La conformité à la Norme de sécurité des données du secteur des cartes de paiement (DSS) est requise pour l'ensemble des entités qui stockent, traitent ou transmettent des données de porteurs de cartes Visa, y compris les établissements financiers, les commerçants et les prestataires de services. Les programmes de Visa gèrent la conformité PCI DSS en exigeant que les participants démontrent leur conformité de façon régulière.
Tenez-vous informé des normes de sécurité
Conformité PCI DSS
Des normes de sécurité qui profitent à tous.
-
Le Programme de sécurité des informations des porteurs de cartes (CISP) de Visa est un programme de conformité visant à protéger les données des porteurs de carte Visa en veillant à ce que les clients, les commerçants et les prestataires de services respectent les normes les plus élevées en matière de sécurité des informations.
Le conseil des normes de sécurité PCI (SSC) détient, conserve et gère les PCI DSS et tous ses documents connexes ; toutefois, Visa gère l'ensemble des initiatives de validation et de mise en œuvre de la conformité en matière de sécurité des données.
-
Les émetteurs et les acquéreurs sont tenus de veiller à ce que l'ensemble de leurs prestataires de services, commerçants, et les prestataires de services de leurs commerçants se conforment aux exigences PCI DSS.
La validation de la conformité a été priorisée en fonction du volume de transactions, du risque potentiel et de l'exposition introduite dans le système de paiement.
En savoir plus sur les niveaux des commerçants
L'émetteur et les acquéreurs doivent veiller à ce que l'ensemble de leurs prestataires de services de niveau 1 et de niveau 2 démontrent leur conformité PCI DSS au moment de l'enregistrement des agents de tiers (TPA) et tous les 12 mois par la suite.
-
Les acquéreurs doivent s'assurer que leurs commerçants valident au niveau qui convient et obtenir d'eux la documentation requise sur la validation de la conformité. Les banques des commerçants et les commerçants doivent également vérifier les exigences de conformité en matière de déclaration des autres marques de carte de paiement pouvant nécessiter une preuve de la validation de la conformité.
Les prestataires de services de niveau 1 qui ne sont pas directement connectés à Visa sont tenus de mener l'évaluation de sécurité des données PCI sur site et de transmettre à Visa une attestation signée de conformité (AOC), portant la signature du prestataire de services et de l'évaluateur de sécurité qualifié (QSA). Les prestataires de services de niveau 2 doivent envoyer un formulaire de questionnaire d'autoévaluation signé (SAQ-D) ou une AOC comprenant la signature du QSA. La validation de la conformité PCI DSS est requise pour qu'un prestataire de services puisse figurer sur le Registre mondial des prestataires de services de Visa (le Registre).
En savoir plus sur les exigences de conformité en matière de sécurité des données
-
Les règles fondamentales Visa et les règles Visa relatives aux produits et services régissent les activités des établissements financiers clients et, par extension, des prestataires de services et des commerçants en tant que participants au système de paiement Visa.
Il appartient aux émetteurs et aux acquéreurs de veiller à la conformité PCI DSS de leurs prestataires de services et commerçants, y compris les prestataires de services sollicités par le commerçant. Un prestataire de services et un commerçant doivent être totalement conformes à tout moment. (VCR section ID N°0002228 and N°0008031)
Si un prestataire de services ne respecte pas les PCI DSS ou ne règle pas un problème de sécurité, Visa peut transmettre une évaluation de non-conformité à l'émetteur ou à l'acquéreur. L'émetteur ou l'acquéreur est tenu de payer toutes les évaluations et ne doit pas déclarer que Visa a imposé une évaluation au prestataire de services ou au commerçant. (Section VCR ID N°0001054)
Les acquéreurs peuvent contacter Visa Risk à l’adresse [email protected] pour plus d’informations.
Programme de sécurité du PIN
Visa simplifie la validation de la conformité en matière de sécurité du PIN dans toutes les régions.
Norme de sécurité des données pour les applications de paiement (PA-DSS)
Visa encourage vivement les fournisseurs d'applications de paiement à développer et à valider la conformité de leurs produits vis-à-vis de la PA-DSS. Les applications conformes à la PA-DSS aident les commerçants et les agents à atténuer les fragilisations, empêcher le stockage de données sensibles du porteur de carte, et aident à la conformité globale avec la PCI DSS. La PA-DSS s'applique uniquement au logiciel de demande de paiement tiers qui stocke, traite ou transmet les données du porteur de carte dans le cadre d'une autorisation ou d'un règlement. Les applications logicielles internes sont couvertes au sein d'une évaluation PCI DSS du commerçant ou de l'agent.
-
Le 1er janvier 2008, Visa a mis en œuvre une série de mandats pour éliminer l'utilisation des applications de paiement vulnérables du système de paiement Visa. Ces mandats nécessitent des acquéreurs qu'ils veillent à ce que leurs commerçants et agents n'utilisent pas d'applications de paiement connues pour conserver des données sensibles du porteur de carte (c.-à-d. les données complètes de la bande magnétique, les données CVV2 ou PIN) et qu'ils demandent l'utilisation d'applications de paiement conformes à la PA-DSS.
-
Si beaucoup de fournisseurs d'applications de paiement ont déployé des applications de paiement conformes à la PA-DSS, l'inquiétude grandit par rapport au fait que des mises à jour de logiciels de paiement ne sont pas régulièrement développées pour veiller à ce que des vulnérabilités connues ne soient par réintroduites. En outre, il existe des préoccupations quant à l'absence de sécurité dans la mise en œuvre des logiciels de paiement sur les sites clients.
La fragilisation des commerçants et des agents montre qu'un certain nombre de sociétés d'applications de paiement ont de mauvaises pratiques en matière de logiciels lorsqu'elles installent des applications et systèmes de paiement, aident les clients à utiliser des identifiants d'accès faibles, partagés ou par défaut, et gèrent les sites des clients en utilisant des outils de gestion à distance dont la mise en œuvre est médiocre. Des criminels peuvent tirer parti de ces vulnérabilités et obtenir un accès aux environnements du porteur de carte.
Visa a développé un ensemble de meilleures pratiques pour aider les sociétés d'applications de paiement à traiter les processus critiques liés aux logiciels. Dans le cadre de leurs contrôles préalables, les acquéreurs, les commerçants et les agents doivent s'assurer que les sociétés d'applications de paiement qu'ils sollicitent se sont soumises à des processus de logiciels rigoureux et éprouvés.
Les dix meilleures pratiques de Visa pour les sociétés d'applications de paiement
-
Visa s'est aperçu que certaines applications de paiement sont conçues par des fournisseurs de logiciels pour stocker les données sensibles des porteurs de cartes (c.-à-d. l'intégralité des données de la bande magnétique, les données CVV2 ou PIN) suite à l'autorisation de la transaction. Le stockage de ces éléments de données du porteur de carte est en violation directe des PCI DSS et des règles de Visa. Les criminels ciblent les commerçants et les agents qui utilisent ces applications de paiement vulnérables et exploitent ces vulnérabilités en matière de sécurité pour trouver et subtiliser les données des porteurs de cartes.
Visa alertera les interlocuteurs clés, y compris les acquéreurs, pour les aider à atténuer les fragilisations, selon les besoins, en fournissant une liste des applications de paiement vulnérables. Si vous découvrez une application de paiement vulnérable et que vous avez des informations précises sur le fournisseur de l'application de paiement, la version de l'application, l'emplacement de stockage des données sensibles du porteur de carte et les coordonnées du fournisseur, veuillez en informer Visa par e-mail à l'adresse [email protected]. Toutes les informations fournies seront vérifiées via le fournisseur de logiciel, et Visa ne révélera à aucun fournisseur de logiciel la source des informations ni ne communiquera des informations qui révéleraient l'identité de la source.
-
En 2005, Visa a élaboré les meilleures pratiques en matière d'applications de paiement (Payment Application Best Practices, PABP) afin de fournir des conseils aux fournisseurs de logiciels pour qu'ils développent des applications de paiement qui aident les commerçants et les agents à atténuer les fragilisations, empêcher le stockage des données sensibles des porteurs de cartes (c.-à-d. l'intégralité des données de la bande magnétique, les données CVV2 ou PIN) et afin qu'ils se conforment globalement aux PCI DSS. En 2008, le conseil des normes de sécurité PCI a adopté les PABP de Visa et a publié la norme PA-DSS. Le PA-DSS remplace à présent les PABP en vue du programme de conformité de Visa.