Protection des données personnelles, norme PCI-DSS quand sécurité rime avec tranquillité!

Hameçonnage, piratage de comptes, violation de données, rançongiciel…le nombre de cyber malveillances ne cesse d’augmenter. Selon le baromètre “Databreach” publié à l'occasion du Forum international de la cybersécurité, 5 millions de personnes ont été victimes d'une fuite de données personnelles en 2021, soit une augmentation de + 75% (PwC, Bessé, CNIL).

Petites et grandes entreprises sont concernées. Alerte vulnérabilités critiques Microsoft Exchange Server, alerte failles de sécurité critique Apple, alerte nouvelle campagne d’escroquerie aux faux kits de confinement gratuits de Santé publique France, tout le monde y passe.

En 2021, la CNIL (Commission nationale de l'informatique et des libertés) a reçu 5000 notifications de violations de données personnelles, soit 20 en moyenne par jour ouvré!

Les transformations technologiques et l’évolution des habitudes de consommation obligent à se réinventer sans cesse. Pour s’adapter à ces changements, les entreprises doivent faire évoluer leurs services et repenser l’expérience client proposée.

Dans une société où la digitalisation est au cœur de nos vies, la sécurité prend une place centrale. La plateforme cybermalveillance.gouv.fr recense 47 formes de cybermalveillance.

L'hameçonnage (ou phishing) est la principale menace rencontrée.

Particuliers, entreprises, collectivités, tout le monde est concerné. La technique est simple et consiste à envoyer un mail ou un SMS à la victime pour l'inciter à communiquer des informations personnelles ou bancaires en usurpant l’identité d’un tiers de confiance (impôts, banques, assurance maladie…). C’est ainsi que certains ont pu se faire escroquer des centaines de millions d’euros…

Afin de limiter les risques, de nombreuses normes ont été imposées et discutées avec les différentes industries pour réglementer les marchés. Dans le secteur du paiement, la norme PCI-DSS est favorite et vise à protéger les données des consommateurs.

PCI-DSS, ça veut dire quoi?

L’acronyme PCI-DSS (Payment Card Industry Data Security Standard) désigne la norme mondiale en matière de sécurité des données applicables à l’industrie des cartes de paiement. Elle a été mise en place par les cinq plus grandes sociétés de cartes bancaires American Express, Discover, JCB International, Mastercard et Visa qui ont fondé le Payment Card Industry Security Council (PCI-SSC) pour contribuer à réduire les violations de données des consommateurs et des banques. Cette norme vise à réduire la fraude en ligne et assure la protection des consommateurs dans l’ensemble de l’écosystème de paiement. Elle concerne toutes les entreprises qui stockent, traitent, ou transmettent des données de carte bancaire.

Ok mais, ça sert à quoi d’être PCI-DSS?

Orienter les décisions stratégiques de son entreprise grâce à la donnée, voici tout l’enjeu des sociétés aujourd’hui. Les données de paiement vont permettre de créer des campagnes de marketing personnalisées, identifier quels sont les produits phares, les associations de produit…Afin d’utiliser ses données, il convient de respecter le règlement général sur la protection des données (RGPD), les normes de sécurité des données de l’industrie de cartes de paiement (PCI-DSS) et la directive européenne révisée sur les services de paiement (DSP2).

La norme PCI-DSS est fortement recommandée pour l’ensemble des entreprises qui permettent des transactions par carte bancaire et ce, pour 3 raisons principales:

-Sécurité: Se certifier PCI/DSS c’est offrir une sécurité à vos clients. Reconnue internationalement, cette norme permet d’indiquer que vous prenez les mesures nécessaires pour protéger les données de cartes de paiement contre le vol sur Internet et contre toute utilisation détournée et/ou frauduleuse.

-Réduction des cyberattaques: Assurer une protection maximale permet de lutter contre les cyberattaques et les fuites de données.

-Eviter les procédures judiciaires: une non conformité peut entraîner des pénalités financières allant de 4 230 euros à 84 600 euros par mois jusqu’à la mise en conformité.

D'après les estimations de Threat Watch, le coût moyen d'une fuite de données est passé de 3,86 millions de dollars en 2020 à 4,24 millions de dollars en 2021!

Comment obtenir la certification PCI-DSS?

Le processus de certification varie en fonction du volume de données de cartes bancaires traitées par an. Il existe 4 niveaux distincts de conformité PCI.

La certification PCI DSS de niveau 1 offre un niveau maximal de sécurité.

La conformité est obtenue après avoir été auditée par une ou plusieurs sociétés QSA (Qualified Security Assessor) et renouvelée chaque année.

Pour les entreprises traitant un volume de données moins important, il existe différents types de questionnaires d'auto-évaluation, fonction de la méthode d'intégration des paiements.

Avant d’accorder votre confiance, renseignez-vous sur le niveau de conformité des solutions choisies. La certification est valable un an, aussi une entreprise qui était certifiée l’an passé ne l’est peut-être plus, il est primordial de suivre les évolutions.

Le saviez-vous? Le respect du référentiel de sécurité PCI-DSS est exigé par l'ensemble des banques et des sociétés de finance liées au Groupement d'Intérêt Economique des Cartes Bancaires (GIE CB).

Quels sont les points d’attention dans une certification?

Afin d’obtenir une certification il convient d’analyser et de comprendre la manière dont les données sont récupérées, stockées et utilisées. Un audit de l’environnement est nécessaire.

Le dernier ensemble de normes pour la sécurité, la PCI DSS version 3.2.1, comprend 12 critères principaux et plus de 300 exigences secondaires qui reflètent les meilleures pratiques en matière de sécurité.

1. Installer une configuration de pare-feu pour protéger les données du titulaire de la carte et assurer sa maintenance

2. Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe système et les autres paramètres de sécurité

1. Protéger les données des titulaires de cartes

2. Chiffrer la transmission des données des titulaires de cartes sur les réseaux publics ouverts

3. Utiliser et mettre régulièrement à jour un logiciel ou des programmes antivirus

4. Développer et maintenir des systèmes et des applications sécurisés

5. Restreindre l’accès aux données des titulaires aux seules personnes concernées

6. Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur

7. Restreindre l’accès physique aux données

8. Tracer et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes

9. Tester régulièrement les systèmes et processus de sécurité

10. Maintenir une politique de sécurité abordant la sécurité des informations pour les employés et les prestataires

Combien ça coûte?

Obtenir une certification PCI-DSS peut s’avérer onéreux. En fonction du nombre de transactions réalisées par an, le coût varie de 50 000 euros par an à plusieurs centaines de milliers d’euros en fonction du niveau attendu et de l’état de votre organisation. Si vous souhaitez certifier qu’une partie de votre activité le coût en sera amoindri mais attention aux conséquences.

En effet, la norme PCI-DSS n’est pas obligatoire cependant subir une cyber attaque par manque de sécurité peut faire doubler, voire tripler votre facture.

Une fois introduit dans votre système de sécurité, les hackers se feront un malin plaisir à utiliser vos failles contre vous. Les répercussions peuvent être irréparables tant au niveau de la perte financière qu’au niveau de l’impact sur votre image de marque. La perte de confiance de vos clients peut anéantir votre business.

Au-delà de la certification, des coûts de maintenance sont à prévoir, une équipe dédiée à temps plein doit être déployée, autant de coûts qui viennent s'additionner à une facture déjà conséquente.

Opter pour des solutions de paiement certifiées PCI-DSS peut être une solution tactique et efficace pour lutter contre la fraude et le hameçonnage et assurer une relation de confiance avec vos clients.

Voxpay facilite la conformité PCI-DSS de votre entreprise

L’ensemble des solutions de paiement Voxpay sont certifiées PCI-DSS de niveau 1, à savoir le niveau maximal en matière de sécurité. L’ensemble des données de carte bancaire sont cryptées, les flux d’informations sécurisés et chiffrés, les systèmes de sécurité sont fréquemment testés et contrôlés…

Nul besoin donc de vous conformer de votre côté, tout est inclus dans nos solutions. Que vous optiez pour le canal voix assistée, le paiement par lien ou encore le serveur vocal interactif (SVI), conciliez sécurité et fluidité où que vous soyez.

Depuis 2018, Voxpay renouvelle sa certification chaque année.