VISA et MasterCard ont travaillé en collaboration afin de créer des exigences de sécurité normalisées relatives à l’industrie des cartes de paiement. L’objectif était également d’aligner les programmes « Cardholder Information Security Program » (CISP) de VISA USA et « Site Data Protection » (SDP) de MasterCard aux États-Unis, ainsi que les programmes SDP et « Sécurité de l’information concernant les comptes » (SIC) de VISA hors des États-Unis. En décembre 2004, VISA USA et MasterCard ont annoncé l’alignement de leurs programmes, sous la nouvelle bannière des normes relatives à la sécurité des données de l’industrie des cartes de paiement. Les programmes SDP de MasterCard, CISP de VISA USA et SIC de VISA Canada partagent un objectif commun : protéger les données des comptes de cartes de paiement que stockent les marchands et fournisseurs de services. Il importe donc de passer en revue les politiques, les procédures et les mesures de protection en place, en plus de contrôler le réseau. Déjà approuvées par Discover, JCB et Diners Club, ces différentes lignes d’action font l’objet d’un examen par American Express.
Toutes les tierces parties (fournisseurs tiers de services de traitement) et toutes les entités DSE (Data Storage Entities) disposant de systèmes internes de stockage, de traitement ou de transmission de données de titulaires de cartes au nom de marchands sont collectivement dénommées « fournisseurs de services ». Les fournisseurs de services doivent se conformer aux normes relatives à la sécurité des données de l’industrie des cartes de paiement. La validation de la conformité est obligatoire pour toutes les tierces parties qui stockent, traitent ou transmettent des données de titulaires de cartes au nom de marchands et d’institutions financières membres du réseau. La validation nécessite des contrôles réguliers du réseau ainsi qu’une validation annuelle des politiques et procédures. Tous les fournisseurs de services doivent faire appel à un évaluateur qualifié en matière de sécurité afin de valider la conformité.
L’une de ces mesures de validation consiste à contrôler le réseau chaque trimestre. Les outils de contrôle comparent la configuration du site Web à une base de données contenant plus de 1 200 vulnérabilités connues. Le contrôle du réseau peut également comprendre des services de détection d’intrusions, la surveillance du pare-feu et d’autres vérifications Web. Ces contrôles doivent être effectués par un spécialiste en analyse qualifié indépendant.
Le groupe de fournisseurs de services de niveau 1 inclut tous les fournisseurs tiers de services de traitement connectés aux réseaux VisaNet et MasterCard. Global Payments respecte les normes de l’industrie des cartes de paiement depuis 2005. Le groupe de fournisseurs de services de niveau 1 inclut toutes les passerelles de paiement entre le marchand et Global Payments ou entre le marchand et d’autres fournisseurs de services de traitement.
Le groupe des fournisseurs de services des niveaux 2 et 3 englobe tous les fournisseurs de services tiers qui ne font pas partie du niveau 1 et qui stockent, traitent ou transmettent des données d’opération. Il peut s’agir notamment d’agents auprès d’une tierce partie, d’organisations commerciales indépendantes, de fournisseurs de marchands, de fournisseurs de services d’hébergement Web, de gestion des paniers d’achat et d’archivage des supports de stockage, de gestionnaires de programmes de fidélisation, de fournisseurs de services de gestion du risque ou de rétrofacturation et d’agences d’évaluation du crédit. Le nombre d’opérations est établi en fonction du nombre brut d’opérations VISA stockées, traitées ou transmises non seulement pour le marchand ou le membre, mais également pour toutes les entités prises en charge par un fournisseur de services. Le groupe des fournisseurs de services des niveaux 2 et 3 englobe également les entités DSE tierces qui stockent des données au nom de marchands de niveau 3 (entre 20 000 et 150 000 opérations de commerce électronique) ou de niveau 4 (tous les autres marchands, indépendamment du mode d’acceptation).
VISA exige que les fournisseurs de services produisent directement les résultats de la validation de la conformité à VISA. Une fois que le fournisseur de services de niveau 1, 2 ou 3 a produit la documentation attestant qu’il se conforme entièrement aux règles de VISA Inc. et MasterCard Worldwide, il est ajouté à la liste des fournisseurs de services en conformité.
Pour consulter la liste VISA actuelle, cliquez ici.
Pour consulter la liste MasterCard actuelle, cliquez ici. (Anglais)
Les tierces parties qui reçoivent, transmettent et stockent des données au nom de marchands doivent avoir passé des accords avec lesdits marchands.
Voici un résumé des étapes de validation de la conformité requises pour les tierces parties qui stockent des données de titulaires de cartes (organisations commerciales indépendantes, gestionnaires de programmes de fidélisation, etc.).
| Niveau | Critères du fournisseur de services | Exigences | Validation de la conformité Date limite |
| Niveau 1 | Tous les fournisseurs tiers de services de traitement MasterCard Tous les fournisseurs VisaNet Toute passerelle de paiement (entité liée au fournisseur de services de traitement) qui traite, transmet ou stocke des opérations VISA, indépendamment du volume Toute entité DSE qui stocke, transmet ou traite plus d’un total combiné d’un million d’opérations MasterCard et Maestro par année |
Évaluation annuelle en clientèle de la sécurité des données de l’industrie des cartes de paiement [Rapport annuel de conformité en clientèle (RAC)], effectuée par un évaluateur qualifié en matière de sécurité Contrôle trimestriel du réseau effectué par un spécialiste en analyse accrédité |
Le 31 décembre 2005, puis une fois par année |
| Niveau 2 | Tout fournisseur de services VISA ne faisant pas partie du niveau 1 et qui traite, transmet ou stocke plus d’un million d’opérations ou comptes VISA par année | Évaluation annuelle en clientèle de la sécurité des données de l’industrie des cartes de paiement, effectuée par un évaluateur qualifié en matière de sécurité Contrôle trimestriel du réseau effectué par un spécialiste en analyse accrédité |
Le 31 décembre 2005 puis une fois par an |
| Niveau 2 | Toute entité DSE qui stocke, transmet ou traite moins d’un total combiné d’un million d’opérations MasterCard et Maestro par année | Questionnaire d’auto-évaluation annuelle sur la sécurité des données de l’industrie des cartes de paiement, rempli par le fournisseur de services Contrôle trimestriel du réseau effectué par un spécialiste en analyse accrédité |
Le 31 décembre 2005 puis une fois par an |
| Niveau 3 | Tout fournisseur de services VISA ne faisant pas partie du niveau 1 et qui traite, transmet ou stocke moins d’un million d’opérations ou comptes VISA par année | Questionnaire d’auto-évaluation annuelle sur la sécurité des données de l’industrie des cartes de paiement, rempli par le fournisseur de services Contrôle trimestriel du réseau effectué par un spécialiste en analyse accrédité |
Le 31 décembre 2005, puis une fois par année |
Questionnaire d’auto-évaluation annuelle sur la sécurité des données de l’industrie des cartes de paiement : Questionnaire de conformité que doivent remplir les tierces parties de niveau 3 (ainsi que les marchands des niveaux 2 et 3) afin d’attester leur conformité aux exigences Digital Dozen. Les marchands et tierces parties doivent également se soumettre au moins une fois par trimestre à un contrôle de périmètre système effectué par un évaluateur en sécurité accrédité par l’industrie des cartes de paiement.
Rapport annuel de conformité en clientèle (RAC) : Document produit par l’évaluateur en sécurité indépendant accrédité par l’industrie des cartes de paiement et chargé de vérifier une fois par année, chez la tierce partie de niveau 1 ou 2, si cette dernière satisfait aux exigences Digital Dozen. La liste des évaluateurs accrédités se trouve sur les sites Web des sociétés émettrices de cartes (voir liens ci-après). Pour l’obtenir, vous pouvez aussi communiquer avec votre directeur des relations avec Global Payments. Également obligatoire pour les marchands de niveau 1.
Stockage des données : Conservation à titre temporaire ou permanent des données de comptes MasterCard, quelle qu’en soit la forme (journaux compris) à des fins de traitement, d’extraction ou d’autre usage ultérieur.
Entité DSE (Data Storage Entity) : Toute entité autre que le membre, le marchand ou le fournisseur tiers de services de traitement qui stocke des données de comptes MasterCard au nom d’un marchand, d’un fournisseur de services d’hébergement Web ou de passerelles de paiement. Cela peut comprendre les programmes pilotes ou les processeurs des terminaux. Le stockage peut être temporaire ou permanent et s’effectuer sous n’importe quelle forme (y compris sous celle de journaux).
Agents auprès des marchands : Au sein du réseau VISA, ces intervenants comprennent les non-membres (autres que les marchands et les fournisseurs de services de traitement) qui reçoivent, transmettent ou stockent des données d’opération dans leurs propres systèmes au nom du marchand. Cela inclut les agents auprès des tierces parties et les fournisseurs de services d’hébergement Web, de gestion des paniers d’achat et d’archivage des supports de stockage. Les banques membres doivent enregistrer ces agents auprès de VISA.
Contrôle de périmètre système : Opération menée au moins une fois par trimestre par un évaluateur en sécurité indépendant accrédité par l’industrie des cartes de paiement. Elle consiste à vérifier, à l’aide d’un outil automatisé, si le système de la tierce partie est parfaitement protégé. La procédure est applicable à tous les marchands et tierces parties disposant d’adresses IP (Internet Protocol) externes. Même si la tierce partie ou le marchand ne propose pas les transactions par Internet, certains de ses services (notamment le courrier électronique ou l’accès à Internet pour les employés) rendent possible l’accès à son réseau à partir du Web. L’outil analyse à distance et de manière non intrusive les réseaux et les applications Web qui font appel aux adresses IP externes indiquées par la tierce partie. Ce contrôle est obligatoire dans le cas des marchands et des tierces parties des niveaux 1, 2 et 3.
Fournisseur tiers de services de traitement : Fournisseur tiers de services de traitement MasterCard. Doit s’enregistrer directement auprès de MasterCard s’il veut offrir des services aux institutions financières membres de ce réseau.
Agent auprès d’une tierce partie : Au sein du réseau VISA, ces intervenants comprennent les non-membres (autres que les marchands et les fournisseurs de services de traitement) qui reçoivent, transmettent ou stockent des données d’opération dans leurs propres systèmes au nom du membre, du marchand ou d’une autre tierce partie. Ces agents incluent les fournisseurs des marchands (y compris les fournisseurs de services d’hébergement Web, de gestion des paniers d’achat et d’archivage des supports de stockage), c’est-à-dire les « agents auprès des marchands ». On y regroupe également les organisations commerciales indépendantes, les gestionnaires de programmes de fidélisation, les fournisseurs de services de gestion du risque ou de rétrofacturation, ainsi que les agences d’évaluation du crédit qui desservent l’institution financière membre ou ses marchands. Chaque banque membre doit enregistrer ses agents auprès de VISA USA. VISA USA facturera ses frais d’adhésion et de renouvellement annuel directement aux agents auprès d’une tierce partie, et non aux membres.
Fournisseur de services de traitement VisaNet : Fournisseur de services de traitement, institution financière membre ou marchand relié directement au réseau exclusif de VISA afin d’autoriser des opérations. VISA exige l’enregistrement des fournisseurs de services de traitement VisaNet non membres et la désignation des fournisseurs de services de traitement des institutions financières membres.
