Comprendre le monde complexe de la conformité PCI est une tâche difficile, surtout si vous êtes un propriétaire de petite entreprise dont le domaine d’expertise n’est pas basé sur le domaine de la technologie et de la sécurité.
Il y a beaucoup d’informations et de désinformation entourant la Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), ce qui peut être source de confusion pour les personnes qui n’ont jamais eu d’expérience avec les exigences de conformité auparavant. Vous avez peut-être entendu parler de PCI de votre passerelle de paiement, ou de votre ami propriétaire d’entreprise, ou peut-être avez-vous fait vos recherches et savez qu’il y a un questionnaire que vous devriez remplir.
Bien que la conformité PCI puisse sembler délicate ou écrasante à première vue, avec de bons conseils et outils (que vous avez grâce au programme MTI), il peut s’agir d’un processus simple pour être conforme et protéger votre entreprise contre la menace des cyberattaques.
Pour une ventilation complète de ce que vous devez faire pour répondre aux exigences PCI DSS pour votre entreprise, consultez nos solutions de sécurité d’entreprise. Mais si vous avez entendu des informations mitigées qui vous ont laissé dans le doute quant à savoir si vous devez ou non être conforme à la norme PCI, voici quelques-uns des principaux malentendus concernant la conformité à la norme PCI DSS et les informations pour vous mettre sur la bonne voie.
Je suis une petite entreprise avec seulement quelques clients payants par carte, je n’ai pas à m’inquiéter de la conformité PCI DSS
Quelle que soit la taille ou la taille de votre entreprise, la conformité PCI DSS s’applique à toutes les entreprises qui traitent, stockent ou transmettent des données de carte de crédit. À moins que vous ne traitiez uniquement les paiements par carte à l’aide d’un terminal eftpos autonome pour les transactions en face à face, vous avez la responsabilité de vous conformer aux exigences PCI DSS. Il suffit d’une seule violation de données pour que vous soyez condamné à une amende pour ne pas avoir protégé les informations de carte de crédit de votre client.
L’externalisation du traitement des cartes rend mon entreprise conforme
L’obligation de pouvoir démontrer la conformité PCI DSS incombe à vous, le commerçant. Vous pouvez utiliser des tiers conformes à la norme PCI DSS comme eWay pour gérer les aspects du traitement de votre carte, mais de nombreux points de contact sur le plan de votre entreprise vous obligent à mettre en œuvre les meilleures pratiques de conformité PCI DSS. S’assurer que chaque point de contact respecte la norme PCI DSS (Norme de sécurité des données) signifie que vous faites votre part dans la prévention des cyberattaques et des énormes implications (lien vers l’article sur le coût de la cybercriminalité) qu’une attaque peut avoir sur votre entreprise.
Je n’ai pas besoin de suivre TOUTES les exigences PCI DSS
La conformité PCI DSS n’est pas un choix. Pour être conforme à la norme PCI DSS, vous devez répondre aux 12 exigences de la norme PCI DSS. Tous ces critères constituent les mesures de sécurité de base que chaque entreprise devrait mettre en place pour protéger ses clients et elle-même contre les violations de données.
Êtes-vous personnellement responsable si votre entreprise subit une violation de données?
Je n’ai jamais eu de violation, donc je n’ai pas à m’inquiéter de la norme PCI DSS
Vous avez peut-être entendu dire que la conformité à la norme PCI DSS ne doit être effectuée que si vous avez connu une violation de votre sécurité. Ce n’est pas vrai, bien qu’à la suite d’une violation, votre acquéreur puisse vous obliger à suivre un programme de correction de la sécurité et à faire vérifier votre conformité à la norme PCI-DSS. Vous devez être conforme à la norme PCI DSS, que vous ayez ou non subi une violation de données. Les exigences de sécurité PCI DSS aideront à prévenir les violations de données et probablement à sauver votre entreprise. Mieux vaut prévenir que guérir.
La conformité à la norme PCI DSS est réservée aux entreprises qui stockent des informations de carte de crédit sur leur ordinateur
Toute entreprise qui traite des informations de carte de crédit, y compris leur capture sous forme papier ou électronique, leur transmission à une autre organisation ou les stocke, doit faire l’objet d’une plainte PCI-DSS. De nombreux points de contact dans votre entreprise peuvent entrer en contact avec les données de carte de crédit et doivent donc être conformes à la norme PCI DSS. Vous pouvez traiter les paiements par téléphone, recevoir des données de carte de crédit par e-mail ou stocker des enregistrements physiques des détails de paiement dans votre bureau. Tous les domaines de votre entreprise doivent se conformer aux exigences PCI DSS, alors assurez-vous d’avoir lu et compris tous les différents points de contact.
Tout ce que j’ai à faire est de répondre oui à tout sur le questionnaire d’auto-évaluation
Le questionnaire d’auto-évaluation consiste à répondre à de nombreuses questions détaillées sur la façon dont vous gérez les détails de votre carte de crédit et la sécurité de votre entreprise. Il s’agit d’obtenir une compréhension précise des processus de votre entreprise concernant les données de carte de crédit. Cependant, le simple fait de répondre « oui » à chaque question ne vous rend pas, vous et votre entreprise, conformes. Répondre honnêtement aux questions signifie que vous serez invité à prendre les bonnes mesures de sécurité pour votre entreprise afin que vous soyez vraiment conforme à la norme PCI DSS. Répondre à toutes les questions « oui » même si ce n’est pas la vraie réponse signifie que vous laisserez vos clients et vous-même vulnérables à un piratage de données.
Nos développeurs ont déclaré que notre site Web est conforme à la norme PCI DSS
Bien que certaines parties de votre site Web soient effectivement conformes à la norme PCI DSS, il est de votre responsabilité de vous assurer que chaque domaine de votre entreprise est conforme à la norme PCI DSS. Il existe de nombreux autres points de contact que votre entreprise peut avoir avec les données de carte de crédit que vous ne connaissez peut-être pas. Si une violation de données se produit, vous serez tenu responsable de la violation et les répercussions vous apparaîtront.
Si vous ne traitez que les paiements via votre site Web, vous devez toujours répondre à deux exigences:
- Assurez-vous que votre page Web est hébergée en toute sécurité et régulièrement corrigée et analysée pour détecter les vulnérabilités
- votre abonnement MTI comprend un scanner de vulnérabilités
- Remplissez le questionnaire d’auto-évaluation (SAQ-A ou SAQ-A-EP)
- utilisez l’outil d’évaluation Trustkeeper en sélectionnant comme fournisseur de paiement et » J’externalise entièrement mon traitement des paiements »
La conformité PCI DSS coûte cher
L’idée que vous deviez peut-être embaucher un spécialiste pour vous aider avec votre conformité PCI DSS est incorrecte. Les propriétaires d’entreprise inscrits à notre programme Merchant Trust Initiative (MTI) reçoivent les outils et l’aide dont ils ont besoin pour s’acquitter de toutes leurs responsabilités en matière de conformité à la norme PCI DSS. Si vous vous sentez dépassé ou avez besoin d’aide pour répondre à vos exigences de conformité PCI DSS ou pour répondre au questionnaire d’auto-évaluation PCI DSS, appelez-nous au 1300 763 256 ou envoyez un e-mail à notre équipe qui pourra vous aider avec tous vos besoins de conformité PCI DSS.