Renseignements sur la conformité avec le SCP

Exigences et validation relatives à la conformité avec la norme PCI DSS

Les normes de sécurité des données du secteur des cartes de paiement (norme PCI DSS) sont conçues pour fournir aux commerçants une seule série d'exigences relatives à la protection des données sensibles. Ces normes ont été adoptées par toutes les marques de cartes, conjointement avec la norme PCI DSS. Les normes stipulent que tous les commerçants (quels que soient leur taille ou le type de système de paiement) qui stockent ou traitent les données de titulaires de cartes ou y ont accès doivent être conformes aux normes afin de protéger ces données.

Quelles sont ces exigences?

La norme PCI DSS se compose de 12 clauses. Ces clauses abordent l'éventail complet des sujets nécessaires pour assurer la sécurité des données. Elles vont de la suppression des données sensibles des cartes de paiement de vos terminaux de paiement à la mise en œuvre de politiques en matière de sécurité des données que vos employés doivent suivre.

En conjonction avec les douze clauses, le PCI Security Council a mis au point l'approche priorisée, qui fournit des lignes directrices aux commerçants non conformes qui souhaitent se conformer à la norme.

Niveaux des clauses

Niveau
Critère
Clauses à satisfaire
 
1

Plus de 6 millions de transactions par Visa ou MasterCard sur une période de 12 mois

  • Évaluation sur site effectuée par un évaluateur qualifié en matière de sécurité
  • Analyses trimestrielles du réseau
 
2

Entre 1 et 6 millions de transactions par Visa ou MasterCard sur une période de 12 mois

  • Questionnaire d'évaluation rempli par des employés internes accrédités ou évaluation sur site effectuée par un évaluateur qualifié en matière de sécurité
  • Analyses trimestrielles du réseau
 
3

Entre 20 000 et 1 million de transactions de commerce électronique par Visa ou MasterCard sur une période de 12 mois

  • Questionnaire d'autoévaluation
  • Analyses trimestrielles du réseau
 
4

Moins de 20 000 transactions de commerce électronique ou moins de 1 million de transactions avec une seule marque de carte de paiement sur une période de 12 mois

  • Questionnaire d'autoévaluation
  • Analyses trimestrielles du réseau
  • La présentation à l'acquéreur n'est pas obligatoire

Validation de la conformité

Votre acquéreur/société de traitement des paiements peut exiger la présentation de documents, en fonction de votre niveau de signalement de la sécurité des données, afin de valider votre conformité avec la norme PCI DSS, par exemple :

  • Rapport sur la conformité (ROC)
  • Questionnaire d'autoévaluation (SAQ) et Attestation de conformité
  • Analyse des vulnérabilités de la sécurité « propre » effectuée par un prestataire de services d’analyse agréé (ASV)
  • Utilisation d'une application de paiement conforme à la norme PA DSS (Payment Application Data Security Standard)

Analyses des vulnérabilités

Quelle est l'importance des analyses? L'avantage de procéder à une analyse trimestrielle du réseau est de s'assurer que votre environnement de traitement des paiement est interdit aux individus dont les intentions sont malveillantes. En plus de protéger les données de titulaires de cartes de vos clients, l'exécution d'analyses du réseau est une clause de la conformité continue avec la norme PCI DSS.

Ces analyses sont des tests non intrusifs qui sondent les systèmes à interface externe et font rapport sur les services disponibles par l'entremise de votre connexion Internet. Pour obtenir une liste des prestataires de services d’analyse agréés, consultez le site Web du PCI Security Standards Council.

Pour obtenir les mises à jour des associations de cartes sur la sécurité des données, veuillez consulter les sites Web de Visa Canada ou de MasterCard Canada.