Pour gérer vos consentements :
Categories: Régulations

Paiement carte bancaire au 1er janvier 2013 : quid de la conformité PCI DSS ?

Le passage à l’an 2013 sera-t-il un casse-tête pour certains prestataires impliqués dans la chaîne des paiements par cartes bancaires ? Faut-il imaginer les mêmes risques, ou les mêmes déboires que pour le passage à l’euro ?

Depuis plusieurs années déjà, les opérateurs des cartes de paiement, relayés par les banques, ont averti que des normes de sécurité allaient s’imposer. En lien avec le groupement des cartes bancaires, les principaux opérateurs que sont Visa ou MasterCard, notamment, ont averti tous les acteurs de la chaîne de paiement par carte qu’ils devaient être enregistrés et qu’ils devaient s’engager à appliquer les exigences d’une norme internationale dite PCI – DSS (Payment Card Industry Data Security Standard) à la date du 1er janvier 2013.

Les opérateurs ont prévenu, il y a plus d’un an, que les commerçants qui continueraient de faire appel à des prestataires (‘merchant agents‘) qui ne seraient pas identifiés et pas conformes à cette norme pourraient s’exposer à des formes de « pénalités ».  Qu’en est-il au juste ? De quelles pénalités s’agit-il ?

Pas moins de 12 mesures à appliquer

Les « merchant agents » qui appliquent les 12 mesures prévues par cette norme sont exemptés des frais de fraude en cas de violation des données des porteurs de carte. Donc, par déduction, si les prestataires ne sont pas identifiés ou s’il est avéré qu’il n’y a pas protection suffisante, le commerçant s’expose à des ennuis.

12 exigences, réparties en 6 thèmes, touchent à la sécurisation du réseau (installation de ‘firewalls‘), à la protection des données sur les porteurs de carte (chiffrement, etc.), au choix d’outils de surveillance et de tests, etc. La plupart de ces mesures relèvent de bonnes pratiques. Mais elles ne sont pas toujours respectées pour autant.

«Nous avons effectivement fixé une échéance au 1/1/2013 date à laquelle nous demandons aux “merchant agents” de s’identifier auprès de Visa Europe via le site web créé à cet effet, et d’être en conformité avec PCI DSS», explique-t-on chez Visa Europe. Ces dispositions de sécurisation ont été communiquées il y a plus d’un an, en novembre 2011.

Des ‘incentives’

En revanche, plutôt que de parler de pénalités ou des mesures coercitives, Visa Europe dit avoir mis en place une mesure incitative (un ‘incentive’) consistant à faire bénéficier les « acquéreurs » d’une clause dit « safe harbour » -une sorte de label qualité. Cette clause d’assurance s’applique dès lors que le commerçant fait appel à un prestataire (« merchant agent ») certifié PCI DSS.

Pour relativiser la pression que certains fournisseurs ont mise sur le marché afin d’imposer la mise en conformité, les opérateurs de cartes, dont Visa Europe, ont reconnu qu’en France la quasi-généralisation des cartes à puces (ou ‘EMV’, avec le code iCVV au dos de la carte) atténuait certains risques de fraude.

Du coup, en avril 2011, il a été dit que les commerçants qui traitent plus de 95 % de leurs transactions par le biais de terminaux à puce EMV, sont exempts de pénalités pour non-conformité. Il leur est accordé un statut d’« immunité » à l’égard des pénalités et de l’attribution des pertes liées aux fraudes et contrefaçons en cas de compromission des données.

Mais la règle n’est pas supprimée pour autant: «Si vous enregistrez, traitez ou transmettez des numéros de compte ou données sur les porteurs de carte de paiement, vous devez montrer que vous êtes conforme au standard PCI. Et cette conformité doit être établie de façon récurrente».

Il reste à savoir comment se mettre en conformité et avec quel prestataire – qui ne soit pas juge et partie. Il existe des prestataires habilités QSA (Qualified Security Assessors) et des prestataires ASV (Approved Scan Vendor). Et dans quel délai cette conformité peut-elle être achevée. Certains fournisseurs, un peu alarmistes, parlent d’un an !
__________________

WEB CONFERENCE ce jeudi 13 décembre

Face à toutes les questions que pose cette échéance du 1er janvier 2013, la Rédaction de Silicon.fr a programmé une web-conférence en direct sur Internet, ce jeudi 13 décembre à 11h. Cette session de 35 minutes réunit des dirigeants de Visa Europe, ainsi que des spécialistes – dont un expert certifié QSA d’IBM France. Ils feront un point précis sur la situation en France. Pour participer, gratuitement, à cette web-conférence, il suffit de cliquer ici. Par la même occasion, toutes questions ou demandes de précisions sont bienvenues, dès à présent. Nous y répondrons durant la session.
____________________

La sécurité selon GenMsecure

Image 1 of 19

GenMsecure

Recent Posts

Quand le candidat IT idéal n’est pas celui que vous croyez

L'usage de "deepfakes" et d'informations d'identification personnelle volées progresse chez les candidats et usurpateurs patentés…

16 heures ago

Roaming : le menu dans l’Union européenne jusqu’en 2032

La nouvelle régulation sur l'itinérance mobile dans l'UE est entrée en application. Quelles en sont…

16 heures ago

Vers une régulation européenne des cryptoactifs : quelles bases technologiques ?

Les colégislateurs de l'UE ont trouvé un accord provisoire sur trois propositions de règlements touchant…

19 heures ago

Google Cloud ouvre sa région France

Google Cloud dispose d'une région France lancée commercialement fin juin. Une étape indispensable pour lutter…

22 heures ago

Pourquoi FedEx bascule des grands systèmes au cloud

Le transporteur américain FedEx va fermer les 20% restants de ses mainframes dans les deux…

23 heures ago

Cloud de confiance : quelle feuille de route pour S3NS, la coentreprise Google-Thales ?

Sous l'ombrelle S3NS, Google et Thales esquissent une première offre en attendant celle qui visera…

2 jours ago