Europ Assistance certifiée PCI-DSS

Europ Assistance France est le premier assisteur à être certifié PCI-DSS pour la sécurité des données sensibles de l’ensemble de ses activités.

De par ses activités de « care services » la société Europ Assistance est confrontée au quotidien à la problématique de sécurité de ses clients, et en particulier des données sensibles qui transitent sur son système d’information, dont celles issues des cartes de paiement.

Si le groupe répond depuis plusieurs années à la norme PCI-DSS sur les transactions, il a étendu sa stratégie sécuritaire et depuis le 1er janvier a certifié PCI DSS v2.0 l’ensemble de ses activités commerciales et opérationnelles, notamment ses services de conciergerie.

Comme l’indique le communiqué, « que ce soit dans le cadre de la souscription d’un contrat, du paiement d’une prestation d’assistance à la demande (hors contrat) ou d’une transaction liée à l’utilisation de son service de conciergerie, Europ Assistance assure une totale garantie de sécurité à ses clients pour les opérations monétiques qu’ils effectuent en ligne ou par téléphone. »

À la rencontre de PCI-DSS

Au-delà de ce cas concret, l’occasion nous est donnée de rappeler ce qu’est la norme PCI-DSS (Payment Card Industry Data Security Standard). Il s’agit d’une référence en matière de sécurité pour les entreprises qui conservent, transmettent et traitent les données de propriétaires de cartes de paiement.

C’est en 2009 que les banques françaises ont fait le choix de soutenir la norme de sécurité PCI-DSS. Pour autant elles n’avaient guère le choix, puisque les membres du comité PCI SSC (Payment Card Industry Security Standards Council) – Visa, MasterCard, American Express, Discover et JCB – fondé en 2006 et à l’origine de PCI-DSS, avaient imposé la mise en conformité sur cette norme, et qu’ils ont accompagné leur décision de pénalités contractuelles en cas de retard à l’adoption.

Référentiel de bonnes pratiques

PCI-DSS est un référentiel de bonnes pratiques qui fournit 12 règlements, et autant de points de certification, pour la sécurisation des données cartes bancaires. Ses porteurs l’ont rendu obligatoire pour les transactions bancaires opérées par des sites internet, que ces dernières fassent l’objet d’un simple traitement ou du stockage de données. L’objectif est en particulier d’uniformiser les pratiques de sécurité à l’échelle mondiale.

À l’origine, le cycle de vie de PCI-DSS a été fixé à 2 ans. Ainsi en 2010 le comité PCI SSC a publié la version 2.0 de PCI-DSS, applicable depuis le 1er janvier 2012. Cette publication s’est accompagnée d’un changement significatif : les versions majeures s’enchaineront désormais tous les 3 ans.

Pour autant, concernant ces évolutions, nous évoquerons plutôt une marche vers plus de maturité du référentiel de gestion des données sensibles, plutôt que des modifications en profondeur. Et même si PCI-DSS se veut ambitieux, les pratiques regroupées ici sont publiques, et n’échappent pas aux armées de développeurs mafieux qui vont chercher à les détourner pour s’approprier les données que la norme est censée protéger. C’est un jeu du chat et de la souris qui ne risque pas de cesser de si tôt !