VISA et MasterCard définissent conjointement les normes de sécurité auxquelles doit satisfaire l’utilisation des cartes de paiement. C’est dans cet esprit que la première a conçu au Canada le programme Sécurité de l’information concernant les comptes (SIC). MasterCard mène un programme semblable appelé Site Data Protection (SDP). Aux États-Unis, VISA a annoncé en décembre 2004 qu’elle articulerait son programme Cardholder Information Security Program (CISP) au programme SDP de MasterCard. Toutes ces initiatives se retrouvent ainsi sous la bannière des normes relatives à la sécurité des données gérées dans le secteur des cartes de paiement.
L’objectif commun à toutes les sociétés émettrices de cartes de crédit est de protéger les données de compte de carte de crédit que stockent marchands et fournisseurs de services. Il importe donc de passer en revue les politiques, les procédures et les mesures de protection en place, en plus de vérifier le niveau de sécurité des réseaux. Déjà approuvées par Discover, JCB et Diners Club, ces différentes lignes d’action font l’objet d’un examen par American Express. Tous les marchands ou concepteurs de solutions dont les systèmes mémorisent, traitent ou transmettent les données des détenteurs de carte doivent être conformes aux normes de sécurité en vigueur dans le secteur des cartes de paiement. Le contrôle de la conformité est obligatoire pour tous les marchands, en particulier pour ceux qui traitent de grands volumes de transactions, car ce sont eux qui courent le plus de risques. Cette politique concerne également les marchands qui utilisent des applications de gestion de carte de paiement pour autoriser une transaction par carte de crédit et procéder au règlement de l’achat. Le cadre technique (reposant sur un ensemble de 12 exigences liées à la sécurité des données, d’où l’appellation anglo-saxonne « Digital Dozen ») n’a pas changé. On trouve sur les sites Web de MasterCard (sdp.mastercardintl.com) et de VISA (www.visa.ca/ais) des documents qui établissent la concordance entre, d’une part, les exigences SDP et CISP et, d’autre part, les nouvelles normes du secteur des cartes de paiement. Conformément aux normes SDP, la solution de MasterCard visant à protéger les marchands et fournisseurs en ligne contre le piratage et les cyberattaques est mise en œuvre à quatre niveaux (voir tableau ci-après). Les marchands qui confient à un tiers le traitement des transactions et n’enregistrent pas les données connexes sur leurs systèmes ne sont pas tenus de satisfaire aux exigences de vérification. Ils doivent cependant s’assurer que leur partenaire se conforme aux normes précitées. Il est à noter que le marchand doit demander à Global Payments la mise à jour de son dossier lorsqu’il change de concepteur de solutions, lorsque son fournisseur de services ou l’équipement mentionné dans le contrat qu’il a conclu avec Global Payments a changé ou lorsqu’il estime que le concepteur de solutions n’est pas conforme aux normes. Les marchands qui se servent d’un terminal autonome doivent continuer à appliquer les méthodes recommandées par Global Payments dans le contrat qu’elle conclut avec eux, et se conformer aux normes de sécurité du secteur des cartes de paiement. Les méthodes en question concernent notamment le stockage et la destruction de tous les dossiers papier ou électroniques qui contiennent des numéros de compte ou des renseignements relatifs aux détenteurs de carte. Voici la liste sommaire des étapes que, à titre de marchand stockant des données, vous devez suivre afin de vérifier que vous êtes bien conforme aux normes. Pour vous inscrire à ces programmes, il faut consulter la liste des évaluateurs qualifiés en matière de sécurité sur le site VISA ou MasterCard. De plus, TrustWave ont été choisies par Global Payments pour être les évaluateurs qualifiés privilégiés en matière de sécurité au Canada et aux États-Unis et peuvent aider les marchands ou les fournisseurs de solutions à respecter les exigences des normes relatives à la sécurité des données de l’ICP.
| Niveau de marchand | Critères |
|
Analyse du réseau en matière de sécurité | Examen sur place | Date initiale de validation de la conformité | |
| 1 | •Tout marchand (peu importe le mode d’acceptation) effectuant plus de 6 000 000 d’opérations VISA ou MasterCard par année •Tout marchand ayant subi une intrusion non autorisée qui a entraîné une atteinte aux données relatives aux comptes de ses clients •Tout marchand qui, d’après VISA, et à son seul gré, doit satisfaire aux exigences liées au niveau 1 afin de protéger au mieux le réseau VISA •Tout marchand identifié par un autre type de carte de paiement que ceux indiqués pour le niveau 1 | Chaque année | Chaque trimestre | Chaque année | Le 31 décembre 2005, puis une fois par année | |
| 2 | •Tout marchand (peu importe le mode d’acceptation) effectuant entre 1 000 000 et 6 000 000 d’opérations VISA ou MasterCard par année •Tout marchand répondant aux critères d’une marque de paiement concurrentielle associés au niveau 2 | Chaque année | Chaque trimestre | Non requis | Le 31 décembre 2005, puis une fois par année | |
| 3 | •Tout marchand du commerce électronique effectuant entre 20 000 et 1 000 000 d’opérations commerciales électroniques VISA ou MasterCard •Tout marchand répondant aux critères d’une marque de paiement concurrentielle associés au niveau 3 | Chaque année | Chaque trimestre | Non requis | Le 31 décembre 2005, puis une fois par année | |
| 4* | Any merchant processing fewer than 20,000 Visa or MasterCard e-commerce transactions per year, and all other merchants processing fewer than 1,000,000 Visa transactions per year. | Chaque année | Chaque trimestre | Non requis | Date à déterminer – la décision revient à l’acquéreur | |
* Les marchands de niveau 4 doivent se conformer aux normes relatives à la sécurité des données de l’ICP. Les marchands de niveau 4 doivent consulter leurs directeurs de comptes pour déterminer si la validation de la conformité est également requise. ** Les exigences des associations d’émetteurs de cartes dictent qu’il est interdit de conserver des données d’authentification de nature délicate, et ce, quelle que soit la situation. |
||||||
Définitions
Questionnaire d’auto-évaluation annuelle sur l’ICP : Questionnaire que doivent remplir les marchands des niveaux 2 et 3 (ainsi que les tierces parties du niveau 3) afin d’attester leur conformité aux exigences Digital Dozen (12 exigences liées à la sécurité des données) sur la sécurité des données. Les marchands et tierces parties doivent également se soumettre au moins une fois par trimestre à un contrôle de périmètre système effectué par un évaluateur en sécurité accrédité par le secteur des cartes de paiement. Rapport annuel de conformité en clientèle (RAC) : Document produit par l’évaluateur en sécurité indépendant accrédité par l’industrie des cartes de paiement et chargé de vérifier une fois par année, chez le marchand de niveau 1, si ce dernier satisfait aux exigences Digital Dozen. Dans le cas d’un marchand de niveau 1, si le rapport est établi par un vérificateur interne, il ne sera accepté qu’accompagné d’une lettre signée par un membre de la direction de l’entreprise. La liste des assesseurs accrédités se trouve sur les sites Web des sociétés émettrices de cartes de crédit (voir liens ci-après). Pour l’obtenir, vous pouvez aussi communiquer avec votre directeur des relations avec Global Payments. Les tierces parties des niveaux 1 et 2 doivent également se soumettre à une vérification en clientèle. Stockage de données : Conservation à titre temporaire ou permanent des données de compte, quelle qu’en soit la forme (journaux y compris), pour traitement, extraction ou autre usage ultérieur. Entité DSE (Data Storage Entity) : Toute entité autre que le membre, le marchand ou le fournisseur tiers de services de traitement qui stocke des données de compte MasterCard au nom d’un marchand, d’un fournisseur de services d’hébergement Web ou d’une passerelle de paiement. Cela peut comprendre les programmes pilotes ou les processeurs des terminaux. Le stockage peut être temporaire ou permanent et s’effectuer sous n’importe quelle forme (y compris sous celle de journaux). Données de bande magnétique (données de suivi) : Données codées sur la bande magnétique à des fins d’autorisation de la carte présentée lors de transactions. Les organisations ne doivent pas conserver ces données après l’autorisation de la transaction. Après l’autorisation, les codes de service, les données discrétionnaires, la valeur ou le code de validation de la carte et les valeurs réservées confidentielles doivent être éliminés; toutefois, le numéro de compte, la date d’expiration, le nom et le code de service peuvent être extraits et conservés, au besoin. Agents auprès des marchands : Au sein du réseau VISA, ces intervenants comprennent les non-membres (autres que les marchands et les fournisseurs de services de traitement) qui reçoivent, transmettent ou stockent des données d’opération dans leurs propres systèmes au nom du marchand. Cela inclut les agents auprès des tierces parties et les fournisseurs de services d’hébergement Web, de gestion des paniers d’achat et d’archivage des supports de stockage. Fournisseur tiers de services de traitement : Intervenant qui doit s’enregistrer directement auprès de MasterCard s’il veut offrir des services aux institutions financières membres de ce réseau. Agent auprès d’une tierce partie : Au sein du réseau VISA, ces intervenants comprennent les non-membres (autres que les marchands et les fournisseurs de services de traitement) qui reçoivent, transmettent ou stockent des données d’opération dans leurs propres systèmes au nom du membre, du marchand ou d’une autre tierce partie. Cela inclut les fournisseurs des marchands, y compris les fournisseurs de services d’hébergement Web, de gestion des paniers d’achat et d’archivage des supports de stockage, c’est-à-dire les « agents auprès des marchands ». On y regroupe également les organisations commerciales indépendantes (ISO, pour « Independent Sales Organizations »), les gestionnaires de programmes de fidélisation, les fournisseurs de services de gestion du risque ou de rétrofacturation, ainsi que les bureaux de crédit qui desservent l’institution financière membre ou ses marchands. Fournisseur de services de traitement VisaNet : Fournisseur de services de traitement, institution financière membre ou marchand raccordé directement au réseau exclusif de VISA aux fins d’autorisation des transactions. VISA exige l’enregistrement des fournisseurs de services de traitement VisaNet non membres et la désignation en tant que fournisseur de services de traitement auprès d’une institution financière. Analyse de la vulnérabilité : Un outil automatisé qui vérifie si les systèmes d’un marchand ou d’un fournisseur de services sont bien protégés. La procédure est applicable aux marchands chez lesquels des adresses IP externes permettent de communiquer avec les systèmes internes qui reçoivent, acheminent ou stockent les données de transaction par carte de paiement. Même si le marchand ne permet pas d’effectuer des transactions par Internet, certains de ses services (courrier électronique ou accès à Internet pour les employés) rendent possible l’accès à son réseau à partir du Web. L’outil analyse à distance et de manière non intrusive les réseaux et les applications Web qui font appel aux adresses IP externes. Ces analyses décèlent les vulnérabilités dans les systèmes d’exploitation, les services et les appareils; ces vulnérabilités pourraient être exploitées par les pirates informatiques pour viser le réseau de la société. Les marchands de niveau 1, 2 et 3 doivent s’assurer qu’une analyse du réseau est effectuée chaque trimestre sur leurs systèmes reliés à Internet, et ce, par un évaluateur qualifié en matière de sécurité. Pour les marchands de niveau 4, l’analyse trimestrielle du réseau sur le plan de la sécurité est facultative mais hautement recommandée.
Pour plus de détails sur la sécurité des données, communiquez avec votre directeur des relations avec Global Payments ou avec votre directeur des ventes.
Les renseignements contenus dans ce document sont fournis à titre indicatif uniquement et Global Payments Inc. n’en garantit ni l’exactitude ni l’exhaustivité. Bien que nous les estimions fiables, nous ne pouvons garantir qu’ils ne seront pas modifiés ultérieurement en raison d’éléments nouveaux, comme le changement des règlements adoptés par les sociétés émettrices de cartes de crédit. Les renseignements contenus dans le présent document peuvent changer sans préavis et Global Payments Inc. n’est pas tenue de les mettre à jour après leur date de publication. Enfin, Global Payments Inc. ne cautionne aucun des sites auxquels le présent document peut renvoyer.
