Journal Le PCI DSS : un standard de sécurité pour les données bancaires

Posté par  .
Étiquettes : aucune
0
27
nov.
2007
Le développement du commerce électronique entraîne un accroissement des vols d'informations bancaires en ligne. Premier coupable, le stockage des données de cartes bancaires s'avère insuffisamment sécurisé. Que l'on utilise une solution de paiement développée en interne ou un logiciel fourni par un tiers, le risque de voir les données de la carte bancaire subtilisée par un tiers mal intentionné est réel. L'exemple le plus marquant a touché la chaîne de prêt-à-porter américaine T.J Maxx qui a été l'objet d'une intrusion affectant 45 millions de comptes clients.

Face à cette situation, les différentes société de cartes bancaires ont proposé des standards de sécurité au fil des années (Visa avec son "Information Security Program, Amex avec le "Data Security Operating policy" etc). Aucune société n'ayant réussi à imposer sa propre certification à l'ensemble du secteur, le "Payment Card Industry" (PCI) a été en 2004. Ce consortium a formalisé un certain nombre d'exigences sécurité que les acteurs traitant et stockant des informations de cartes bancaires doivent respecter : le "PCI Data Security Standard" (PCI DSS).

Le PCI DSS identifie 12 points de contrôle à respecter, répartis en 6 domaines et touchant la récupération, le stockage et l'utilisation d'informations bancaires, la preuve de conformité vis à vis des contrôles et la surveillance du système d'informations hébergeant les données. Les compagnies gérant les cartes bleues ont demandé à tous les acteurs concernés de se mettre en conformité avec les exigences du PCI DSS d'ici la fin de l'année. Le GIE cartes bancaires communique à ce sujet en conseillant de prendre contact avec son banquier sans toutefois préciser les modalités d'application (date, amende en cas de non respect).

Si vous faites partie d'une société traitant ou hébergeant des informations carte bancaire, vous devrez être en mesure de prouver la conformité PCI DSS dès le début de l'année prochaine... Et si vous achetez en ligne, vous pouvez dès à présent contacter votre site préféré pour lui demander s'il est "PCI DSS compliant" ou non.

Le site du PCI https://www.pcisecuritystandards.org/
L'affaire T.J Maxx http://online.wsj.com/article/SB117824446226991797.html
Télécharger les points de contrôle https://www.pcisecuritystandards.org/tech/download_the_pci_d(...)
Infos du GIE cartes bancaires http://www.cartes-bancaires.com/fr/dossiers/elements_securit(...)
Solutions de paiement validées par Visa http://usa.visa.com/download/merchants/validated_payment_app(...)
  • # La compliance n'engage que ceux qui y croient

    Posté par  . Évalué à 2.

    Je rajoute les liens suivants à la liste :

    Comment être "PCI DSS compliant" en douceur
    http://ha.ckers.org/blog/20071111/passing-pci-subversively/

    Les points de contrôle sont loin d'être suffisants
    http://taosecurity.blogspot.com/2007/11/controls-are-not-sol(...)
    J'ai un avis plus moderé sur le sujet que l'auteur du post en question qui jette un peu le bébé avec l'eau du bain.
  • # Une autre solution ...

    Posté par  . Évalué à 4.

    Pour ne pas laisser traîner son numéro de carte bleue n'importe où, on peut avoir dans certaines banques une carte bleue virtuelle, pour laquelle on fixe un montant à débiter maximum et une date limite de validité.
    Ainsi, même si le site en ligne se fait pirater, les numéros ne sont plus valides, donc pas de soucis.
    • [^] # Re: Une autre solution ...

      Posté par  . Évalué à 3.

      Oui, mais à ma connaissance, ces services sont tous payants, et il n'y a aucune raison que cela soit à la charge du client parce que rien n'a jamais été fait par les banques pour sécuriser les paiements en ligne.
    • [^] # Re: Une autre solution ...

      Posté par  . Évalué à 2.

      Pourrais-tu me donner un exemple de carte bleue virtuelle qui soit utilisable avec des logiciels libres ?
      Parce-que ma banque (cela fait un baille que je ne me suis pas penché sur la question) elle me demandais d'installer un logiciel pour windows uniquement.
      • [^] # Re: Une autre solution ...

        Posté par  . Évalué à 2.

        Au CIC , il n'y a pas de logiciel spécifique, il faut la demander en se connectant sur leur site.
        • [^] # Re: Une autre solution ...

          Posté par  . Évalué à 2.

          Merci :)

          J'en parlerai à ma banque.
        • [^] # Re: Une autre solution ...

          Posté par  . Évalué à 2.

          Crédit Mutuel aussi. (c'est le même groupe que le CIC, mais je ne sais pas si leur SI est commun)
          • [^] # Re: Une autre solution ...

            Posté par  . Évalué à 2.

            Le SI est commun (sauf pour pour certaines federations CM de l'Ouest de la France qui préferent garder leur indépendance).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.