Qu’est-ce que la norme PCI DSS ?

Le Conseil des normes de sécurité PCI (Payment Card Industry) est un conglomérat international pour le développement, l’amélioration, le stockage, la diffusion et la mise en œuvre en continu des normes de sécurité pour la protection des données de comptes. Cette organisation a été fondée par les principaux établissements émetteurs de cartes (Visa, Mastercard, American Express, Discover, JCB). Son objectif est de définir les bonnes pratiques que les marchands et les fournisseurs de services doivent respecter en vue de protéger les données de paiement des titulaires de cartes. C’est ce conglomérat qui a créé les normes de sécurité des données « Data Security Standards » ou DSS.

La norme PCI DSS est un ensemble de directives et de bonnes pratiques commerciales et de sécurité du réseau adoptées par le Conseil des normes de sécurité PCI afin d’établir une norme de sécurité minimale pour protéger les informations de carte de paiement des clients. Cette norme s’applique à tous les systèmes, réseaux et applications qui traitent, stockent ou transmettent les données des titulaires de cartes, ainsi qu’aux systèmes utilisés pour sécuriser et consigner l’accès aux systèmes concernés.

MondoPal est-il conforme ?

Oui, nous le sommes. La façon la plus simple pour nous d’être conforme PCI DSS est de ne jamais voir ou accéder aux données de la carte de paiement d’un utilisateur. Les passerelles de paiement que nous utilisons nous facilitent la tâche car elles peuvent faire le gros du travail pour protéger les informations de carte de nos clients.

En bref, lors des paiements, les clients sont redirigés vers les passerelles de nos partenaires comme Stripe qui utilisent leurs propres serveurs pour traiter les paiements de façon totalement sécurisée.

En utilisant des passerelles reconnues, un fournisseur d’hébergement leader et en établissant des pratiques claires et « best-in-class », nous respectons les 12 exigences PCI DSS fondamentales, dans les 6 catégories de normes PCI. Plus d’informations ci-dessous.

Catégories	Exigences fondamentales
Construire et maintenir un réseau sécurisé.	Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de carte ; Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe du système et d’autres paramètres de sécurité.
Protéger les données du titulaire.	Protéger les données stockées des titulaires de carte ; Crypter la transmission des données des titulaires de carte sur des réseaux publics ouverts.
Maintenir un programme de gestion de la vulnérabilité.	Utiliser et mettre à jour régulièrement un logiciel antivirus ; Développer et maintenir des systèmes et des applications sécurisés.
Mettre en place des mesures de contrôle d’accès sécurisées.	Restreindre l’accès aux données des titulaires de carte au maximum ; Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur ; Restreindre l’accès physique aux données du titulaire de carte.
Tester les réseaux régulièrement.	Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte ; Tester régulièrement les systèmes et processus de sécurité.
Maintenir une politique de sécurité des informations.	Maintenir une politique qui traite de la sécurité des informations.

---