Sécuriser les données

Tous les acteurs responsables de la sécurité travaillent ensemble à protéger les données sensibles des cartes de paiement.

Sur les systèmes d’information de certains commerçants, des sites de e-commerçants ou des plates-formes de paiement par carte insuffisamment sécurisés, les données sensibles des cartes CB peuvent parfois être la cible de compromissions et peuvent être ensuite utilisées frauduleusement pour réaliser des paiements en vente à distance, des paiements de proximité et des retraits principalement à l’étranger sur des systèmes de paiements peu sécurisés.

Il est donc fondamental que, quelle que soit la taille des acteurs concernés (banques, commerçants, prestataires), des investissements adaptés soient consentis dans la sécurisation des données sensibles des transactions par carte. Assurer la confidentialité de ces informations, c’est garantir aux titulaires de cartes CB une protection contre les risques de fraude mais aussi contre les possibles atteintes à la vie privée.

C’est pourquoi la communauté bancaire et CB partagent les objectifs du référentiel PCI-DSS, lui-même décliné à partir des standards ISO de sécurité des systèmes d’information, et visant un haut niveau de protection des données sensibles des cartes. La communauté considère que les objectifs de sécurité définis par le référentiel PCI-DSS correspondent à l’état de l’art de ce que recommandent aujourd’hui les experts pour sécuriser les bases de données, les échanges d’informations, ou pour protéger les contrôles d’accès.

Depuis plusieurs années, tous les acteurs concernés ont lancé des programmes de sécurisation de ces données sensibles ; à ce jour, de nombreux commerçants et prestataires de service ont déjà terminé ou sont sur le point de finaliser leur mise en conformité PCI-DSS.

Rappelons que le référentiel PCI-DSS a été défini par le PCI-SSC (Payment Card Industry Security Standards Council), une organisation fondée en 2005 par les principaux systèmes de paiement par carte : MasterCard, Visa, American Express, Discover Financial Services et JCB. Cette norme définit des exigences de sécurité en matière de protection des données sensibles des cartes bancaires. Elle s’applique à tous les acteurs qui traitent des transactions de paiement par carte, en particulier aux commerçants et aux sites de e-commerce, mais aussi aux hébergeurs des systèmes de paiement par carte, dont les banques. Le processus de contrôle du niveau de conformité de ces acteurs vis-à-vis du référentiel PCI-DSS varie proportionnellement au volume de transactions traitées.
Tous les deux ans, PCI-SSC appelle les organisations participantes à désigner leurs représentants au comité consultatif, le "Board of Advisors". Dans ce cadre, CB vient d’être retenu pour siéger dans ce collège restreint d’experts dont la composition a été fixée jusqu’en 2012.

Depuis 2005, CB a décidé de référencer CB certaines des sociétés déjà accréditées "QSA" (Qualified Security Assessor) chez PCI-SSC pour réaliser des audits PCI-DSS.

Le référencement CB garantit aux commerçants et aux acquéreurs CB, l’existence d’une offre en langue française, adaptée au marché CB ainsi que la confidentialité totale des données recueillies pendant ces audits.

6 sociétés "QSA" sont actuellement référencées CB :

- BULL

- GALITT

- IBM France

- PROVADYS

- TRUSTWAVE

- VERIZON BUSINESS