Le standard PCI DSS pour la protection des données de carte se fixe pour objectif d’assurer la sécurité des données de carte transitant à travers des canaux de paiement.
Pour un commerçant, définir ses canaux de paiement revient à répondre à la question « Quels sont les moyens dont mes clients disposent pour payer par carte bancaire ? » Ces canaux sont majoritairement des sites de e-commerce, des bornes de paiement ou caisses physiques et des centres d’appel.
Cependant, même à l’issue de cette mise en conformité des canaux, il est encore possible de recevoir des données de carte via des canaux non sécurisés. En effet, le plus souvent les canaux sécurisés correspondent aux canaux qui ont été mis en conformité PCI DSS. Il s’agit des canaux « classiques » de paiement par carte, c’est-à-dire les canaux « par lesquels les clients devraient normalement payer par carte ».
Nous vous proposons une série de questions/réponses pour mieux comprendre l’enjeu de sécurité de ces canaux.
Q: Ceci signifie-t-il que, même en étant certifié PCI DSS, un marchand peut recevoir des numéros de carte en clair et donc mettre en danger la sécurité de ces donnés ?
R: Oui, même en étant certifié, un marchand n’est pas à l’abri de recevoir des numéros de carte en clair. C’est pourquoi, le consortium des marques de cartes (PCI SSC), a jugé nécessaire au sein de sa FAQ de donner davantage d’éléments pour mieux comprendre l’enjeu d’un tel événement.
Q: Mais comment est-ce possible si le marchand est certifié PCI DSS ?
R: Seuls les canaux définis dans l’attestation de conformité sont certifiés PCI DSS. Si un client parvient à transmettre des données de carte par un autre moyen que les canaux certifiés, on dit qu’il a réussi à transmettre des données de carte via un « canal non certifié ». Un canal non certifié n’a pas vocation à recevoir des données de carte et n’a donc pas été sécurisé. Prenons l’exemple d’un client qui envoie un mail en indiquant vouloir régler son achat par carte et fournit dans le même mail son numéro de carte (voire son cryptogramme). Le marchand qui a certifié son site de e-commerce ne s’attendait sûrement pas à recevoir des données de carte de ses clients par mail.
Ainsi, se prémunir totalement de la réception de données de carte via des canaux non sécurisés est un défi souvent très coûteux à relever. En effet, la solution radicale est d’inclure les canaux de communication entre les clients et le marchand dans le périmètre de la certification PCI DSS. Cependant, rares sont les marchands qui optent pour cette solution car elle nécessite de mener une (longue) démarche de certification apportant de profonds changements aux processus existants.
Q : Que faire si, en tant que marchand certifié PCI DSS, je reçois des données de carte via un canal non sécurisé ?
R : Lorsqu’un tel événement se produit, le marchand doit être en mesure de limiter l’exposition des données de carte reçues. Ainsi, nous vous recommandons de sensibiliser et former le personnel pour savoir réagir en cas de découverte de numéro de carte en clair. Par exemple, le personnel pourrait être formé à effacer les données de carte contenues dans un mail avant de répondre à un client qui les auraient transmises par ce canal.
Cette solution n’empêche pas la réception de données via un canal non certifié mais a le mérite d’avoir limité leur diffusion. De ce fait, en cas de découverte de numéro de carte en clair, le marchand et ses collaborateurs sauront réagir pour minimiser l’impact de cet événement.
Dans tous les cas, la sensibilisation des clients est incontournable pour que ces derniers connaissent les moyens de paiement qui sont mis à leur disposition. Cette sensibilisation pourrait être menée via une campagne de communication par mail.
Vous souhaitez en savoir plus sur la certification PCI DSS ? Rendez-vous ici
Découvrir d'autres articles
-
PCI DSSPCI v4.0 – 6.3.2 : Comment automatiser l’inventaire et la veille sur les bibliothèques tierces ?
Lire l'article
