La sécurisation des informations relatives aux cartes de crédit est essentielle pour votre entreprise. Vos clients comptent sur vous pour protéger leurs données contre le vol ou la fraude, et chaque transaction traitée doit être conforme aux normes du secteur pour vous protéger, vous et vos clients.

Qu’est-ce que la conformité avec la norme PCI ?

Les normes de sécurité sur les données de l’industrie des cartes de paiement (PCI DSS) ont été instaurées par le Conseil des normes de sécurité PCI (SSC), afin de protéger les données des détenteurs de carte. Tout marchand acceptant les transactions par carte est tenu d’adhérer à ces normes s’il veut pouvoir faire affaire avec les entreprises de carte de crédit, les banques et les processeurs de paiement.

Pourquoi la conformité avec la norme PCI est-elle importante ?

Un marchand qui est victime d’un vol de données sensibles découlant d’une violation de sécurité de son système peut être tenu responsable de la situation et s’exposer à :

• des pénalités imposées par les associations de cartes
• une enquête judiciaire
• une demande de remboursement des coûts d’émission de carte (y compris des pertes imputables à la fraude et des dépenses liées à la surveillance de la fraude) de la part des banques émettrices
• un litige
• une amende

Certaines entreprises réputées qui ont été victimes de violations de sécurité ont en outre vu leur réputation durablement entachée, ce qui a entraîné une baisse de leur chiffre d’affaires et de la confiance des consommateurs.

La conformité avec la norme PCI vous aide à vous prémunir contre de telles attaques et garantit qu’en cas de violation de sécurité, vous et votre entreprise êtes protégés. Si votre entreprise est conforme à la norme PCI, il est beaucoup moins probable que vous soyez victime d’une faille de sécurité et encore moins probable qu’une telle faille entraîne le vol d’informations sensibles.

Assurer la conformité avec la norme PCI

Tout le matériel et les logiciels fournis par Lightspeed Payments sont conformes à la norme PCI DSS. Cependant, vous devez tout de même prendre certaines précautions pour assurer un traitement responsable des données sensibles.

Bien que des données doivent être capturées lors d’un paiement, ces informations doivent être stockées et chiffrées conformément à la norme PCI. En tant que marchand, vous ne pouvez pas conserver les données sensibles des titulaires de cartes dans un format non chiffré. Cela inclut l’enregistrement des numéros de carte de crédit sur les profils de compte des clients ou le stockage des informations relatives aux cartes de crédit physiquement, comme dans un bloc-notes ou sur une note adhésive.

Comprendre ce qu’est une information sensible

Les renseignements ci-dessous constituent des données sensibles :

1. Numéro de carte de crédit : Ce numéro peut être conservé à condition d’être chiffré. En général, seuls les quatre derniers chiffres sont visibles lorsque ce numéro est stocké.
2. Date d’expiration : Cette date peut être conservée pour une raison commerciale valable.
3. Nom du titulaire de la carte : Le nom du client peut être conservé pour une raison commerciale valable.
4. CVV2 : Ce numéro ne peut être conservé en aucun cas.

Principes régissant l’utilisation d’informations sensibles

Si vous devez traiter des informations sensibles relatives aux cartes, vous pouvez prendre certaines mesures pour minimiser les risques de violation de sécurité.

• Ne transmettez jamais de numéros de carte non protégés par messagerie (par courriel, messagerie instantanée, SMS, etc.).
• Mettez en place des mesures de contrôle (p. ex. verrous, mots de passe) qui permettent de limiter l’accès aux seules personnes concernées.
• Attribuez un identifiant (ID) unique à chaque personne ayant accès aux renseignements. Cette mesure permet de s’assurer que les données et les systèmes critiques sont manipulés par des utilisateurs connus et autorisés qui laissent une trace de leurs actions.
• Protégez de l’altération et de la substitution les appareils qui reçoivent des données de paiement par contact direct avec les cartes. Cela consiste notamment à inspecter périodiquement la surface des appareils de point de vente en vue de repérer tout signe d’altération, et à former le personnel pour le sensibiliser aux activités suspectes.
• Mettez en œuvre un programme officiel de sensibilisation à la sécurité pour que le personnel prenne conscience de l’importance de la sécurité des données des titulaires de carte.
• Vérifiez les candidatures avant l’embauche afin de réduire au minimum le risque d’attaques provenant de l’intérieur. Il est notamment recommandé de vérifier les antécédents d’emploi, la présence d’un casier judiciaire, l’historique de crédit et les références.

Comment Lightspeed vous aide à assurer la conformité avec la norme PCI

Lightspeed prend au sérieux la conformité avec la norme PCI et a mis en place des mesures rigoureuses pour assurer la conformité avec la norme PCI DSS. Notre approche technique en matière de sécurité est conçue pour vous protéger, vous et vos clients.

• Nous fournissons uniquement du matériel et des logiciels conformes à la norme PCI DSS, et notre plateforme répond également à ses exigences.
• Lightspeed est le nom de marchand qui apparaît sur les relevés pour toute transaction. Nous traitons donc avec les banques en votre nom.
• Nos activités de gestion de réseau, la sécurisation de nos applications Web et client et l’élaboration de nos politiques organisationnelles se font en conformité avec la norme PCI DSS, qui constitue une référence dans notre secteur.
• Le système de paiement intégré de Lightspeed fournit un chiffrement de bout en bout pour chaque transaction au point de vente et chiffre les données aussitôt qu’elles atteignent nos serveurs.

Par ailleurs, lorsque vous vous inscrivez pour la première fois à Lightspeed Payments, vous avez la possibilité de vous inscrire auprès de Viking Cloud, notre partenaire pour le maintien de la conformité avec la norme PCI. Ce service est entièrement gratuit pour tous les utilisateurs de Lightspeed Payments.

Pour demeurer conforme à la norme PCI DSS, il faut se tenir au fait des changements qui touchent l’industrie. Cette conformité peut exiger des évaluations régulières et le remplissage de documents tout au long de l’année. La bonne nouvelle, c’est que Lightspeed se charge de tout cela pour vous ! Cela dit, si vous désirez en apprendre davantage sur les mesures que nous prenons, nous vous avons préparé un petit aperçu ci-dessous.

• Niveaux de conformité avec la norme PCI

  La première étape pour se conformer à la norme PCI DSS consiste à déterminer le niveau de norme que vous devez respecter. Il existe quatre niveaux, mais le seuil à atteindre pour changer de niveau varie selon l’émetteur de cartes. Voici les niveaux et les seuils des quatre principales sociétés émettrices de cartes pour tout marchand qui :

  Niveau	Visa	Mastercard	AMEX	Discover
  N1	traite plus de 6 millions de transactions Visa par an a déjà vu ses données compromises lors d’une brèche de sécurité est considéré comme étant de niveau 1 par Visa	traite plus de 6 millions de transactions Mastercard par an a déjà vu ses données compromises lors d’une brèche de sécurité est considéré comme étant de niveau 1 par Mastercard répond aux critères de niveau 1 de Visa	traite plus de 2,5 millions de transactions AMEX par an est considéré comme étant de niveau 1 par AMEX	traite plus de 6 millions de transactions Discover par an est considéré comme étant de niveau 1 par une autre marque ou un autre acquéreur est considéré comme étant de niveau 1 par Discover
  N2	traite de 1 à 6 millions de transactions Visa par an	traite de 1 à 6 millions de transactions Mastercard par an répond aux critères de niveau 2 de Visa	traite de 50 000 à 2,5 millions de transactions AMEX par an	traite de 1 à 6 millions de transactions Discover par an
  N3	traite de 20 000 à 1 million de transactions Visa en ligne par an	traite de 20 000 à 1 million de transactions Mastercard en ligne par an répond aux critères de niveau 3 de Visa	traite moins de 50 000 transactions AMEX par an	Tous les autres marchands
  N4	traite moins de 20 000 transactions Visa en ligne par an traite jusqu’à 1 million de transactions Visa par an	Tous les autres marchands	S.O.	S.O.

• Exigences de conformité avec la norme PCI

  Une fois que vous avez établi le niveau qui vous correspond, vous savez quelles exigences vous devez respecter pour vous conformer à la norme PCI DSS.

  Les marchands de niveau 2, 3 ou 4 doivent remplir un questionnaire d’auto-évaluation annuel (SAQ). Le SAQ contient une série de questions qui concernent les exigences de sécurité applicables à votre entreprise. On y répond par oui ou par non. Puisque les mêmes exigences ne conviennent pas à tous les types d’entreprises, il existe plusieurs versions du SAQ.

  Reportez-vous au tableau suivant pour déterminer quel questionnaire s’applique à votre entreprise :

  Questionnaire	Quels types de paiement par carte de crédit acceptez-vous ?	Notes
  A	Marchands qui acceptent les transactions sans carte (commerce en ligne, commandes par courriel ou par téléphone), qui externalisent le traitement des données des titulaires de carte à des fournisseurs de services tiers dont la conformité avec la norme PCI DSS est validée, et qui ne procèdent à aucun stockage ou traitement ni à aucune transmission par voie électronique des données des titulaires de carte dans leurs systèmes ou leurs installations.	Ne s’applique pas aux canaux en face-à-face.
  A-EP	Marchands en ligne qui externalisent le traitement des paiements à des fournisseurs de services tiers dont la conformité avec la norme PCI DSS a été validée. Le site Web de ces marchands ne reçoit pas directement les données des titulaires de carte, mais peut avoir une incidence sur la sécurité des transactions. Il n’y a aucun stockage ou traitement ni aucune transmission par voie électronique des données des titulaires de carte dans les systèmes ou les installations de ces marchands.	Applicable uniquement aux canaux de commerce en ligne.
  B	Marchands qui utilisent uniquement les appareils suivants : Dispositifs d’impression qui ne stockent aucune donnée de titulaire de carte par voie électronique Terminaux indépendants ou avec ligne directe qui ne stockent aucune donnée de titulaire de carte par voie électronique	Ne s’applique pas aux canaux de commerce en ligne.
  B-IP	Marchands qui utilisent uniquement des terminaux de paiement indépendants certifiés PTS avec connexion IP au fournisseur de services de paiement, sans stockage des données des titulaires de carte par voie électronique.	Ne s’applique pas aux canaux de commerce en ligne.
  C-VT	Marchands qui saisissent manuellement les données de carte, une transaction à la fois, sur un terminal virtuel offert et hébergé par un fournisseur de services tiers dont la conformité avec la norme PCI DSS a été validée. Aucune donnée des titulaires de carte n’est stockée par voie électronique.	Ne s’applique pas aux canaux de commerce en ligne.
  C	Marchands dont le système de paiement est connecté à Internet, sans stockage des données des titulaires de carte par voie électronique.	Ne s’applique pas aux canaux de commerce en ligne.
  P2PE-HW	Marchands utilisant uniquement des terminaux de paiement physiques intégrés et gérés par une solution P2PE validée par le SSC et conforme à la norme PCI, sans stockage des données des titulaires de carte par voie électronique.	Ne s’applique pas aux canaux de commerce en ligne.
  D	Tout marchand qui ne correspond pas à l’une ou l’autre des descriptions précédentes.

• Lightspeed Payments et conformité du matériel

  Lightspeed Payments répond aux exigences de niveau 1 de la norme PCI DSS. Cela requiert notamment la production de rapports annuels sur la conformité (ROC) et d’attestations de conformité (AOC), ainsi que la réalisation d’analyses trimestrielles de sécurité réseau par un fournisseur de services d’analyse agréé (ASV).

  Tout le matériel et les logiciels fournis par Lightspeed Payments sont conformes à la norme PCI DSS. Cependant, vous devez tout de même prendre certaines précautions pour assurer un traitement responsable des données sensibles liées aux cartes de paiement.

• Exigences PCI DSS

  En tant qu’entreprise acceptant les cartes de crédit, vous devrez remplir un questionnaire d’auto-évaluation PCI DSS afin de démontrer que la sécurité des données est une priorité absolue pour vous. Les normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS) sont essentielles pour protéger les consommateurs contre l’usurpation d’identité et la fraude à la carte de crédit.

  Le cadre de conformité avec la norme PCI est un ensemble de normes mises en œuvre par les principales sociétés de cartes de crédit afin de garantir que tous les marchands traitent, stockent et transmettent les données en toute sécurité. Il exige également que vous soumettiez des évaluations ou des rapports annuels attestant de vos contrôles de sécurité.

  Si vous utilisez un processeur de services de paiement tiers, vous devrez contacter ce dernier pour discuter de votre conformité avec la norme PCI.

  Pour en savoir plus sur la norme PCI DSS, vous pouvez consulter le site Web du Security Standards Council PCI ainsi que celui des grandes sociétés émettrices de cartes de crédit :

  • American Express
  • Discover
  • JCB International
  • MasterCard
  • Visa Inc

Prochaines étapes