Journal Le PCI DSS : un standard de sécurité pour les données bancaires

Le développement du commerce électronique entraîne un accroissement des vols d'informations bancaires en ligne. Premier coupable, le stockage des données de cartes bancaires s'avère insuffisamment sécurisé. Que l'on utilise une solution de paiement développée en interne ou un logiciel fourni par un tiers, le risque de voir les données de la carte bancaire subtilisée par un tiers mal intentionné est réel. L'exemple le plus marquant a touché la chaîne de prêt-à-porter américaine T.J Maxx qui a été l'objet d'une intrusion affectant 45 millions de comptes clients.

Face à cette situation, les différentes société de cartes bancaires ont proposé des standards de sécurité au fil des années (Visa avec son "Information Security Program, Amex avec le "Data Security Operating policy" etc). Aucune société n'ayant réussi à imposer sa propre certification à l'ensemble du secteur, le "Payment Card Industry" (PCI) a été en 2004. Ce consortium a formalisé un certain nombre d'exigences sécurité que les acteurs traitant et stockant des informations de cartes bancaires doivent respecter : le "PCI Data Security Standard" (PCI DSS).

Le PCI DSS identifie 12 points de contrôle à respecter, répartis en 6 domaines et touchant la récupération, le stockage et l'utilisation d'informations bancaires, la preuve de conformité vis à vis des contrôles et la surveillance du système d'informations hébergeant les données. Les compagnies gérant les cartes bleues ont demandé à tous les acteurs concernés de se mettre en conformité avec les exigences du PCI DSS d'ici la fin de l'année. Le GIE cartes bancaires communique à ce sujet en conseillant de prendre contact avec son banquier sans toutefois préciser les modalités d'application (date, amende en cas de non respect).

Si vous faites partie d'une société traitant ou hébergeant des informations carte bancaire, vous devrez être en mesure de prouver la conformité PCI DSS dès le début de l'année prochaine... Et si vous achetez en ligne, vous pouvez dès à présent contacter votre site préféré pour lui demander s'il est "PCI DSS compliant" ou non.

Le site du PCI https://www.pcisecuritystandards.org/
L'affaire T.J Maxx http://online.wsj.com/article/SB117824446226991797.html
Télécharger les points de contrôle https://www.pcisecuritystandards.org/tech/download_the_pci_d(...)
Infos du GIE cartes bancaires http://www.cartes-bancaires.com/fr/dossiers/elements_securit(...)
Solutions de paiement validées par Visa http://usa.visa.com/download/merchants/validated_payment_app(...)