’infrastructure et des applications associées pour éviter toute faille de sécurité
- Faire en sorte que chaque strate opérationnelle ait seulement accès aux informations dont elle a besoin pour réaliser sa tâche, afin de restreindre l’accès aux données des porteurs de carte
- Assurer une forte traçabilité, en attribuant un identifiant unique à chaque acteur de la chaîne de paiement
- Restreindre l’accès physique aux systèmes d’hébergement des données relatives aux porteurs de cartes
- Tester et monitorer régulièrement les procédures de sécurité mises en place pour empêcher l’apparition d’une faille de sécurité
- Former régulièrement ses équipes, afin de garantir le respect d’une politique en matière de sécurité de l’information
En pratique, cela implique pour un site e-commerce ou une marketplace d’investir massivement dans des systèmes de sécurité et d’en assurer la maintenance. Et ce, même si les données bancaires ne transitent que très brièvement sur les serveurs de l’entreprise…
Le PSP, garant du respect de la PCI DSS
Pour éviter d’avoir à traiter les données sensibles relatives aux cartes bancaires et de dépenser d’importantes ressources financières et matérielles, les entreprises ont la possibilité de recourir à un prestataire de services de paiement (PSP). Ce partenaire de confiance prend en charge tous les aspects relatifs à la sécurité des transactions, afin que l’entreprise n’ait plus qu’une poignée de contrôles simples à mettre en œuvre, tels que l’utilisation de mots de passe forts. Grâce à une technologie robuste et innovante, Lemonway protège et cantonne les fonds de milliers de plateformes depuis 2012. L’hébergement de l’ensemble des données est localisé dans des centres de données répondant au standard PCI DSS, en France. Prestataire de services de paiement agréé, Lemonway garantit un niveau de sécurité maximal à ses utilisateurs. Une question ? Un projet ? Parlez-nous de vos besoins !