Si votre entreprise accepte les paiements par carte, il est important de disposer d'une plate-forme de sécurité robuste pour protéger vos clients. Le secteur des paiements par carte a connu une augmentation de la fraude et a développé la norme de sécurité des données du secteur des cartes de paiement (PCI DSS) afin d’améliorer la sécurité des paiements par carte..

Lancée en 2006, la norme PCI DSS s’applique à toutes les entreprises qui traitent, stockent ou transmettent des informations sur les cartes de paiement. Si votre entreprise accepte les paiements de MasterCard, Visa, American Express, Discover ou JCB, votre entreprise doit être entièrement conforme à la norme PCI DSS..

Pourquoi les petites entreprises devraient-elles utiliser le système PCI DSS? Le système PCI DSS est administré par le PCI Security Standards Council, un organisme indépendant créé par les principaux émetteurs de cartes de crédit qui conseille:

  • La conformité à la norme PCI DSS signifie que vos systèmes sont sécurisés et que les clients peuvent vous faire confiance avec leurs informations de carte de paiement sensibles..
  • La confiance signifie que vos clients ont confiance dans les relations commerciales avec vous.
  • Les clients confiants sont plus susceptibles d’être des clients assidus et de vous recommander à d’autres.
  • La conformité est un processus continu, pas un événement ponctuel. Il aide à prévenir les atteintes à la sécurité et le vol des données de cartes de paiement, non seulement aujourd'hui, mais à l'avenir..

Le Conseil des normes de sécurité PCI a déclaré: "Vous avez travaillé d'arrache-pied pour développer votre entreprise. Assurez-vous de garantir votre succès en sécurisant les données de carte de paiement de vos clients. Vos clients comptent sur vous pour protéger leurs informations - restituez leur confiance en respectant les normes de sécurité PCI ".

Si votre entreprise ne prend pas en charge la norme PCI DSS, le Conseil des normes de sécurité PCI vous avertit:

  • Les données compromises nuisent aux consommateurs, aux commerçants et aux institutions financières.
  • Un seul incident peut nuire gravement à votre réputation et à votre capacité à mener vos activités efficacement dans un avenir lointain..
  • Les violations de données de compte peuvent entraîner une perte catastrophique de ventes, de relations et de réputation dans votre communauté, ainsi qu'un cours boursier déprimé si votre entreprise est une société ouverte.
  • Les conséquences négatives possibles incluent également: actions en justice, réclamations d'assurance, comptes annulés, amendes des émetteurs de cartes de paiement et amendes du gouvernement.

Le processus de conformité PCI DSS

La plupart des entreprises entreront dans la catégorie des marchands de niveau 4, définie comme traitant moins de 20 000 transactions Visa par an..

Vous pouvez vous assurer que votre entreprise est entièrement conforme en procédant comme suit:

  1. Identifiez le type de validation que votre entreprise devrait utiliser sous PCI DSS. Ceci déterminera le questionnaire d’auto-évaluation (SAQ) que votre entreprise devra remplir..
  2. Une fois le questionnaire d'auto-évaluation rempli, vous devrez prouver que votre entreprise a réussi l'analyse des vulnérabilités par l'un des fournisseurs d'analyse certifiés PCI SSC. Cela est requis par les entreprises de la catégorie de niveau 4 qui ont un site Web destiné aux clients, comme toutes les entreprises de commerce électronique. Une liste complète des fournisseurs de numérisation approuvés figure sur le site Web du PCI Security Standards Council:
  3. Remplissez l'attestation de conformité, située dans l'outil SAQ. Plus d'informations sur le site Web du PCI Security Standards Council:
  4. Soumettez votre SAQ et la preuve que votre entreprise a réussi l’analyse de vulnérabilité et tout document supplémentaire demandé par votre acquéreur. Votre acquéreur sera la société chargée du traitement de votre carte de paiement..

Il est important de comprendre qu’avoir un système de sécurité sur votre site Web - généralement SSL (Secure Sockets Layer) - ne pas Cela signifie que votre entreprise est conforme à la norme PCI DSS car les deux systèmes de sécurité sont différents. Le protocole SSL fournit aux visiteurs de votre site Web une couche de sécurité qui chiffre les informations échangées entre leur ordinateur et les serveurs de votre entreprise..

Cela inclut toutes les informations de carte de crédit ou de débit saisies dans le système de paiement de votre entreprise, mais ne protège pas le paiement. C’est là que la conformité PCI DSS entre en jeu. Votre entreprise doit s’assurer qu’elle dispose d’un certificat SSL valide délivré par l’un des principaux fournisseurs tels que Thawte ou VeriSign, et qu’elle est également conforme à la norme PCI DSS..

Obtenir la pleine conformité à la norme PCI DSS peut sembler décourageant pour les petites entreprises. Heureusement, de nombreuses entreprises proposent des services de conformité et des outils que votre entreprise peut utiliser pour simplifier considérablement le processus..

L'un des outils est QualysGuard PCI Compliance. Le système basé sur le cloud offre un processus simplifié qui fournit également l'assurance que votre réseau est hautement sécurisé. L'application Web QualysGuard PCI vous guide tout au long du processus de conformité PCI avec son approche facile à suivre et des conseils de conformité étape par étape.

Une fois que votre entreprise a obtenu son certificat SSL et est également conforme à la norme PCI DSS, elle doit rester vigilante en matière de fraude par carte. Comme de plus en plus d'initiatives de sécurité ont été développées, telles que PCI DSS et Chip & PIN, le nombre d'incidents de fraude par carte a diminué, mais votre entreprise doit avoir une connaissance détaillée des mesures à prendre en cas de soupçon de fraude. Visa propose un document pratique intitulé "Que faire si votre site est compromis" qui examine de près les types de fraude par carte à surveiller et ce qu'il faut faire si vous pensez qu'une fraude par carte a eu lieu. Si votre entreprise n’est pas encore conforme à la norme PCI DSS, mettez-la en tête de votre agenda..