PCI DSS, une certification bientôt incontournable pour les e-commerçants
La forte croissance des transactions en ligne attire de plus en plus de fraudeurs. Avec un taux d’environ 0,3%*, la violation des données bancaires s’élève à près de 74 millions d’euros, un chiffre en constante augmentation.
Pour renforcer la sécurité des systèmes d’information, le comité PCI SSC a développé le standard PCI DSS qui préconise de respecter un ensemble de bonnes pratiques.
Une sécurité à renforcer
Malgré ce nombre
important de fraudes, les systèmes d’information restent encore très
vulnérables. Les mises à jour de plus en
plus fréquentes ne facilitent pas le respect des normes de sécurité qui passe
souvent après les exigences marketing et commerciales. Le risque de fraude est
donc souvent sous-estimé. Les grandes entreprises ne sont pas épargnées,
plusieurs d’entre elles ont d’ailleurs été victimes de cyberattaques ces
derniers mois. Les nombreux exemples de vols de données bancaires inquiètent
les clients qui deviennent de plus en
plus méfiants. Or l’absence de confiance est un véritable frein à l’achat en
ligne !
Les méthodes de
violation de données évoluent très rapidement. Il est difficile de garantir un
risque zéro mais en respectant les préconisations du standard PCI DSS, on
peut réduire considérablement le nombre
de vulnérabilités.
PCI DSS, un standard
fortement recommandé
Il y a une réelle
volonté du législateur de renforcer la sécurité des informations bancaires. La
loi oblige les e-commerçants à prendre toutes les précautions pour garantir
l’intégrité des données sensibles.
Le standard PCI DSS
n’est pas obligatoire en France mais de plus en plus d’acteurs l’exigent. C’est
le cas du groupe Visa qui annonce qu’il demandera dès janvier 2013 la
certification PCI DSS à ses clients. Le comité PCI SSC, qui définit les
standard de sécurité, préconise à l’ensemble des acteurs qui gèrent, stockent
ou transportent des données sensibles de respecter les bonnes pratiques PCI
DSS. La mise en conformité est donc fortement conseillée aux e-commerçants.
PCI DSS, un processus long
mais intéressant
Ce standard amène
l’entreprise à s’interroger sur son traitement des données bancaires. Il
intègre la contrainte de la sécurité dans la gestion quotidienne de
l’application. La mise en conformité est souvent longue et demande un
accompagnement personnalisé. Faire appel à un hébergeur PCI DSS permet de
diminuer considérablement le délai et le coût de cette mise en conformité.
L’e-commerçant se concentre ainsi uniquement sur une partie du périmètre.
Au-delà de cette
recommandation, le respect de ce standard a un double intérêt pour les
e-commerçants qui sont en première ligne puisqu’ils récupèrent les informations
bancaires de leurs clients. L’e-commerçant sécurise ainsi ses données et renforce l’image de l’entreprise ;
ce qui peut avoir un impact économique non négligeable dans la durée. Les sites
e-commerce ont donc tout intérêt à sécuriser leurs systèmes d’information.
-------------------------
*Le taux de fraude à la carte bancaire sur Internet dans le cadre de transactions nationales s'établit en 2010 à 0,276 % selon la Banque de France : http://www.banque-france.fr/observatoire/rap_act_fr_10.htm