Paiement carte bancaire au 1er janvier 2013 : quid de la conformité PCI DSS ?

Cartes de paiement

Les institutionnels de la Carte Bancaire, dont Visa Europe (ex Carte Bleue), ont demandé aux acteurs de la chaîne de paiement par cartes bancaires d’être en conformité ‘PCI DSS’ au 1er janvier 2013. Qu’encourent-ils s’ils ne le sont pas ?

Le passage à l’an 2013 sera-t-il un casse-tête pour certains prestataires impliqués dans la chaîne des paiements par cartes bancaires ? Faut-il imaginer les mêmes risques, ou les mêmes déboires que pour le passage à l’euro ?

Depuis plusieurs années déjà, les opérateurs des cartes de paiement, relayés par les banques, ont averti que des normes de sécurité allaient s’imposer. En lien avec le groupement des cartes bancaires, les principaux opérateurs que sont Visa ou MasterCard, notamment, ont averti tous les acteurs de la chaîne de paiement par carte qu’ils devaient être enregistrés et qu’ils devaient s’engager à appliquer les exigences d’une norme internationale dite PCI – DSS (Payment Card Industry Data Security Standard) à la date du 1er janvier 2013.

Les opérateurs ont prévenu, il y a plus d’un an, que les commerçants qui continueraient de faire appel à des prestataires (‘merchant agents‘) qui ne seraient pas identifiés et pas conformes à cette norme pourraient s’exposer à des formes de « pénalités ».  Qu’en est-il au juste ? De quelles pénalités s’agit-il ?

Pas moins de 12 mesures à appliquer

Les « merchant agents » qui appliquent les 12 mesures prévues par cette norme sont exemptés des frais de fraude en cas de violation des données des porteurs de carte. Donc, par déduction, si les prestataires ne sont pas identifiés ou s’il est avéré qu’il n’y a pas protection suffisante, le commerçant s’expose à des ennuis.

12 exigences, réparties en 6 thèmes, touchent à la sécurisation du réseau (installation de ‘firewalls‘), à la protection des données sur les porteurs de carte (chiffrement, etc.), au choix d’outils de surveillance et de tests, etc. La plupart de ces mesures relèvent de bonnes pratiques. Mais elles ne sont pas toujours respectées pour autant.

«Nous avons effectivement fixé une échéance au 1/1/2013 date à laquelle nous demandons aux “merchant agents” de s’identifier auprès de Visa Europe via le site web créé à cet effet, et d’être en conformité avec PCI DSS», explique-t-on chez Visa Europe. Ces dispositions de sécurisation ont été communiquées il y a plus d’un an, en novembre 2011.

Des ‘incentives’

En revanche, plutôt que de parler de pénalités ou des mesures coercitives, Visa Europe dit avoir mis en place une mesure incitative (un ‘incentive’) consistant à faire bénéficier les « acquéreurs » d’une clause dit « safe harbour » -une sorte de label qualité. Cette clause d’assurance s’applique dès lors que le commerçant fait appel à un prestataire (« merchant agent ») certifié PCI DSS.

Pour relativiser la pression que certains fournisseurs ont mise sur le marché afin d’imposer la mise en conformité, les opérateurs de cartes, dont Visa Europe, ont reconnu qu’en France la quasi-généralisation des cartes à puces (ou ‘EMV’, avec le code iCVV au dos de la carte) atténuait certains risques de fraude.

Du coup, en avril 2011, il a été dit que les commerçants qui traitent plus de 95 % de leurs transactions par le biais de terminaux à puce EMV, sont exempts de pénalités pour non-conformité. Il leur est accordé un statut d’« immunité » à l’égard des pénalités et de l’attribution des pertes liées aux fraudes et contrefaçons en cas de compromission des données.

Mais la règle n’est pas supprimée pour autant: «Si vous enregistrez, traitez ou transmettez des numéros de compte ou données sur les porteurs de carte de paiement, vous devez montrer que vous êtes conforme au standard PCI. Et cette conformité doit être établie de façon récurrente».

Il reste à savoir comment se mettre en conformité et avec quel prestataire – qui ne soit pas juge et partie. Il existe des prestataires habilités QSA (Qualified Security Assessors) et des prestataires ASV (Approved Scan Vendor). Et dans quel délai cette conformité peut-elle être achevée. Certains fournisseurs, un peu alarmistes, parlent d’un an !
__________________

WEB CONFERENCE ce jeudi 13 décembre

Face à toutes les questions que pose cette échéance du 1er janvier 2013, la Rédaction de Silicon.fr a programmé une web-conférence en direct sur Internet, ce jeudi 13 décembre à 11h. Cette session de 35 minutes réunit des dirigeants de Visa Europe, ainsi que des spécialistes – dont un expert certifié QSA d’IBM France. Ils feront un point précis sur la situation en France. Pour participer, gratuitement, à cette web-conférence, il suffit de cliquer ici. Par la même occasion, toutes questions ou demandes de précisions sont bienvenues, dès à présent. Nous y répondrons durant la session. 
____________________

La sécurité selon GenMsecure

Image 1 of 19

GenMsecure