Données des paiements clients : comment protéger votre entreprise ?
La fraude sur les paiements par carte enregistrée chez les commerçants en France, s’élève à 309 M€ en 20201. Elle représente 50 centimes tous les 1 000 € encaissés par carte de paiement1, sans compter les dommages provoqués sur l’image de l’enseigne. Voici quelques bonnes pratiques à suivre pour protéger votre activité et réduire les risques de vol de données sensibles, avec le standard PCI DSS.
Qu’est-ce que le standard PCI DSS ?
PCI DSS est un standard de sécurité des données de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard) qui s’applique aux différents acteurs de la chaîne monétique.
Il est établi par les 5 principaux réseaux de cartes : Visa, Mastercard, American Express, Discover et JCB, et est géré par le Conseil des normes de sécurité PCI.
La finalité de ce standard est de protéger les données sensibles de paiement par carte et éviter ainsi leur vol à des fins d’utilisation frauduleuse. En votre qualité de commerçant/entreprise acceptant des cartes de paiement, vous devez être conforme PCI DSS.
Vérifiez votre conformité à PCI DSS
En votre qualité d’entreprise acceptant des cartes de paiement, vous devez aussi vous rendre conforme PCI DSS. En répondant à un court questionnaire, vous saurez comment faire : (durée estimée : 2 minutes)
Aide à la décision – mise en conformité PCI DSS
1/ Choisissez des mots de passe solides
Optez pour des mots de passe complexes et modifiez les mots de passe par défaut. Il faudra 0,077 secondes pour craquer le mot de passe « bigmac », 344 000 années pour craquer le mot de passe « B1gMac&fries » (source PCI DSS). Vos mots de passe figurent-ils dans la liste des mots de passe les plus communs ?
2/ Choisissez le standard PCI DSS
Choisissez des prestataires conformes au standard PCI DSS. En cas de doute, faites des vérifications. Si vous êtes client de notre offre monétique Monetico Paiement ou de notre gamme de TPE, vous pouvez être rassuré, celle-ci est conforme PCI DSS.
3/ Attention au stockage informatique de données logiques de cartes de paiement
Ne conservez pas de données de cartes de paiement sur vos serveurs et/ou ordinateurs à moins d’être certifié PCI DSS de niveau 1, c’est à dire avoir obtenu une certification PCI DSS avec un accompagnement par un cabinet d’audit accrédité PCI DSS (QSA, Qualified Security Assessors).
4/ Protégez l’accès à vos données internes
Protégez l’accès à vos données internes et plus particulièrement les données de cartes de paiement :
- limitez les accès aux seules personnes ayant un besoin de métier
- détruisez les données de carte inutiles et assurez-vous que celles inscrites sur des documents papier sont :
- soit rendues illisibles
- soit conservées dans un endroit sécurisé à accès limité.
5/ Assurez-vous de la sécurité de votre système d’information
Pour vous assurer d’un bon système d’information, voici quelques précautions :
- ne téléchargez que les versions de logiciels officiels
- utilisez des versions récentes
- effectuez régulièrement les mises à jour de vos logiciels et antivirus
- implémentez les correctifs fournis par vos fournisseurs
- installez des pare-feu pour sécuriser votre accès internet
- e-commerçants, faites installer un protocole de chiffrement TLS (protocole https) et mettez régulièrement à jour vos plateformes e-commerce ainsi que les modules de paiement associés.
6/ Vérifiez la vulnérabilité de vos systèmes de paiement
Vérifiez que vos systèmes de paiement ne sont pas exposés à des vulnérabilités ou ne sont pas compromis :
- Les scans de vulnérabilité permettent de détecter les problèmes de sécurité de votre système d’information. Faites appel à un prestataire de service d’analyse agréé PCI.
Trouver un prestataire agréé PCI - Inspectez vos terminaux de paiement en vue de vérifier qu’ils ne sont pas modifiés ou remplacés par un terminal corrompu.