Secteur des cartes de paiement

Affichez la page en: English

Normes de sécurité des données transmises par cartes de paiement (PCI DSS) et conformité

Toutes les entreprises qui acceptent les paiements par carte de crédit doivent se conformer à la norme PCI DSS. Les entreprises qui ne le font pas s'exposent à d'importantes amendes et pénalités. Elles doivent également savoir que toute brèche de sécurité peut entacher leur réputation et ternir leur image. Malgré ces risques, plusieurs marchands ne respectent pas les normes PCI DSS. Les raisons sont multiples :

  • Marchands peu sensibilisés aux risques de non-conformité
  • Envergure des mesures correctives requises et des coûts sous-estimée
  • Lassitude à l'égard des nombreuses obligations de conformité

PricewaterhouseCoopers peut vous aider

La conformité à la norme PCI DSS peut être obtenue de plusieurs façons. Les entreprises devraient d'abord considérer cette norme comme un cadre de contrôle qui permet de réduire leur exposition aux risques. Les mesures de sécurité non intégrées qui donnent souvent une fausse impression de sécurité devraient être évitées.

Un processus intégré fondé sur les risques peut accroître la sécurité et l'efficacité au sein de l'entreprise. PricewaterhouseCoopers a développé un processus de conformité PCI DSS en cinq étapes fondé sur les risques que pose la transmission des données par cartes de paiement. Les mesures d'atténuation qui peuvent être prises font également partie du processus.

Étape 1 : Analyse du flux de données
La première étape du processus de conformité à la norme PCI DSS consiste à identifier et à consigner les données sur l'environnement de paiement du marchand, notamment :

  • Les processus qui visent les données transmises par cartes de paiement (électroniques ou autres)
  • Les points d'entrée et de sortie des données transmises par cartes de paiement
  • Les systèmes, les applications, les bases de données et l'infrastructure de soutien qui contribuent au traitement, au stockage et à la transmission des données par cartes de paiement

Étape 2 : Analyse des écarts de conformité
À cette étape, les professionnels effectuent une analyse afin de relever les écarts entre les contrôles de la norme PCI DSS et les contrôles de l'environnement de paiement. Cette analyse mettra en lumière les secteurs où les contrôles sont absents ou insuffisants et leur attribuera une valeur dans le contexte global de gestion des risques auxquels l'entreprise est exposée. Il faut mettre l'accent sur les contrôles informatiques et les contrôles qui visent les procédés d'affaires.

Étape 3 : Planification des mesures correctives liées à la norme PCI DSS
Nos professionnels peuvent vous aider à concentrer votre plan de mesures correctives sur l'environnement de paiement seulement et non sur l'ensemble des activités de l'entreprise. Les efforts et les coûts qui doivent être investis par une entreprise de grande envergure pour se conformer à la norme PCI DSS peuvent ainsi être réduits.

Étape 4 : Mesures correctives
Lorsqu'un plan solide a été préparé par PwC, l'entreprise peut mettre en œuvre des mesures correctives tactiques et stratégiques. Les plans correctifs de PwC varient d'une entreprise à l'autre, mais ils comprennent tous un bureau de gestion soutenu par la haute direction. Ce bureau est en effet considéré comme un facteur de réussite essentiel.

Étape 5 : Conformité de l'exploitation
Les exigences de conformité à la norme PCI DSS s'appliquent en tout temps. Les responsabilités des entreprises ne se limitent pas à valider leur conformité ou à présenter un rapport une fois l'an.

Communiquez avec nous pour découvrir comment nous pouvons vous aider à respecter la norme PCI DSS.