A partir du 1er janvier 2013, Visa ne couvrira plus les transactions non certifiées PCI DSS
L’hébergeur vient en aide aux commerçants dans le processus de certification PCI DSS qui sécurise transactions et données bancaires
A partir du 1er janvier 2013, Visa ne couvrira
plus les transactions non certifiées PCI DSS (Payment Card Industry Data Security Standard). Les commerçants et e-commerçants doivent saisir les enjeux
de cette certification dès à présent car plus de douze mois sont nécessaires à sa
mise en place. Il devient urgent de les alerter et de les accompagner dans
leurs démarches pour se mettre en conformité.
PCI DSS
sécurise les transactions bancaires. Chaque
commerçant qui traite des paiements par carte et conserve des informations
bancaires doit adhérer à la norme PCI DSS (Payment Card Industry Data Security Standard), un ensemble de 12 règles élaborées pour sécuriser et protéger les
données de paiement client.
La mise en
œuvre de cette certification est un processus long à mettre en place qui, par
conséquent, nécessite d’entreprendre une réflexion en amont et des mesures dès
que celle-ci se concrétise.
Une certification susceptible de pénaliser les commerçants. La plupart des commerçants ne sont pas encore au courant de l’arrivée de cette mesure initiée par Visa qui prendra pourtant effet au 1er janvier 2013. Ne connaissant ni ses caractéristiques ni la procédure à suivre pour se mettre en conformité, ils risquent d’être pénalisés au moment de sa mise en application. De plus, la certification PCI DSS ne s’obtient pas du jour au lendemain : environ 12 mois sont nécessaires pour la mise en conformité. Cela représente une année pendant laquelle le commerçant s’expose à des amendes, à des augmentations de frais bancaires ou, plus grave encore, à la suspension de ses services bancaires.
PCI DSS,
un certificat « sécurité » à obtenir d’urgence ! La course
contre la montre commence pour les commerçants. Ils doivent rapidement faire
appel à un QSA (Qualified Security Assessor), spécialiste en sécurité des
systèmes d’information qui conduit l’audit et les accompagne dans leur
procédure pour obtenir la certification PCI DSS. Mais surtout dans l’urgence,
il est conseillé de s’appuyer sur un hébergeur déjà certifié et disposant d’un
kit PCI DSS. Ainsi le commerçant pourra héberger sa solution web sur un réseau
certifié et valider automatiquement une bonne partie des exigences sécuritaires
PCI DSS liées à l’infrastructure de l’hébergeur.
Pour un
commerçant, se certifier c’est bien sûr protéger les données des clients mais
c’est aussi l’occasion de se différencier en proposant une interface plus
sécurisée que celle du site concurrent. Une différenciation qui s’avère
d’autant plus importante pour les sites e-commerce. La certification contribue
aussi à la valorisation de l’image de marque de l’entreprise qui se met en
conformité. Les préjudices financiers engendrés en cas de non-respect de la
norme et l’amélioration de l’infrastructure grâce aux changements réalisés
durant l’audit de conformité sont d’autres arguments qui devraient inciter les
commerçants à se mettre au plus vite en conformité avec PCI DSS.
Aller
jusqu’à la fin du processus de certification n’est pas une mince affaire car il
est nécessaire de mobiliser beaucoup de ressources dans l’entreprise.
Cependant, des partenaires (hébergeurs, QSA…) œuvrent pour faciliter ce
processus en effectuant un accompagnement tout au long de la démarche de
certification. Enfin, il est important de noter que tous les hébergeurs ne se
valent pas !
Mieux vaut recourir à un hébergeur certifié car il place la
sécurité au centre de ses priorités.