Le développement du commerce électronique entraîne un accroissement des vols d'informations bancaires en ligne. Premier coupable, le stockage des données de cartes bancaires s'avère insuffisamment sécurisé. Que l'on utilise une solution de paiement développée en interne ou un logiciel fourni par un tiers, le risque de voir les données de la carte bancaire subtilisée par un tiers mal intentionné est réel. L'exemple le plus marquant a touché la chaîne de prêt-à-porter américaine T.J Maxx qui a été l'objet d'une intrusion affectant 45 millions de comptes clients.
Face à cette situation, les différentes société de cartes bancaires ont proposé des standards de sécurité au fil des années (Visa avec son "Information Security Program, Amex avec le "Data Security Operating policy" etc). Aucune société n'ayant réussi à imposer sa propre certification à l'ensemble du secteur, le "Payment Card Industry" (PCI) a été en 2004. Ce consortium a formalisé un certain nombre d'exigences sécurité que les acteurs traitant et stockant des informations de cartes bancaires doivent respecter : le "PCI Data Security Standard" (PCI DSS).
Le PCI DSS identifie 12 points de contrôle à respecter, répartis en 6 domaines et touchant la récupération, le stockage et l'utilisation d'informations bancaires, la preuve de conformité vis à vis des contrôles et la surveillance du système d'informations hébergeant les données. Les compagnies gérant les cartes bleues ont demandé à tous les acteurs concernés de se mettre en conformité avec les exigences du PCI DSS d'ici la fin de l'année. Le GIE cartes bancaires communique à ce sujet en conseillant de prendre contact avec son banquier sans toutefois préciser les modalités d'application (date, amende en cas de non respect).
Si vous faites partie d'une société traitant ou hébergeant des informations carte bancaire, vous devrez être en mesure de prouver la conformité PCI DSS dès le début de l'année prochaine... Et si vous achetez en ligne, vous pouvez dès à présent contacter votre site préféré pour lui demander s'il est "PCI DSS compliant" ou non.
Le site du PCI https://www.pcisecuritystandards.org/
L'affaire T.J Maxx http://online.wsj.com/article/SB117824446226991797.html
Télécharger les points de contrôle https://www.pcisecuritystandards.org/tech/download_the_pci_d(...)
Infos du GIE cartes bancaires http://www.cartes-bancaires.com/fr/dossiers/elements_securit(...)
Solutions de paiement validées par Visa http://usa.visa.com/download/merchants/validated_payment_app(...)
# La compliance n'engage que ceux qui y croient
Posté par tfing . Évalué à 2.
Comment être "PCI DSS compliant" en douceur
http://ha.ckers.org/blog/20071111/passing-pci-subversively/
Les points de contrôle sont loin d'être suffisants
http://taosecurity.blogspot.com/2007/11/controls-are-not-sol(...)
J'ai un avis plus moderé sur le sujet que l'auteur du post en question qui jette un peu le bébé avec l'eau du bain.
# Une autre solution ...
Posté par Jak . Évalué à 4.
Ainsi, même si le site en ligne se fait pirater, les numéros ne sont plus valides, donc pas de soucis.
[^] # Re: Une autre solution ...
Posté par JereMe . Évalué à 3.
[^] # Re: Une autre solution ...
Posté par blobmaster . Évalué à 2.
Parce-que ma banque (cela fait un baille que je ne me suis pas penché sur la question) elle me demandais d'installer un logiciel pour windows uniquement.
[^] # Re: Une autre solution ...
Posté par Jak . Évalué à 2.
[^] # Re: Une autre solution ...
Posté par blobmaster . Évalué à 2.
J'en parlerai à ma banque.
[^] # Re: Une autre solution ...
Posté par Wawet76 . Évalué à 2.
[^] # Re: Une autre solution ...
Posté par fjbles . Évalué à 2.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.