A partir du 1er janvier 2013, Visa ne couvrira plus les transactions non certifiées PCI DSS

L’hébergeur vient en aide aux commerçants dans le processus de certification PCI DSS qui sécurise transactions et données bancaires

A partir du 1er janvier 2013, Visa ne couvrira plus les transactions non certifiées PCI DSS (Payment Card Industry Data Security Standard). Les commerçants et e-commerçants doivent saisir les enjeux de cette certification dès à présent car plus de douze mois sont nécessaires à sa mise en place. Il devient urgent de les alerter et de les accompagner dans leurs démarches pour se mettre en conformité.
PCI DSS sécurise les transactions bancaires. Chaque commerçant qui traite des paiements par carte et conserve des informations bancaires doit adhérer à la norme PCI DSS (Payment Card Industry Data Security Standard), un ensemble de 12 règles élaborées pour sécuriser et protéger les données de paiement client.
La mise en œuvre de cette certification est un processus long à mettre en place qui, par conséquent, nécessite d’entreprendre une réflexion en amont et des mesures dès que celle-ci se concrétise.

Une certification susceptible de pénaliser les commerçants. La plupart des commerçants ne sont pas encore au courant de l’arrivée de cette mesure initiée par Visa qui prendra pourtant effet au 1er janvier 2013. Ne connaissant ni ses caractéristiques ni la procédure à suivre pour se mettre en conformité, ils risquent d’être pénalisés au moment de sa mise en application. De plus, la certification PCI DSS ne s’obtient pas du jour au lendemain : environ 12 mois sont nécessaires pour la mise en conformité. Cela représente une année pendant laquelle le commerçant s’expose à des amendes, à des augmentations de frais bancaires ou, plus grave encore, à la suspension de ses services bancaires.

PCI DSS, un certificat « sécurité » à obtenir d’urgence ! La course contre la montre commence pour les commerçants. Ils doivent rapidement faire appel à un QSA (Qualified Security Assessor), spécialiste en sécurité des systèmes d’information qui conduit l’audit et les accompagne dans leur procédure pour obtenir la certification PCI DSS. Mais surtout dans l’urgence, il est conseillé de s’appuyer sur un hébergeur déjà certifié et disposant d’un kit PCI DSS. Ainsi le commerçant pourra héberger sa solution web sur un réseau certifié et valider automatiquement une bonne partie des exigences sécuritaires PCI DSS liées à l’infrastructure de l’hébergeur.  
Pour un commerçant, se certifier c’est bien sûr protéger les données des clients mais c’est aussi l’occasion de se différencier en proposant une interface plus sécurisée que celle du site concurrent. Une différenciation qui s’avère d’autant plus importante pour les sites e-commerce. La certification contribue aussi à la valorisation de l’image de marque de l’entreprise qui se met en conformité. Les préjudices financiers engendrés en cas de non-respect de la norme et l’amélioration de l’infrastructure grâce aux changements réalisés durant l’audit de conformité sont d’autres arguments qui devraient inciter les commerçants à se mettre au plus vite en conformité avec PCI DSS.
Aller jusqu’à la fin du processus de certification n’est pas une mince affaire car il est nécessaire de mobiliser beaucoup de ressources dans l’entreprise. Cependant, des partenaires (hébergeurs, QSA…) œuvrent pour faciliter ce processus en effectuant un accompagnement tout au long de la démarche de certification. Enfin, il est important de noter que tous les hébergeurs ne se valent pas !
Mieux vaut recourir à un hébergeur certifié car il place la sécurité au centre de ses priorités.