Pour gérer vos consentements :
Categories: CloudSécurité

Europ Assistance certifiée PCI-DSS

De par ses activités de « care services » la société Europ Assistance est confrontée au quotidien à la problématique de sécurité de ses clients, et en particulier des données sensibles qui transitent sur son système d’information, dont celles issues des cartes de paiement.

Si le groupe répond depuis plusieurs années à la norme PCI-DSS sur les transactions, il a étendu sa stratégie sécuritaire et depuis le 1er janvier a certifié PCI DSS v2.0 l’ensemble de ses activités commerciales et opérationnelles, notamment ses services de conciergerie.

Comme l’indique le communiqué, « que ce soit dans le cadre de la souscription d’un contrat, du paiement d’une prestation d’assistance à la demande (hors contrat) ou d’une transaction liée à l’utilisation de son service de conciergerie, Europ Assistance assure une totale garantie de sécurité à ses clients pour les opérations monétiques qu’ils effectuent en ligne ou par téléphone. »

À la rencontre de PCI-DSS

Au-delà de ce cas concret, l’occasion nous est donnée de rappeler ce qu’est la norme PCI-DSS (Payment Card Industry Data Security Standard). Il s’agit d’une référence en matière de sécurité pour les entreprises qui conservent, transmettent et traitent les données de propriétaires de cartes de paiement.

C’est en 2009 que les banques françaises ont fait le choix de soutenir la norme de sécurité PCI-DSS. Pour autant elles n’avaient guère le choix, puisque les membres du comité PCI SSC (Payment Card Industry Security Standards Council) – Visa, MasterCard, American Express, Discover et JCB – fondé en 2006 et à l’origine de PCI-DSS, avaient imposé la mise en conformité sur cette norme, et qu’ils ont accompagné leur décision de pénalités contractuelles en cas de retard à l’adoption.

Référentiel de bonnes pratiques

PCI-DSS est un référentiel de bonnes pratiques qui fournit 12 règlements, et autant de points de certification, pour la sécurisation des données cartes bancaires. Ses porteurs l’ont rendu obligatoire pour les transactions bancaires opérées par des sites internet, que ces dernières fassent l’objet d’un simple traitement ou du stockage de données. L’objectif est en particulier d’uniformiser les pratiques de sécurité à l’échelle mondiale.

À l’origine, le cycle de vie de PCI-DSS a été fixé à 2 ans. Ainsi en 2010 le comité PCI SSC a publié la version 2.0 de PCI-DSS, applicable depuis le 1er janvier 2012. Cette publication s’est accompagnée d’un changement significatif : les versions majeures s’enchaineront désormais tous les 3 ans.

Pour autant, concernant ces évolutions, nous évoquerons plutôt une marche vers plus de maturité du référentiel de gestion des données sensibles, plutôt que des modifications en profondeur. Et même si PCI-DSS se veut ambitieux, les pratiques regroupées ici sont publiques, et n’échappent pas aux armées de développeurs mafieux qui vont chercher à les détourner pour s’approprier les données que la norme est censée protéger. C’est un jeu du chat et de la souris qui ne risque pas de cesser de si tôt !

Recent Posts

Quand le candidat IT idéal n’est pas celui que vous croyez

L'usage de "deepfakes" et d'informations d'identification personnelle volées progresse chez les candidats et usurpateurs patentés…

16 heures ago

Roaming : le menu dans l’Union européenne jusqu’en 2032

La nouvelle régulation sur l'itinérance mobile dans l'UE est entrée en application. Quelles en sont…

16 heures ago

Vers une régulation européenne des cryptoactifs : quelles bases technologiques ?

Les colégislateurs de l'UE ont trouvé un accord provisoire sur trois propositions de règlements touchant…

19 heures ago

Google Cloud ouvre sa région France

Google Cloud dispose d'une région France lancée commercialement fin juin. Une étape indispensable pour lutter…

21 heures ago

Pourquoi FedEx bascule des grands systèmes au cloud

Le transporteur américain FedEx va fermer les 20% restants de ses mainframes dans les deux…

22 heures ago

Cloud de confiance : quelle feuille de route pour S3NS, la coentreprise Google-Thales ?

Sous l'ombrelle S3NS, Google et Thales esquissent une première offre en attendant celle qui visera…

2 jours ago