La conformité PCI dans la sphère du commerce électronique

En matière de commerce électronique, la sécurisation des données des titulaires de cartes, destinée à garantir la confidentialité et l’authenticité des transactions, peut vite déconcerter. Que faut-il faire pour s’assurer du bon respect des normes PCI édictée par l’industrie des paiements ? Le système de back-end de l’entreprise est-il conforme ? Quelles sont les mesures à prendre pour éviter une fuite de données ? Vaut-il mieux héberger ou au contraire externaliser le stockage des données de paiement ?

Les paiements par carte s’accompagnent dans la sphère e-commerce d’importantes responsabilités et tout manquement à la conformité aux normes PCI peut sévèrement dégrader l’image de l’entreprise. Les risques sont multiples : baisse des ventes, pertes liées à la fraude, coûts de remédiation afin de remettre en service les systèmes affectés, gestion du poste client et perte réputationnelle.

Pour Eric Page, responsable Contrôle et Conformité chez Airgas, « la mise en conformité aux normes PCI est un effort qui se mène à l’échelle de l’entreprise. Ce sujet ne se réduit pas au coût des prestataires et des salariés chargés de veiller à notre bon respect des règles. Il y un coût intrinsèque, qui se mesure à l’échelle de l’entreprise, pour s’assurer que tout le monde connaît les normes PCI, comprend comment celles-ci affectent notre activité, à quel point elles sont essentielles au maintien de notre environnement de contrôle interne et à quel point leur respect fait que nos dirigeants peuvent dormir la nuit. »

« La mise en conformité aux normes PCI est un effort qui se mène à l’échelle de l’entreprise. Il y un coût intrinsèque pour s’assurer que tout le monde connaît les normes PCI, comprend comment celles-ci affectent notre activité et à quel point elles sont essentielles à notre contrôle interne »

Eric Page, responsable Contrôle et Conformité chez Airgas

Qu’est-ce que la conformité PCI ?

En 2004, les principaux acteurs de l’industrie des cartes de paiement ont établi plusieurs exigences de sécurité appelées normes PCI (Payment Card Industry). Ces normes ont été établies pour contrer l’augmentation de la fraude sur les  paiements par carte. L’objectif était d’harmoniser les mesures de sécurité entre les différents intervenants de la chaîne de transaction. Aussi, les normes de sécurité PCI ont 3 composantes différentes :

• PCI PTS : PIN Transaction Security s’applique aux fabricants de terminaux de cartes de paiement ;
• PCI PA-DSS : Payment Application Data Security Standard s’applique aux développeurs ;
• PCI DSS : Data Security Standard s’applique aux commerçants et aux processeurs.

Les normes sont régulièrement mises à jour afin de suivre le contexte toujours changeant de la technologie et de la fraude. « Il faut faire avec le PCI Council qui modifie la réglementation et répercuter ses exigences tout en y ajoutant les votres », explique Eric Page. « C’est un défi de se tenir au courant des derniers risques, ainsi que de la dernière réglementation et de la dernière technologie – nous essayons de suivre le rythme de tout cela. »

Quelles sont les exigences de conformité PCI ?

Pour les besoins de cet article, seules les exigences des normes de sécurité des données (DSS) qui s’appliquent aux commerçants et aux processeurs des transactions sont soulignées ci-dessous. Il y a douze exigences réparties en six objectifs différents.

Les douze exigences ne constituent que le seuil minimum de conformité avec les normes de sécurité des données de l’industrie des cartes de paiement. Le respect de ces exigences ne constitue pas à lui seul une garantie contre les violations de données. En fonction du secteur d’activité dans lequel l’entreprise évolue, il est conseillé d’aller au-delà et de traiter les données des clients avec la plus grande sécurité. Chez Airgas, Eric Page et son équipe renforcent les choses bien plus que ne l’exigent les normes. « Ce n’est pas parce qu’il existe des normes PCI que c’est notre guide exact ; nous les utilisons comme normes minimales, et au-delà de celles-ci, dans certains domaines, nous nous assurons de réduire notre risque et de vraiment répondre aux préoccupations par des contrôles supplémentaires, des mesures de sécurité additionnelles, à travers la manière dont nous allons configurer notre système. »

Quelles sont les obligations et les options en matière de conformité PCI ?

La conformité PCI couvre toutes les sphères du paiement et, heureusement, le fardeau de la sécurisation des données ne repose pas uniquement sur les épaules du commerçant. Il y a deux options pour mener sa mise en conformité : sous-traiter à un fournisseur spécialisé ou accepter la charge et héberger en interne les données des cartes de paiement de manière sécurisée.

Une première manière de traiter le problème du paiement consiste à sortir du site du commerçant, par exemple en utilisant une plate-forme PayPal, Amazon, Square ou d’un autre fournisseur qui se chargera de la sécurisation des données de paiement. En ajoutant ces fournisseurs comme méthode de perception du paiement, le commerçant réduit son risque et, par conséquent, ses obligations en matière de conformité PCI.

Voici comment Eric Page décrit l’approche d’Airgas : « Nous sommes tenus de surveiller les vulnérabilités de notre commerce. Nous faisons appel à des experts afin de répertorier les nouvelles vulnérabilités. Nos équipes internes connaissent la manière dont nos réseaux sont configurés et où les données des cartes de paiement circulent. En fonction des points remontés par nos partenaires, nous examinons où les données de nos cartes de paiement circulent dans nos systèmes et nous migrons en dehors de nos systèmes les données de cartes de crédit concrètes. Nous avons évolué vers une approche non interventionniste en matière de données de cartes de crédit, consistant à laisser les experts s’en occuper, car ils savent comment les crypter, n’utiliser les données que lorsque c’est nécessaire, et mettre les informations à l’abri des mauvaises mains. »

« Nous avons évolué vers une approche non interventionniste en matière de données de cartes de crédit, consistant à laisser des experts extérieurs s’en occuper, car ils savent comment les crypter, n’utiliser les données que lorsque c’est nécessaire, et mettre les informations à l’abri des mauvaises mains. »

Eric Page, responsable Contrôle et Conformité chez Airgas

Cependant, certains commerçants préfèrent adopter une démarche propre et héberger les données de carte en interne. La conformité PCI doit être examinée du début de la transaction jusqu’au stockage des données de la carte. Une évaluation complète du flux de données des cartes de crédit doit être réalisée, suivie de chantiers pour sécuriser les informations. Il faut tester le stockage des données sur le réseau informatique interne du commerçant, effectuer des tests de pénétrabilité aléatoires et échantillonner les données pour détecter toute violation potentielle. Un partenariat étroit entre les services trésorerie et l’informatique est nécessaire, tout comme la contribution des prestataires pour garantir la compatibilité avec les systèmes et réseaux internes.

Quelle que soit l’approche adoptée, le degré et la fréquence auxquels les systèmes doivent être évalués dépendent de la classification ou du niveau auquel se situe la société. Ces niveaux sont largement basés sur le montant des transactions par carte de paiement que traite l’entreprise chaque année.

Plus le niveau de conformité est élevé, plus les obligations et responsabilités des commerçants augmentent. Afin de toujours mieux sécuriser, les commerçants ne doivent pas stocker les données des clients lorsque ce n’est pas nécessaire, segmenter les réseaux et séparer les systèmes qui stockent, traitent et transmettent les données des titulaires de cartes de ceux qui ne le font pas. Il faut également crypter les transactions et/ou se doter d’une solution de cryptage de point à point. En appliquant ces recommandations, les commerçants peuvent réduire considérablement le périmètre de risque.

Un questionnaire annuel d’auto-évaluation est une des exigences que tous les commerçants doivent remplir, à l’exception de ceux qui sont considérés comme étant PCI-DSS de niveau 1. Ces commerçants sont plutôt soumis à un rapport de conformité annuel rempli par un évaluateur de sécurité qualifié ou un auditeur interne. La majorité des commerçants qui se qualifient dans les 3 autres niveaux auront tous un questionnaire à remplir par un ou plusieurs employés spécialisés sur le sujet. Ces questionnaires sont conçus pour valider et documenter les résultats de l’auto-évaluation PCI DSS du commerçant et détailler son niveau de conformité.

Le questionnaire spécifique que chaque commerçant doit remplir varie grandement en fonction de son activité.

Par quel canal les paiements sont-ils acceptés et comment cela affecte-t-il la conformité à la norme PCI ?

Que les transactions par carte de paiement soient effectuées en personne, par téléphone ou en ligne, elles sont toutes soumises aux mêmes six objectifs et douze exigences de la norme PCI DSS.

Bien que les exigences soient toujours les mêmes, les parties prenantes et les systèmes impliqués dans le déroulement de la transaction seront sûrement différents. C’est pourquoi les questionnaires destinés à documenter le niveau de conformité du commerçant diffèrent en fonction de leur activité.

En tant que commerçant, il est important de connaître tous les employés, parties prenantes, systèmes et réseaux par lesquels passent les transactions par carte de paiement et ce pour chacun des canaux de paiement. Airgas accepte des transactions par carte de paiement sur les trois canaux. Eric Page doit donc s’assurer qu’il a une compréhension complète du cycle des transactions du début à la fin, puis s’assurer que sa compréhension est transmise aux autres parties concernées. « Nous avons un environnement de télévente où les gestionnaires de comptes traitent les commandes par téléphone. Ces gestionnaires doivent savoir comment gérer en toute sécurité les transactions par carte de crédit, tout autant que la personne qui, en magasin, glisse une carte de crédit dans son terminal. Toutes ces personnes doivent donc recevoir des instructions et être formées selon leur poste. Notre rôle avec PCI est de nous assurer que nous sommes conscients de qui traite la transaction, d’évaluer notre risque, de nous assurer que les contrôles sont en place, puis, plus important encore, de les tester. »

« Nous avons un environnement de télévente où les gestionnaires de comptes traitent les commandes par téléphone. Ces gestionnaires doivent savoir comment gérer en toute sécurité les transactions par carte de crédit, tout autant que la personne qui, en magasin, glisse une carte de crédit dans son terminal. Toutes ces personnes doivent donc recevoir des instructions et être formées selon leur poste. »

Eric Page, responsable Contrôle et Conformité chez Airgas

La pandémie a contraint de nombreux commerçants à implémenter en toute urgence un canal de commerce électronique, voire à développer une solution omnicanale. Avec une solution omnicanale, la création de profils de clients visant à accroître la fidélisation grâce à des expériences de paiement plus rapides et améliorées est rapidement devenue la norme. La seule manière de gérer des profils spécifiques de clients est de collecter et de stocker des informations sur eux. Bien que la collecte et le stockage de telles informations augmentent les risques, l’exposition et la portée des exigences de la norme PCI DSS, il existe toujours des moyens de le faire en toute sécurité. En plus des douze exigences PCI DSS, les commerçants peuvent utiliser des tokens multi-paiement qui cryptent les données du titulaire de la carte du client au moment de la transaction.

Ce jeton reste avec son titulaire de carte respectif pendant toute la durée de vie de la carte et peut être utilisé sur l’ensemble de la plate-forme de paiement du commerçant. Les jetons multi-paiement représentent une formidable opportunité pour les commerçants de répondre aux attentes des clients en matière d’expérience de paiement, tout en assurant la sécurité de leurs données sensibles.

En conclusion, la conformité PCI n’est pas un sujet qu’un commerçant peut se permettre d’ignorer. Le renforcement des réglementations et des obligations rend intrinsèquement les choses plus complexes, mais ces normes de sécurité sont nées d’une nécessité et visent à protéger à la fois le client et le commerçant. Obtenir la conformité n’est pas une tâche facile et elle n’est jamais complètement terminée car la technologie et les normes progressent et changent.

Il est important d’identifier les employés de l’entreprise qui peuvent être les champions du processus de conformité, tout en se rappelant qu’il existe des experts du secteur et d’autres ressources disponibles. Ces ressources peuvent contribuer à rendre le processus aussi simple que possible et à réduire la charge imposée au commerçant. L’utilisation de ces ressources est essentielle pour maintenir la conformité avec les normes de sécurité des données et, surtout, pour garantir que les données de chaque clients sont correctement protégées. Airgas dispose des employés et des processus internes visant à donner à la conformité PCI l’attention qu’elle mérite, mais ce qui distingue Airgas est sa capacité à utiliser les ressources du marché. L’ensemble de ces éléments fait d’Airgas un pilier de la réussite et un excellent commerçant dont il convient de s’inspirer.