La violation ou le vol des données des titulaires de carte affecte toutes les parties impliquées.
Les clients perdent immédiatement confiance dans les commerçants ou les institutions financières, et leurs finances sont affectées.
Afin de protéger les commerçants et leurs clients, un niveau de sécurité supérieur est essentiel. On vous en dit plus sur la conformité PCI DSS.
Qu’est-ce que la conformité PCI DSS ?
En raison de l’énormité de la menace de la cybercriminalité, les principaux systèmes de cartes de crédit (Visa, MasterCard, American Express, Discover) ont établi conjointement le Payment Card Industry Security Standards Council (PCI SSC) en 2006 en tant qu’organisme mondial indépendant.
Son but est d’améliorer la sécurité des paiements. Ils ont développé la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), qui est la liste des exigences que les commerçants doivent respecter pour accepter les paiements.
Il a été conçu pour que tous les commerçants qui traitent, stockent ou transfèrent des informations de carte de crédit le fassent de manière sécurisée.
Juste pour clarifier, il est de la responsabilité des prestataires de services de paiement et des banques acquéreuses de faire respecter la conformité PCI DSS – et non le PCI SSC.
Les avantages de sécurité associés au maintien de la conformité PCI DSS sont vitaux pour le succès à long terme de tous les commerçants qui acceptent les paiements en ligne.
Quels sont les niveaux de conformité PCI ?
Toute personne acceptant les cartes de crédit, ou même les paiements mobiles, doit se conformer à la norme PCI DSS.
Le processus de validation de la conformité d’une entreprise varie considérablement selon le type et la taille de l’entreprise.
Les marchands peuvent déterminer à quel niveau ils se situent en fonction des éléments suivants :
Niveau 1
- Plus de 6 000 000 de transactions Visa ou MasterCard par an.
- Plus de 2 500 000 transactions American Express par an.
- Tout commerçant MasterCard dont les données de compte ont été compromises au cours de l’année précédente.
- Toute entité qui gère les données de carte de crédit et / ou fournit des services de traitement de carte pour le compte d’autres commerçants.
Niveau 2
- 1 000 000 à 6 000 000 de transactions Visa ou MasterCard par an.
- 50 000 et 2 500 000 transactions American Express par an.
Niveau 3
- 20 000 à 1 000 000 transactions Visa ou MasterCard par an.
- 50 000 transactions American Express par an.
Niveau 4
- Moins de 20 000 transactions Visa ou MasterCard par an (Remarque: American Express n’utilise pas le niveau 4.)
Quelles sont les sanctions en cas de non-respect ?
Tout commerçant qui reçoit ne serait-ce qu’un seul paiement par carte de crédit par an peut faire l’objet d’une plainte PCI DSS.
Si une entreprise ne répond pas aux normes de conformité PCI et que la sécurité et son site sont compromis, elles seront confrontées à des pénalités et des amendes allant de 5 000 $ à 500 000 $.
Ceci, cependant, n’est que le début des dommages globaux causés par la non-conformité.
Bien que les sanctions ne soient pas discutées ouvertement ni largement diffusées, elles peuvent être catastrophiques pour une petite entreprise.
Les marchands courent le risque de perdre leur compte marchand, ce qui signifie qu’ils ne pourront pas du tout accepter les paiements par carte de crédit.
Les commerçants seront également placés dans le «fichier marchand résilié» (TMF) Visa / MasterCard, ce qui les rend inéligibles pour obtenir un autre compte marchand, au moins pendant plusieurs années.
Le TMF, est essentiellement une liste noire dont il est presque impossible de se retirer.
Lorsqu’un commerçant est ajouté au TMF, son nom, sa raison sociale, son adresse professionnelle et son adresse personnelle sont indiqués.
Cela signifie que les commerçants ne peuvent pas simplement demander un nouveau compte sous le nom d’un autre membre de la famille ou d’un partenaire commercial, car il sera considéré comme la même entreprise et le même emplacement.
Que faire si mon processeur de paiement est certifié PCI ?
L’externalisation du traitement des paiements ne rend pas automatiquement un commerçant conforme. Sauf si le commerçant n’utilise la page de paiement hébergée du processeur de paiement et n’entre en contact avec les informations de carte de crédit.
Les entreprises doivent protéger les données des titulaires de carte lorsqu’elles sont reçues, ainsi que traiter les rejets de débit et les remboursements.
Les commerçants doivent s’assurer que les applications des fournisseurs et les terminaux de paiement par carte sont conformes aux exigences PCI DSS respectives et doivent demander un certificat de conformité chaque année aux fournisseurs.
Se conformer à la norme PCI DSS peut être décourageant et difficile, mais en fin de compte, il est crucial pour la sécurité de vos clients et, par conséquent, le succès de votre entreprise.
C’est pourquoi chez Skeerel, nous collaborons avec un prestataire certifié PCI Service Provider Level 1 pour notre solution de paiement en 1 clic.
Maintenant que vous avez les réponses à ces questions les plus courantes, vous êtes prêt à passer aux prochaines étapes vers la conformité PCI DSS pour votre entreprise.
A propos de l'auteur : Florian Pradines
Florian Pradines est dirigeant et fondateur de la société ArcanSecurity, éditrice de la solution d'achat en 1-clic Skeerel.
Plus d'articles de Florian Pradines