Comment rendre votre site Web conforme à la norme PCI DSS
Pour les petites entreprises souhaitant vendre des produits en ligne, les cerceaux réglementaires que vous devez franchir si vous devez prendre des cartes de paiement peuvent être quelque peu intimidants. Cependant, si vous ne vous conformez pas, vous risquez une lourde amende et même la possibilité de retirer des cartes de l’entreprise.
Les paiements par carte en ligne sont réglementés par les Normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS) et il existe 12 exigences de conformité qui relèvent des rubriques récapitulatives suivantes:
- Construire et maintenir un réseau d’entreprise sécurisé
- Protéger les données du titulaire de carte
- Maintenir un programme de gestion des vulnérabilités
- Mettre en œuvre des mesures de contrôle d’accès solides
- Surveiller et tester régulièrement les réseaux d’entreprise
- Maintenir une politique qui traite de la sécurité de l’information
Il convient de souligner que vous pouvez simplifier considérablement le processus de conformité en vous assurant de ne pas enregistrer ou stocker de données de titulaire de carte. Cela signifie qu’à la place, vous devez utiliser un lecteur de carte ou un processeur de point de vente (PDV) qui ne conserve pas les informations sur les systèmes métier. Vous pouvez également utiliser une passerelle de paiement telle que celles fournies par PayPal et Stripe, mais vous devez être conscient que la responsabilité des données de votre client vous incombe. Quelle que soit l’option que vous choisissez, vous devez d’abord vous assurer que vous vérifiez que leur utilisation signifie que vous êtes conforme.
Par exemple, même si vous utilisez un processeur de paiement, votre site doit toujours être sécurisé si et lorsque les informations de paiement sont saisies et transmises. Cela signifie qu’en tant que tel, votre serveur Web doit être conforme et que votre site doit utiliser un cryptage SSL (Secure Socket Layer). Vous devez vérifier auprès de votre fournisseur si vous pouvez stocker ces données sur leurs systèmes sécurisés si vous devez conserver les informations de paiement pour les paiements futurs.
1 Choisir un hôte Web sécurisé
Lors du choix d’un hôte pour votre site Web, vous devez vous assurer que les serveurs, le plan d’hébergement et les applications de commerce électronique et de panier d’achat sont conformes. Vous pouvez trouver une liste d’applications de paiement validées sur le site Web du conseil PCI pour vous aider à choisir et je vous recommande également de consulter certains forums de commerce électronique pour vérifier ce que les autres disent. Il convient de souligner ici que si vous débutez dans le commerce électronique, les hébergeurs Web bon marché ou gratuits seront rarement assez bons pour assurer la conformité. Vous devriez également envisager d’utiliser un hébergement dédié plutôt qu’un hébergement partagé, car cela signifie que vous et vous seul utilisez cette machine. Avec l’hébergement partagé, vous partagez souvent une machine avec plusieurs sites Web, ce qui rend la conformité difficile. Cependant, si vous choisissez des serveurs privés dédiés ou virtuels, ils sont beaucoup plus susceptibles d’être conformes, bien qu’un peu plus chers.
Assurez–vous que l’hôte que vous choisissez vous permet également d’utiliser les bases de données PHP et MySQL – la plupart le font de nos jours et si vous n’êtes pas sûr, vous pouvez toujours appeler l’hébergeur pour discuter de vos besoins plus en détail. S’assurer que les transactions du serveur et du site sont sécurisées avant de créer votre site vous évitera un chagrin d’amour à long terme. Cependant, si vous n’avez vraiment pas besoin de stocker des données, je vous invite à envisager d’utiliser une passerelle de paiement qui emmène le client vers un site externe et sécurisé avant de demander des détails.
2 Choisir un panier
Il y a une énorme quantité de paniers à choisir et en tant que tel, cela peut devenir assez déroutant lorsqu’il s’agit de choisir le meilleur pour vous. Afin de vous assurer que vous protégez à la fois les données de votre entreprise et celles de vos clients, vous devez vous efforcer d’en choisir une conforme à la norme PA DSS (Payment Application Data Security Standard). Cela signifie que le logiciel cart a déjà été soumis à une série de tests rigoureux pour s’assurer qu’il chiffre suffisamment les données pour se protéger contre les cyberattaques en transit.
Vous recherchez de meilleures relations avec les clients?
Testez Userlike gratuitement et discutez avec vos clients sur votre site Web, Facebook Messenger et Telegram.
Encore une fois, si vous n’êtes pas particulièrement soucieux de la technologie, vous pouvez choisir un panier hébergé qui retire le client de votre site et le prend lui-même, entièrement sécurisé. Avec un panier hébergé, toutes les données sensibles sont entrées hors de votre site et les détails sont conservés sur un serveur sécurisé.
3 Employés et PCI DSS
La sécurité de vos données clients est de votre responsabilité, ce qui signifie qu’il est important que votre personnel comprenne à quel point il est vital pour votre entreprise qu’elles soient sécurisées. Dans cet esprit, tout le personnel qui traite des détails des clients dans le cadre de son travail doit s’assurer qu’il respecte les règles.
Vous devez vous assurer que tout le personnel qui traite des données:
- Connaissent les processus utilisés pour protéger les données sensibles.
- Ne stockez pas les données client sur des ordinateurs non autorisés ou sur papier.
- Utilisez des mots de passe forts sur tous les comptes d’utilisateurs.
De plus, vous devez vous assurer que tous les ordinateurs, périphériques et serveurs du réseau d’entreprise (ou ceux qui s’y connectent) disposent des éléments suivants:
- Logiciels audiovisuels et correctifs à jour appliqués à des logiciels couramment exploités tels que Windows / OS, Office, produits Adobe et Java.
- Sont protégés par un pare-feu sur le réseau.
- Sont protégés par un mot de passe et un cryptage sécurisés sur tous les routeurs réseau, y compris sans fil.
Pour les entreprises qui permettent aux employés d’apporter leurs propres appareils au travail, ceux-ci doivent être gérés avec une politique BYOD robuste qui définit ce qui est requis de l’employé. Si vous ou eux ne savez toujours pas ce que le processus implique, vous pouvez suivre des cours de sensibilisation par le biais du conseil PCI.
La sécurité est quelque chose que de nombreux professionnels de l’informatique considèrent comme un problème qui ne peut pas être résolu en raison d’une intervention humaine. De loin, la plupart des problèmes de sécurité qui affectent les entreprises sont causés par un manque de connaissances de l’utilisateur final. Cela signifie qu’il est souvent difficile d’atténuer le risque car l’utilisateur final n’en sait pas assez pour savoir qu’il ne devrait pas cliquer sur ce lien de phishing, par exemple. Ces dernières années, les menaces à la sécurité sont devenues de plus en plus sophistiquées et font tout leur possible pour échapper à la détection. Cela est aggravé par le fait que les tentatives de phishing sont désormais souvent très ciblées pour atteindre la personne la plus vulnérable à attaquer, comme le personnel administratif.
Les menaces de nos jours sont étayées par la quantité d’informations qui peuvent être recueillies sur les médias sociaux au sujet d’un individu au sein d’une organisation avant une tentative d’attaque. Cela signifie que les cybercriminels disposent de suffisamment d’informations pour donner l’impression que l’e-mail qu’ils envoient avec un lien malveillant semble provenir d’un ami ou d’un fournisseur connu. Dans cet esprit, l’éducation aux risques est essentielle et une politique saine sur les médias sociaux et ce qui peut être téléchargé devrait également être mise en place.
Des scanners de liens peuvent également être installés pour s’assurer que les liens malveillants ne peuvent pas être physiquement cliqués, éliminant ainsi une grande partie du risque pour l’utilisateur final.
4 Niveaux PCI DSS
Il existe quatre niveaux de conformité, qui dépendent du nombre de transactions par carte que vous effectuez au cours d’une année.
- Niveau 1 : pour les commerçants qui traitent plus de 6 millions de transactions Visa par an – vous devez avoir une évaluation de la sécurité sur site chaque année et une analyse trimestrielle de la vulnérabilité du réseau.
- Niveau 2: pour les commerçants qui traitent entre 1 et 6 millions de transactions Visa par an – évaluation de la sécurité sur site à leur discrétion, vous devez également fournir un questionnaire d’auto-évaluation annuel et une analyse trimestrielle de la vulnérabilité du réseau.
- Niveau 3 : pour les commerçants traitant de 20 000 à 1 million de transactions Visa ecommerce par an – un questionnaire d’auto-évaluation est requis chaque année et une analyse trimestrielle de la vulnérabilité du réseau.
- Niveau 4: pour les commerçants traitant moins de 20 000 transactions Visa ecommerce par an et tous les autres commerçants traitant jusqu’à 1 million de transactions Visa par an, un questionnaire d’auto-évaluation est requis chaque année et une analyse trimestrielle de la vulnérabilité du réseau.
Rappelez–vous – Il s’agit d’un processus continu
De nombreuses entreprises s’assurent d’abord qu’elles sont conformes, puis l’oublient jusqu’à l’heure de l’audit. Malheureusement, cela entraîne des amendes et d’autres audits (qui coûtent de l’argent) plus souvent. Il est important de se rappeler que la conformité est un processus continu et qu’elle doit être vérifiée souvent, et pas seulement avant que l’auditeur ne soit sur le point de comparaître.
Vous devez toujours:
- Évaluer – faites un inventaire des ressources informatiques et des processus métier existants pour le traitement des cartes, analysez les vulnérabilités comme vous le faites et identifiez les données des clients et leur emplacement.
- Corriger – ne pas stocker de données sauf si cela est absolument nécessaire et corriger les exploits connus. Rapport
- – compilez et soumettez des rapports aux marques d’acquisition et de cartes avec lesquelles vous traitez.
Il y a beaucoup de choses à considérer en matière de conformité et, de loin, le moyen le plus simple pour le propriétaire d’une petite entreprise de commerce électronique est d’utiliser une passerelle de paiement ou un panier hébergé. Cela supprime de nombreuses étapes nécessaires et élimine une grande partie des risques liés au traitement des paiements par les employés et à la sécurité de votre réseau d’entreprise.
Cependant, cela ne veut pas dire que c’est la meilleure solution pour vous et vous devriez donc vous efforcer de planifier et de préparer le terrain si vous envisagez de prendre des paiements via votre site et de conserver les coordonnées des clients. Idéalement, vous devriez éviter de faire ce dernier et parler avec votre fournisseur de traitement de carte de paiement pour voir quelles sont vos options. Ce n’est pas aussi intimidant qu’il n’y paraît, mais il est payant d’être très prudent car de nombreuses entreprises qui ne protègent pas adéquatement les données des clients font faillite à la suite d’une violation de données, grâce au coût de veiller à ce que cela ne se reproduise plus.
Pour de meilleurs résultats, consultez la bibliothèque de documents PCI DSS 3.0 (et ci-dessous) sur le site Web du conseil PCI. Ne vous laissez pas rebuter par tout le jargon non plus, un Google rapide peut vous aider à comprendre les détails techniques ou vous pouvez parcourir les fichiers d’aide sur le site Web du conseil PCI.