Information à l’intention des commerçants concernant la sécurisation des transactions

Découvrez comment stocker, traiter et transmettre les données de paiement de façon sécuritaire

Tous les commerçants qui stockent, traitent ou transmettent des données sur les titulaires de carte doivent respecter les normes de sécurité de l’industrie des cartes de paiement (PCI). Chaque commerçant classé de niveau 1, de niveau 2 ou de niveau 3 doit déclarer son statut de conformité directement à l’acquéreur.

Le classement du niveau d’un commerçant soulève souvent des questions. Mastercard recommande aux commerçants de communiquer avec leur acquéreur et, en collaboration avec celui-ci, ils pourront ensuite suivre les étapes suivantes :

  • Déterminer le niveau du commerçant en utilisant le volume de transactions Mastercard des 52 dernières semaines

  • Confirmer les exigences nécessaires pour respecter les normes PCI

  • Obtenir les services d’un fournisseur agréé, au besoin, et suivre les procédures de validation

Lorsqu’un commerçant est confirmé comme étant conforme aux normes PCI, il doit transmettre les exigences de validation à son acquéreur, qui transmettra par la suite le statut de conformité du commerçant à Mastercard.

Catégorie Critères Exigences Date de validation
Niveau 1
  • Tout commerçant qui a subi un piratage ou une attaque ayant mené à la compromission des données relatives aux comptes
  • Tout commerçant traitant annuellement plus de six millions de transactions Mastercard et Maestro (combinées)
  • Tout commerçant qui répond aux critères de niveau 1 de Visa
  • Tout commerçant qui, à la seule et entière discrétion de Mastercard, doit répondre aux exigences des commerçants classés dans le niveau 1 afin de réduire les risques pour le système
  • Évaluation annuelle sur place1
  • Évaluation trimestrielle du réseau effectuée par un fournisseur approuvé de service de balayage2

Samedi le 30 juin 20123

Niveau 2
  • Tout commerçant traitant annuellement entre un et six millions de transactions Mastercard et Maestro (combinées)
  • Tout commerçant qui répond aux critères de niveau 2 de Visa
  • Autoévaluation annuelle4
  • Évaluation sur place à la discrétion du commerçant4
  • Analyse trimestrielle du réseau effectuée par un fournisseur approuvé de service de balayage2

Samedi le 30 juin 20124

Niveau 3
  • Tout commerçant traitant annuellement entre 20 000 et un million de transactions Mastercard ou Maestro du commerce électronique (combinées)
  • Tout commerçant qui répond aux critères de niveau 3 de Visa
  • Autoévaluation annuelle
  • Évaluation trimestrielle du réseau effectuée par un fournisseur approuvé de service de balayage2

Jeudi le 30 juin 2005

Niveau 4
  • Tous les autres commerçants5
  • Autoévaluation annuelle
  • Évaluation trimestrielle du réseau effectuée par un fournisseur approuvé de service de balayage2

Consulter l’acquéreur

 

  1. À compter du 30 juin 2012, les commerçants de niveau 1 qui choisissent d’utiliser leur service de vérification interne pour effectuer une évaluation annuelle sur place doivent s’assurer que le personnel chargé de la validation d’une complète conformité des normes PCI DSS ait suivi la formation d’évaluateur de la sécurité interne (en anglais, Internal Security Assessor ou ISA) de l’industrie des cartes de paiement (en anglais, Payment Card Industry Data Security Standards ou PCI SSC) et qu’il a obtenu l’accréditation annuelle associée au programme, et ce, afin de pouvoir continuer d’utiliser leur service de vérification interne.
  2. Les balayages de sécurité trimestriels doivent être effectués par un fournisseur approuvé de service de balayage (Approved Scanning Vendor - ASV) par l'industrie des cartes de paiement (PCI).
  3. La date initiale de conformité de juin 2005 pour les commerçants du niveau 1 est désormais passée. La date butoir du 30 juin 2012 concerne uniquement la formation et la certification et elle ne touche que les commerçants qui choisissent d’utiliser leur service de vérification interne pour effectuer une évaluation annuelle sur place.
  4. À compter du 30 juin 2012, les commerçants de niveau 2 qui choisissent de remplir le questionnaire d’autoévaluation annuelle doivent s’assurer que le personnel chargé de l’autoévaluation ait suivi la formation d’évaluateur de la sécurité interne (Internal Security Assessor ou ISA) de l’industrie des cartes de paiement (PCI SSC) et qu’il a obtenu l’accréditation annuelle associée au programme, et ce, afin de pouvoir continuer d’utiliser l’option du questionnaire d’autoévaluation annuelle.
  5. Les commerçants de niveau 4 doivent se conformer aux exigences des normes de sécurité des données (Data Security Standard ou DSS) de l’industrie des cartes de paiement. Les commerçants de niveau 4 sont invités à consulter leur acquéreur pour déterminer si la validation de la conformité est également nécessaire.

Comprendre les exigences auxquelles les commerçants doivent se conformer en matière de validation

Évaluation sur place ou autoévaluation

Il s’agit d’une évaluation détaillée effectuée par un évaluateur qualifié en matière de sécurité (Qualified Security Assessor - QSA) ou par un évaluateur de sécurité interne (Internal Security Assessor - ISA). Cette évaluation confirme à l’acquéreur que l’entreprise effectue le traitement des données associées aux cartes conformément aux normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS).

S’applique aux: commerçants des niveaux 1 et niveau 2

Questionnaire d’autoévaluation (Self-Assessment Questionnaire - SAQ)

Il s’agit d’un outil de validation principalement utilisé par les commerçants et les fournisseurs de services qui ne sont pas obligés de se soumettre à une évaluation sur place lorsqu’ils doivent auto-évaluer leur conformité aux normes PCI DSS.

S’applique aux: commerçants des niveaux 2, 3 et 4

Évaluation des vulnérabilités externes

Il s’agit d’une évaluation des vulnérabilités externes qu’effectue un fournisseur approuvé de service de balayage (Approved Scanning Vendor – ASV) de tous les composants des systèmes qui sont connectés à Internet et qui font partie de l’environnement des données de titulaires de carte ou qui y donnent accès.

S’applique à: tous les commerçants (le cas échéant)

Réduisez les risques de compromission des données relatives aux comptes

Choisissez un fournisseur de services conforme aux normes de l’industrie des cartes de paiement