- 1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes.
- 2. Ne pas utiliser les valeurs par défaut du fournisseur pour les mots de passe du système et les autres paramètres de sécurité.
Sécurité des transactions : nouvelles exigences
Des conseils en matière de prévention de la fraude jusqu’aux technologies de sécurité innovantes, nous fournissons des ressources puissantes pour vous aider à assurer la sécurité de votre entreprise.
Formation en matière de sécurité
Visa fournit des informations précieuses sur les dernières tendances en matière de sécurité des données, de violations de données, de vecteurs d’attaque, de pratiques exemplaires et de programmes de conformité Visa par une série de conférences, de webinaires et de séances de formation.
Conforme à la norme PCI DSS
Toute personne qui stocke, traite ou transmet des données de titulaires de carte est tenue de respecter la norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard ou PCI DSS). Cette norme se compose de 12 exigences de base regroupées en six catégories pour établir et maintenir un environnement fiable et sécurisé de traitement des paiements. Associez-vous avec votre acquéreur pour fournir des transactions sécurisées à tous les clients qui utilisent la norme PCI DSS. Tout d’abord, lisez les lignes directrices, puis vérifiez que vous répondez aux exigences pertinentes.
-
-
- 3. Protéger les données enregistrées des titulaires de carte.
- 4. Crypter la transmission des données des titulaires de carte sur les réseaux publics ouverts.
-
- 5. Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels ou les programmes antivirus.
- 6. Développer et maintenir des systèmes et des applications sécurisées.
-
- 7. Restreindre l’accès aux données des titulaires de carte aux gens selon le principe du besoin de connaître.
- 8. Identifier et authentifier l’accès aux composants du système.9. Restreindre l’accès physique aux données des titulaires de cartes.
-
- 10. Faire le suivi et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes.
- 11. Tester périodiquement les systèmes et les processus de sécurité.
-
- 12. Maintenir une politique de sécurité de l’information pour tout le personnel.
Validation de la conformité
Prenez le temps de vérifier que vous respectez toutes les exigences de la norme PCI DSS. C’est la meilleure façon de confirmer que les données du titulaire de carte sont traitées en toute sécurité et d’exposer les lacunes qui doivent être corrigées. Votre volume total des transactions Visa sur une période de 12 mois détermine votre niveau de marchand et les conditions nécessaires à la validation.
-
Chaque année :
Déposer un rapport sur la conformité (« RC ») par un évaluateur agréé en sécurité (« ÉAS ») ou un auditeur interne, s’il est signé par un cadre de la société. Nous recommandons que l’auditeur interne obtienne la certification d’évaluateur agréé en sécurité (« ÉAS ») pour la norme PCI SSC.Soumettre un formulaire d’attestation de conformité (« AC »).
Chaque trimestre :
Effectuer une analyse de réseau trimestrielle par un fournisseur d’analyse autorisé.
-
Chaque année :
Remplir un questionnaire d’auto-évaluation (« QAÉ »)Soumettre un formulaire d’attestation de conformité (« AC »)
Chaque trimestre :
Effectuer une analyse de réseau trimestrielle par un fournisseur d’analyse autorisé
-
Chaque année :
Remplir un questionnaire d’auto-évaluation (« QAÉ »).Soumettre un formulaire d’attestation de conformité (« AC »).
Chaque trimestre :
Effectuer une analyse de réseau trimestrielle par un fournisseur d’analyse autorisé.
-
Chaque année :
Remplir un questionnaire d’auto-évaluation (« QAÉ »).Soumettre un formulaire d’attestation de conformité (« AC »).
Chaque trimestre :
Effectuer une analyse de réseau trimestrielle par un fournisseur d’analyse autorisé (le cas échéant).Exigences en matière de sécurité des données pour les petits marchands
Exigences en matière de sécurité des données pour les petits marchands
Programme d’innovation technologique
Investir dans une technologie sécurisée et faciliter la conformité.
Les marchands qui ont pris des mesures pour aider à prévenir la fraude par contrefaçon en investissant dans la technologie à puce EMV ou qui ont mis en œuvre une solution validée de cryptage point à point peuvent bénéficier du Programme d’innovation technologique de Visa (PIT). Ce programme récompense les marchands admissibles en éliminant l’obligation de vérifier leur conformité à la norme PCI DSS quand au moins 75 pour cent des transactions annuelles proviennent de terminaux de lecture de cartes à puce EMV à double interface ou d’une solution validée de cryptage point à point.
Réglementations + évaluations
Les Règles importantes de Visa (RIV) régissent les activités des institutions
financières clientes et, par le fait même, les marchands et les fournisseurs de
services qui participent au système de paiement de Visa.
La banque acquéreuse d’un marchand est responsable d’assurer la conformité à la norme relative à la sécurité des données de l’industrie des cartes de paiement (PCI DSS) du marchand et des fournisseurs de services que ce dernier utilise. En tant que marchand, vous devez être en totale conformité, et ce, en tout temps. (Règles importantes aux paragraphes 0002228 et 0008031.)
Si un marchand ne se conforme pas à la norme PCI DSS, ou s’il ne parvient pas à rectifier un problème de sécurité, Visa pourrait imposer une évaluation de non-conformité à l’acquéreur du marchand. L’acquéreur sera responsable des frais associés à toutes les évaluations et ne devra pas dévoiler que Visa a imposé toute évaluation au marchand. (Règles importantes au paragraphe 0001054)
Si aucun élément probant à l’égard de la non-conformité à la norme PCI DSS n’est relevé avant une atteinte à la sécurité ou au moment de celle-ci, comme démontré par une enquête judiciaire, les évaluations peuvent faire l’objet d’une exonération. La règle d’exonération des évaluations de non-conformité peut être appliquée aux acquéreurs de marchands compromis du niveau 3 et du niveau 4 si le marchand du niveau 3 ou du niveau 4 a implanté une mesure de sécurité approuvée préalablement à la date d’intrusion de l’événement compromettant. Veuillez contacter votre acquéreur pour plus de détails sur le programme incitatif d’acceptation de la sécurité.
Fournisseurs + applications de paiement
Soutenez les transactions sécurisées en vous associant seulement à des applications de paiement et à des fournisseurs de services autorisés.
Fournisseurs de service
Les fournisseurs de services gèrent les coordonnées des titulaires de carte Visa en votre nom. Votre acquéreur s’assure que les fournisseurs de services sont conformes à la norme PCI DSS. Une validation de conformité est requise pour tous les fournisseurs de services.
Applications de paiement
Utilisez uniquement des applications de paiement sécurisées et validées.
Programmes de sécurité
Rester au courant des dernières normes en matière de sécurité.
Programme mondial de sécurité à NIP
Les marchands qui font l’acquisition de services de transactions avec NIP ou qui effectuent des services de gestion des clés pour eux-mêmes doivent se conformer aux exigences de Visa en matière de sécurité des NIP.
Utilisez les liens ci-dessous pour en savoir plus sur le programme mondial de sécurité des NIP de Visa :
Prévention de l’écrémage : pratiques exemplaires pour les marchands
Ressources supplémentaires
Trouver des renseignements supplémentaires sur la protection de votre entreprise.
Cybercriminels ciblant les intégrateurs de point de vente
Cinq règles importantes que tous les marchands de Visa doivent connaître