Conformité aux PCI DSS au Canada
Des normes de sécurité qui profitent à chacun.
Toutes les entités qui stockent, traitent ou transmettent les données des titulaires de carte Visa doivent se conformer aux normes relatives à la sécurité des données de l’industrie des cartes de paiement (PCI DSS). Cette exigence concerne notamment les institutions financières, les marchands et les fournisseurs de services. Les programmes de Visa gèrent la conformité aux PCI DSS en exigeant que les participants à ces programmes fassent régulièrement preuve de leur conformité.
-
Le Programme de sécurité de l’information du titulaire de carte (SITC) de Visa est un programme de conformité visant à protéger les données du titulaire de la carte Visa en s’assurant que les clients, les marchands et les fournisseurs de services appliquent les normes de sécurité de l’information les plus strictes.
Le conseil des normes de sécurité PCI (SSC) détient, actualise et gère les PCI DSS et tous les documents justificatifs; cependant, Visa est responsable de l’entière application de la conformité de la sécurité des données et des initiatives de validation.
-
Les émetteurs et les acquéreurs ont la responsabilité de veiller à ce que tous leurs fournisseurs de services, leurs marchands et les fournisseurs de services de leurs marchands se conforment aux exigences des PCI DSS.
La validation de la conformité des marchands a été priorisée en fonction du volume de transactions, du risque potentiel et de l’exposition introduite au système de paiement.
En savoir plus sur les niveaux de marchands
Les émetteurs et les acquéreurs doivent veiller à ce que leurs fournisseurs de services de niveau 1 et de niveau 2 fassent preuve de leur conformité à la norme PCI DSS au moment de l’enregistrement des agents tiers, et ensuite, tous les 12 mois.
En savoir plus sur les exigences relatives aux fournisseurs de services (PDF)
-
Les acquéreurs doivent veiller à ce que leurs marchands obtiennent une validation de niveau adéquat et à obtenir la documentation de validation de la conformité de leurs marchands. Les banques de marchands et les marchands devront aussi vérifier les exigences relatives aux rapports de conformité des autres marques de cartes de paiement qui demandent peut-être une preuve de la validation de la conformité.
Les fournisseurs de service de niveau 1 qui ne sont pas directement connectés à Visa doivent effectuer l’évaluation annuelle de la sécurité PCI des données sur le site, et envoyer une attestation de conformité (AC) signée par le fournisseur et l’évaluateur autorisé en sécurité (ÉAS) à Visa. Les fournisseurs de service de niveau 2 doivent envoyer un questionnaire d’autoévaluation (SAQ-D) signé, ou une AC signée par un ÉAS. Il faut obtenir la validation de la conformité à la PCI DSS avant qu’un fournisseur de service puisse être inscrit à la liste du registre mondial des fournisseurs de services de Visa (le « registre »).
En savoir plus sur les exigences relatives aux fournisseurs de services (PDF)
-
Les règles fondamentales Visa et les règles de Visa concernant les produits et services régissent les activités des institutions financières clientes et, par le fait même, les fournisseurs de services et les marchands qui participent au système de paiement de Visa.
Les émetteurs et les acquéreurs ont la responsabilité de veiller à ce que tous leurs fournisseurs de services, leurs marchands et les fournisseurs de services de leurs marchands se conforment aux exigences de la PCI DSS. Les fournisseurs de services et les marchands doivent en tout temps maintenir leur totale conformité. (Règles importantes aux paragraphes 0002228 et 0008031)
Si un fournisseur de services ou un marchand ne se conforme pas à la PCI DSS, ou s’il ne parvient pas à rectifier un problème de sécurité, Visa pourrait imposer une évaluation de non-conformité à l’émetteur ou à l’acquéreur. L’émetteur ou l’acquéreur sera responsable des frais associés à toutes les évaluations, et ne devra dévoiler que Visa a imposé toute évaluation au fournisseur de services ou au marchand. (Règles importantes au paragraphe 0001054)
Si aucun élément probant à l’égard de la non-conformité aux PCI DSS n’est relevé avant une violation de données ou au moment de celle-ci, comme démontré par une enquête judiciaire, les évaluations pourront faire l’objet d’une exonération.
La règle d’exonération des évaluations de non-conformité peut être appliquée aux acquéreurs de marchands compromis du niveau 3 et du niveau 4 si le marchand du niveau 3 ou du niveau 4 a implanté une mesure de sécurité approuvée préalablement à la date d’intrusion de l’événement compromettant.
Les acquéreurs peuvent communiquer avec le service du risque de Visa à [email protected] pour obtenir de plus amples renseignements sur le programme incitatif de la sécurité de l’acceptation.
-
Visa a élaboré un programme d’accélération de la conformité à la PCI pour offrir des mesures incitatives financières et établir des dispositions à l’égard de sa mise en œuvre, de manière à veiller à ce que les acquéreurs s’assurent que leurs marchands procèdent à la validation de leur conformité à la PCI DSS.
Conformément au programme d’accélération de la conformité à la PCI, les banques de marchands doivent en outre s’assurer que tous les marchands de niveau 1 et de niveau 2 exécutent des démarches de validation à l’égard du fait que des données interdites ne sont pas retenues en envoyant le formulaire d’attestation quant à la retenue de données interdites rempli ou l’attestation de conformité (AC) à la PCI DSS.
Information connexe :
Mise à jour sur la conformité aux PCI DSS pour les marchands : survol de la progression de la conformité pour les marchands de niveaux 1, 2 et 3.
-
Visa a mis le PIT sur pied pour reconnaître les marchands qui ont entrepris des mesures pour prévenir la fraude par carte falsifiée en investissant dans la technologie des puces EMV. Le programme s’inscrit dans le cadre des efforts globaux entrepris par Visa, dont le but est d’introduire des données d’authentification dynamique dans le système de paiement et de se préparer à l’utilisation des technologies émergentes qui appuient la protection du système de paiement en encourageant les marchands à investir dans les terminaux de paiement à puce sans contact et avec contact. Depuis le 1er avril 2015, l’admissibilité au PIT a été accordée aux marchands qui ont investi dans une solution validée de cryptage de point à point.
Norme de sécurité des données de l’application de paiement (PA–DSS)
Visa encourage fortement les fournisseurs d’applications de paiement à développer et à valider la conformité de leurs produits à la norme PA-DSS. Les applications conformes à la norme PA-DSS aident les marchands et les agents à atténuer les compromissions, à prévenir le stockage des données sensibles des titulaires de carte et à appuyer la conformité globale à la norme PCI DSS. La norme PA-DSS ne s’applique qu’aux applications logicielles de paiement de tierce partie qui stockent, traitent ou transmettent les données des titulaires de carte dans le cadre d’une autorisation ou d’un règlement. Les applications logicielles développées à l’interne sont couvertes par l’évaluation quant à la norme de sécurité des données PCI du marchand ou de l’agent.
-
Le 1er janvier 2008, Visa a implanté une série de mandats visant à éliminer du système de paiement de visa l’utilisation d’applications de paiement vulnérables. Ces mandats font en sorte que les acquéreurs doivent veiller à ce que leurs marchands et leurs agents ne fassent pas usage d’applications de paiement dont il est su qu’elles conservent les données sensibles des titulaires de carte (c.-à-d., les données complètes de la bande magnétique, les données de la CVV2 ou du NIP), et exigent l’utilisation d’applications de paiement qui se conforment à la PA–DSS.
Les dix principales pratiques exemplaires de Visa pour les entreprises d’application de paiement
-
Même si de nombreux fournisseurs d’application de paiement ont déployé des applications de paiement conformes à la PA–DSS, on constate la croissance de l’inquiétude à l’égard du fait que les mises à jour des logiciels de paiement ne sont pas développées de manière à assurer que les vulnérabilités connues ne sont pas introduites à nouveau. En outre, on constate une inquiétude à l’égard du fait que les logiciels de paiement ne sont pas implantés sur les sites des clients de manière sécuritaire.
Les compromissions des marchands et des agents révèlent que certaines entreprises d’application de paiement adoptent de faibles pratiques logicielles lorsqu’elles installent les applications et systèmes de paiement, qu’elles offrent du soutien aux clients en utilisant des données d’identification faibles, partagées ou par défaut, et qu’elles gèrent les sites des clients au moyen d’outils de gestion à distance mal implantés. Les criminels peuvent exploiter ces entrées vulnérables et parvenir à accéder aux environnements des titulaires de carte.
Visa a élaboré un ensemble de pratiques exemplaires qui contribuent à ce que les entreprises d’application de paiement résolvent ces processus logiciels cruciaux. Dans le cadre de leurs démarches de contrôles préablables , les acquéreurs, marchands et agents doivent s’assurer que les entreprises d’application de paiement auxquelles ils ont recours ont atteint les niveaux de rigueur attendus quant à la maturité des processus de leurs logiciels.
Les dix principales pratiques exemplaires de Visa pour les entreprises d’application de paiement
-
Visa a déterminé que certaines applications de paiement sont conçues par des fournisseurs de logiciels de manière à stocker les données sensibles des titulaires de carte (c.-à-d., les données complètes de la bande magnétique et les données de la CVV2 ou du NIP) après l’autorisation de la transaction. Le stockage de ces éléments de données des titulaires de carte enfreint directement les règles de la PCI DSS et de Visa. Les criminels ciblent les marchands et les agents qui utilisent ces applications de paiement vulnérables et exploitent ces vulnérabilités de sécurité pour trouver et voler les données des titulaires de carte.
Au besoin, pour contribuer à atténuer ces compromissions, Visa avisera les intervenants principaux, y compris les acquéreurs, et leur transmettra une liste actualisée des applications de paiement vulnérables. Si vous découvrez l’existence d’une application de paiement vulnérable et détenez des renseignements précis à l’égard du fournisseur de l’application de paiement, de la version de l’application, de l’endroit ou les données sensibles des titulaires de carte sont stockées et des coordonnées du fournisseur, veuillez en aviser Visa par courriel à l’adresse [email protected]. Tous les renseignements transmis feront l’objet d’une vérification auprès du fournisseur. Visa ne divulguera pas la source des renseignements au fournisseur ni tout autre renseignement pouvant révéler l’identité de la source.
-
Visa a élaboré les pratiques exemplaires en matière d’application de paiement (PEAP) en 2005 dans le but d’offrir des directives aux fournisseurs de logiciels à l’égard du développement d’applications de paiement qui aident les marchands et les agents à atténuer les compromissions, à prévenir le stockage des données sensibles des titulaires de carte (c.-à-d., les données complètes de la bande magnétique et les données de la CVV2 ou du NIP) et à appuyer la conformité globale à la norme PCI DSS. En 2008, le conseil des normes de sécurité de l’industrie des cartes de paiement a adopté les PEAP de Visa et a publié la norme sous le nom de PA–DSS. La PA–DSS remplace maintenant les PEAP aux fins du programme de conformité de Visa.