Skip to main content

5 Conseils pour une conformité PCI facile

La conformité à la norme PCI peut sembler un art ésotérique si vous êtes un petit commerçant, mais vous l'ignorez à vos risques et périls. La non-conformité aux normes de sécurité élaborées par le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI) entraîne des pénalités de 5 000 à 100 000 $ par mois.

Les normes de sécurité des données PCI (DSS) et de nombreux autres documents peuvent être facilement téléchargés. site Web du conseil, mais pour les petites entreprises sans un professionnel de la sécurité informatique, les exigences peuvent être déroutantes. Cependant, il y a certaines choses que vous pouvez faire pour faciliter le processus de conformité et les mesures de sécurité qu'il impose. Bien que je suggère toujours d'embaucher un évaluateur de sécurité qualifié (QSA), ces conseils peuvent vous orienter dans la bonne direction.

Ne stockez pas les données du titulaire

Pour simplifier considérablement vos mesures de sécurité requises pour la conformité PCI, ne pas enregistrer ou stocker toutes les données du titulaire de la carte sous forme écrite ou numérique. Utilisez un lecteur de carte, un point de vente et / ou un processeur de paiement qui ne conserve pas ces informations sur vos systèmes afin de ne pas avoir à vous soucier de la protection et du cryptage de ces données. Vérifiez auprès des fournisseurs de paiement pour les détails sur leurs modèles particuliers

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Ne jamais stocker les informations d'authentification d'une carte de crédit

Si vous avez besoin de conserver les données Vérifiez auprès de votre processeur de paiement pour voir si elles offrent des options qui vous permettent d'entrer et de stocker les données sur leurs systèmes. Si vous devez stocker les données vous-même, n'oubliez pas que vous devrez suivre beaucoup plus de mesures de sécurité et que vous ne pourrez jamais stocker les informations d'authentification sensibles: bande magnétique complète, code de sécurité ou code PIN.

Choisissez une norme PCI Hébergeur Web

Si vous vendez des produits ou effectuez des paiements via votre site Web, choisissez un plan d'hébergement Web conforme PCI et un commerce électronique ou un panier d'achat. Certaines sociétés d'hébergement Web affichent publiquement leurs informations de conformité sur leur site Web, mais dans de nombreux cas, vous devrez demander au service des ventes ou du support technique. Pour les applications de commerce électronique et les paniers, vous pouvez vous référer à la liste des applications de paiement validées du conseil PCI.

Vous aurez probablement plus de chances d'obtenir la conformité PCI si vous utilisez des plans d'hébergement mutualisés moins chers sont divisés entre plusieurs propriétaires de sites Web. Mais vous pouvez être en mesure d'en utiliser un (même non conforme) si vous choisissez une solution de paiement hébergée dans laquelle les clients sont redirigés vers un site conforme pour entrer leurs informations de carte de crédit, telles que PayPal Standard, 2Checkout ou Authorize. Net. Et vous pouvez envisager une solution de paiement hébergée même si votre plan d'hébergement Web est conforme, afin de réduire les mesures de sécurité que vous devez prendre. Toutefois, si vous souhaitez intégrer complètement le processus de paiement sur votre site, vous devrez peut-être utiliser un serveur virtuel privé ou dédié plus coûteux, généralement conforme à la norme PCI.

Utilisez des terminaux d'accès à distance plutôt que des terminaux IP

Les terminaux de cartes de crédit à accès commuté se connectent à votre ligne téléphonique et communiquent avec le processeur de paiement de la même façon que les anciens modems 56K connectés à l'Internet commuté. Ils sont plus lents que les terminaux IP, mais ils peuvent considérablement réduire votre environnement de données de détenteur de carte - les ordinateurs et les composants dans lesquels les informations du titulaire sont stockées, traitées ou transmises - réduisant ainsi les mesures de sécurité que vous devez suivre.

type de terminal de carte de crédit ou de système de point de vente que vous choisissez, assurez-vous qu'il est conforme PCI, soit par le fournisseur ou en vérifiant les dispositifs de sécurité de transaction PIN approuvés et / ou la liste des applications de paiement validées du conseil PCI. Vérifiez également avec les fournisseurs comment fonctionnent leurs terminaux et informez-vous sur ceux qui facilitent la conformité.

Utiliser un réseau distinct pour le traitement des paiements

Si vous utilisez des terminaux de cartes de crédit IP, il peut être plus facile d'avoir un réseau complètement séparé avec sa propre connexion Internet pour le traitement des paiements. Cela peut faciliter les mesures de sécurité que vous devez prendre lors de la configuration initiale du réseau et celles que vous devez suivre pour rester conforme PCI.

Lecteurs de cartes mobiles sécurisés

Pour les petites entreprises fournissant des services sur site comme Square, GoPayment, ou PayPal Voici très attrayants. Ils offrent un moyen rapide et facile de commencer à accepter les paiements par carte de crédit et peuvent être utilisés avec les smartphones ou les tablettes via une connexion cellulaire ou Wi-Fi. Bien que les exigences PCI DSS actuelles (version 2.0) ne concernent pas spécifiquement les lecteurs de cartes mobiles, les entreprises doivent toujours s'assurer que ces solutions respectent les normes PCI.

Le PCI a publié des consignes de sécurité pour la sécurisation des solutions de paiement mobile. vos smartphones ou tablettes. Fondamentalement, vous devez vous assurer que les appareils mobiles sont protégés physiquement et numériquement contre le vol, l'utilisation non autorisée, les logiciels malveillants et le piratage. Ne pas jailbreaker ou rooter votre appareil ou activer d'autres fonctions qui peuvent rendre l'appareil non sécurisé, comme le débogage USB sur les appareils Android. Installez une application antivirus et téléchargez des applications uniquement à partir de sources fiables, telles que l'App Store officiel. Et n'oubliez pas que si les appareils mobiles sont connectés à une connexion Wi-Fi sous le contrôle de l'entreprise lors de l'utilisation du lecteur de carte, le réseau doit être conforme à la norme PCI.