Journal : Le PCI DSS : un standard de sécurité pour les données bancaires
Posté par Amaury () le 27 novembre 2007
Le développement du commerce électronique entraîne un accroissement des vols d'informations bancaires en ligne. Premier coupable, le stockage des données de cartes bancaires s'avère insuffisamment sécurisé. Que l'on utilise une solution de paiement développée en interne ou un logiciel fourni par un tiers, le risque de voir les données de la carte bancaire subtilisée par un tiers mal intentionné est réel. L'exemple le plus marquant a touché la chaîne de prêt-à-porter américaine T.J Maxx qui a été l'objet d'une intrusion affectant 45 millions de comptes clients.
Face à cette situation, les différentes société de cartes bancaires ont proposé des standards de sécurité au fil des années (Visa avec son "Information Security Program, Amex avec le "Data Security Operating policy" etc). Aucune société n'ayant réussi à imposer sa propre certification à l'ensemble du secteur, le "Payment Card Industry" (PCI) a été en 2004. Ce consortium a formalisé un certain nombre d'exigences sécurité que les acteurs traitant et stockant des informations de cartes bancaires doivent respecter : le "PCI Data Security Standard" (PCI DSS).
Le PCI DSS identifie 12 points de contrôle à respecter, répartis en 6 domaines et touchant la récupération, le stockage et l'utilisation d'informations bancaires, la preuve de conformité vis à vis des contrôles et la surveillance du système d'informations hébergeant les données. Les compagnies gérant les cartes bleues ont demandé à tous les acteurs concernés de se mettre en conformité avec les exigences du PCI DSS d'ici la fin de l'année. Le GIE cartes bancaires communique à ce sujet en conseillant de prendre contact avec son banquier sans toutefois préciser les modalités d'application (date, amende en cas de non respect).
Si vous faites partie d'une société traitant ou hébergeant des informations carte bancaire, vous devrez être en mesure de prouver la conformité PCI DSS dès le début de l'année prochaine... Et si vous achetez en ligne, vous pouvez dès à présent contacter votre site préféré pour lui demander s'il est "PCI DSS compliant" ou non.
Le site du PCI https://www.pcisecuritystandards.org/
L'affaire T.J Maxx http://online.wsj.com/article/SB117824446226991797.html
Télécharger les points de contrôle https://www.pcisecuritystandards.org/tech/download_the_pci_d(...)
Infos du GIE cartes bancaires http://www.cartes-bancaires.com/fr/dossiers/elements_securit(...)
Solutions de paiement validées par Visa http://usa.visa.com/download/merchants/validated_payment_app(...)
Face à cette situation, les différentes société de cartes bancaires ont proposé des standards de sécurité au fil des années (Visa avec son "Information Security Program, Amex avec le "Data Security Operating policy" etc). Aucune société n'ayant réussi à imposer sa propre certification à l'ensemble du secteur, le "Payment Card Industry" (PCI) a été en 2004. Ce consortium a formalisé un certain nombre d'exigences sécurité que les acteurs traitant et stockant des informations de cartes bancaires doivent respecter : le "PCI Data Security Standard" (PCI DSS).
Le PCI DSS identifie 12 points de contrôle à respecter, répartis en 6 domaines et touchant la récupération, le stockage et l'utilisation d'informations bancaires, la preuve de conformité vis à vis des contrôles et la surveillance du système d'informations hébergeant les données. Les compagnies gérant les cartes bleues ont demandé à tous les acteurs concernés de se mettre en conformité avec les exigences du PCI DSS d'ici la fin de l'année. Le GIE cartes bancaires communique à ce sujet en conseillant de prendre contact avec son banquier sans toutefois préciser les modalités d'application (date, amende en cas de non respect).
Si vous faites partie d'une société traitant ou hébergeant des informations carte bancaire, vous devrez être en mesure de prouver la conformité PCI DSS dès le début de l'année prochaine... Et si vous achetez en ligne, vous pouvez dès à présent contacter votre site préféré pour lui demander s'il est "PCI DSS compliant" ou non.
Le site du PCI https://www.pcisecuritystandards.org/
L'affaire T.J Maxx http://online.wsj.com/article/SB117824446226991797.html
Télécharger les points de contrôle https://www.pcisecuritystandards.org/tech/download_the_pci_d(...)
Infos du GIE cartes bancaires http://www.cartes-bancaires.com/fr/dossiers/elements_securit(...)
Solutions de paiement validées par Visa http://usa.visa.com/download/merchants/validated_payment_app(...)
> Lire le journal (8 commentaires, moyenne: 2,4).
Vous avez demandé le commentaire #885554.
Run by 
Cette page a été générée par Templeet en 0.0514s (dont 0.0048 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Une autre solution ...
Pour ne pas laisser traîner son numéro de carte bleue n'importe où, on peut avoir dans certaines banques une carte bleue virtuelle, pour laquelle on fixe un montant à débiter maximum et une date limite de validité.
Ainsi, même si le site en ligne se fait pirater, les numéros ne sont plus valides, donc pas de soucis.
« Le savoir, n'est-ce pas, est un bien précieux. Trop précieux pour ne pas être partagé. »
- Battologio d'Epanalepse, in De Cape et de Crocs, Acte VII (Ayroles & Masbou)
[^]Re: Une autre solution ...
Oui, mais à ma connaissance, ces services sont tous payants, et il n'y a aucune raison que cela soit à la charge du client parce que rien n'a jamais été fait par les banques pour sécuriser les paiements en ligne.
[^]Re: Une autre solution ...
Pourrais-tu me donner un exemple de carte bleue virtuelle qui soit utilisable avec des logiciels libres ?
Parce-que ma banque (cela fait un baille que je ne me suis pas penché sur la question) elle me demandais d'installer un logiciel pour windows uniquement.
[^]Re: Une autre solution ...
Au CIC , il n'y a pas de logiciel spécifique, il faut la demander en se connectant sur leur site.
« Le savoir, n'est-ce pas, est un bien précieux. Trop précieux pour ne pas être partagé. »
- Battologio d'Epanalepse, in De Cape et de Crocs, Acte VII (Ayroles & Masbou)
[^]Re: Une autre solution ...
Merci :)
J'en parlerai à ma banque.
[^]Re: Une autre solution ...
Crédit Mutuel aussi. (c'est le même groupe que le CIC, mais je ne sais pas si leur SI est commun)
[^]Re: Une autre solution ...
Le SI est commun (sauf pour pour certaines federations CM de l'Ouest de la France qui préferent garder leur indépendance).