Les règles de conformité PCI ont été établies par l’industrie des cartes de paiement (PCI) pour améliorer la sécurité des données et réduire la fraude. Bien que ces directives ne soient pas techniquement obligatoires, les entreprises acceptant des cartes peuvent faire l’objet d’amendes, de litiges ou de la résiliation de leurs comptes marchands en cas de fraude dans leurs environnements de paiement. En d’autres termes, les banques et les processeurs de paiement peuvent fournir la technologie pour accepter les paiements, mais les commerçants sont toujours responsables de la façon dont ils traitent et stockent les données de carte de crédit sensibles, et de toute activité frauduleuse qui pourrait en découler. Même en l’absence de règles de responsabilité, la conformité PCI est une bonne idée car ces directives de sécurité des données aident à protéger votre entreprise et vos clients contre les attaques frauduleuses. Une analogie utile est la ceinture de sécurité. Au New Hampshire, par exemple, les conducteurs adultes ne sont techniquement pas « tenus » de les porter. Mais parce que les ceintures de sécurité sauvent des vies, vous devriez boucler votre ceinture chaque fois que vous êtes dans une voiture.
Conformité PCI dans le monde en ligne
La protection contre la fraude conforme aux normes PCI est essentielle pour toutes les entreprises. C’est particulièrement important dans le commerce électronique puisque les acheteurs et les vendeurs ne se rencontrent jamais face à face. Sans aucun moyen de vérifier de manière indépendante l’identité des acheteurs anonymes, la fraude par carte de crédit en ligne représente maintenant une industrie de 6,4 milliards de dollars pour les criminels. Les plus grandes cibles des attaques frauduleuses sont généralement les plus petits joueurs. Selon certaines estimations, 60% de toutes les cyberattaques sont dirigées vers les petites et moyennes entreprises, car ces commerçants manquent souvent du savoir-faire technique et des ressources pour se protéger. Heureusement, un nombre croissant d’outils de commerce électronique ont commencé à mettre davantage l’accent sur la gestion de la fraude – des paniers d’achat aux plugins en passant par les suites de systèmes de gestion de contenu (CMS). Si vous utilisez actuellement des plateformes telles que WordPress ou WooCommerce, il est plus facile que jamais de devenir compatible PCI. Mais ce n’est pas automatique. Vous devez prendre certaines mesures pour rendre votre site Web conforme aux directives de sécurité des données de l’industrie des cartes de paiement. Ces étapes s’appliquent à tout commerçant acceptant les transactions par carte de crédit, que vous ayez recours à Drupal, Joomla! ou Magento pour gérer votre entreprise. Comme WordPress est la suite CMS la plus utilisée et que le plugin WooCommerce est sans doute la plate-forme de commerce électronique la plus populaire, nous utiliserons ces outils dans les exemples ci-dessous.
Conformité PCI WordPress: Prendre des mesures pour vous protéger
Le point de départ le plus important consiste à choisir un processeur de paiement compatible PCI. Si votre fournisseur ne suit pas les meilleures pratiques de sécurité les plus récentes, aucune des autres étapes de cette liste n’a d’importance. Choisissez un processeur qui peut vous fournir une passerelle de paiement sécurisée. Une fois cela fait, vous pouvez passer aux étapes suivantes.
Déterminez votre niveau de commerçant
Les règles de conformité PCI changent en fonction du volume transactionnel de votre entreprise. Pour savoir quelles directives vous devez suivre, vous devez déterminer votre type de niveau marchand. Si vous êtes comme la plupart des petites entreprises, vous êtes probablement admissible au niveau 4, qui offre le processus de conformité le plus simple. Pour être sûr, vous devez d’abord vérifier votre statut.
Questionnaire d’autoévaluation
L’étape suivante consiste à répondre à un questionnaire d’autoévaluation (SAQ) pour déterminer votre exposition actuelle au risque. Ces tests peuvent sembler accablants au premier abord, mais la plupart des questions nécessitent de simples réponses oui / non.
Fournisseur de numérisation approuvé
Bien que cela ne soit pas toujours nécessaire, il est judicieux d’inclure un fournisseur de numérisation approuvé (ASV) qui peut utiliser des outils automatisés pour détecter les vulnérabilités potentielles dans le logiciel et le matériel qui gère les données de paiement.
4. Politiques de sécurité et formation
Les étapes ci-dessus vous pousseront vers la conformité PCI, mais pour rester conforme, vous devez également rester au courant:
- Mises à jour logicielles
- Correctifs de sécurité
- Protection antivirus
- Analyse des logiciels malveillants
De plus, vous devez former vos employés à gérer correctement les informations de paiement, de préférence en fonction du besoin. Il est également utile que tout le monde sélectionne des mots de passe alphanumériques longs pour toutes les connexions.
VÉRIFIEZ LE SCORE DE SÉCURITÉ DE VOS SITES POUR LA CONFORMITÉ PCI
• Trouver des vulnérabilités dans le Code
Certificat Secure sockets layer
Un certificat secure sockets layer (SSL) est un identifiant complémentaire qui permet aux acheteurs en ligne de savoir qu’ils ont une connexion directe et cryptée avec votre site Web (au lieu de celle d’un imitateur). Une fois ce certificat SSL installé, le domaine de votre site aura un « s » supplémentaire à la fin du préfixe « http » (c’est-à-dire https).
Plus de détails de vérification
Pour qu’une vente en ligne se déroule, la plupart des paniers d’achat en ligne nécessitent le nom, le numéro de compte et la date d’expiration du titulaire de la carte. Ceux-ci représentent le strict minimum en matière de sécurité, d’autant plus que la fraude en ligne entraîne des milliards de pertes annuelles. Par conséquent, vous devriez envisager d’exiger également des détails d’authentification supplémentaires tels que les adresses de facturation et les valeurs de vérification de la carte (CVV).
Les bons plugins et outils
Techniquement parlant, WordPress n’est pas certifié PCI. WooCommerce non plus, d’ailleurs. Cependant, les deux ont été conçus à partir de zéro, avec la sécurité à l’esprit. Par exemple, WordPress est livré avec des contrôles d’administration qui vous permettent de restreindre l’accès pour chaque utilisateur individuel. WooCommerce ne stocke jamais les détails de la carte de crédit, ce qui empêche les voleurs de mettre la main sur les données de paiement. En savoir plus dans notre article compagnon; WooCommerce et conformité PCI. Vous n’avez pas à choisir ces outils spécifiques, mais quelles que soient les plates-formes et les plugins que vous utilisez, vous devez disposer de niveaux de compartimentation et de contrôle comparables.
Conformité PCI WordPress – Une dernière étape
Il y a une dernière pièce du puzzle: Vous devez partager tout ce qui précède avec votre processeur de paiement et votre banque pour obtenir le statut de « Conformité PCI » (et vous devez envoyer des rapports trimestriels pour rester en règle). La vraie conformité n’est pas une solution unique. À mesure que les stratégies frauduleuses évoluent, les étapes utilisées pour prévenir de futures attaques doivent également évoluer avec le temps. Si vous avez des questions sur la conformité PCI ou si vous ne savez pas comment commencer, vous pouvez vous référer à l’infographie ci-jointe. Il couvre la plupart des mythes et idées fausses les plus populaires que les petites entreprises en ligne ont sur la sécurité des paiements.
Biographie de l’auteur: Kristen Gramigna est Directrice Marketing de BluePay, fournisseur de solutions de traitement des paiements rapides, faciles et sécurisées. Elle apporte plus de 20 ans d’expérience dans l’industrie des cartes bancaires en vente directe, gestion des ventes et marketing.