Nous protégeons l’écosystème des paiements

Découvrez le programme Site Data Protection de Mastercard et le Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI)

En collaboration avec des collègues de l’industrie, Mastercard a conçu et développé en 2006 les normes de sécurité des données de l’industrie des cartes de paiement, les normes PCI DSS (Payment Card Industry Data Security Standard). Pour aider les acquéreurs, les commerçants et les fournisseurs de services à se conformer à ces normes essentielles, Mastercard propose également le programme Site Data Protection (SDP).

Le programme SDP, fondé sur les normes PCI DSS, détaille les exigences liées à la sécurité des données et à la validation de la conformité qui sont nécessaires pour protéger les données des cartes de paiement Mastercard stockées et transmises.

Les normes PCI DSS sont conçues pour déceler les vulnérabilités présentes dans les processus de sécurité, dans les procédures et dans les configurations des sites Web. La conformité aux normes PCI DSS et la conformité subséquente au mandat du programme SDP aident les commerçants, les fournisseurs de services et les émetteurs à se protéger contre les failles de sécurité tout en favorisant la confiance des consommateurs et en protégeant l’intégrité globale du système de paiement.

Renseignez-vous sur les normes de sécurité de la PCI

Les normes de sécurité des données de la PCI

Avec plus de 250 sous-exigences, les normes PCI DSS peuvent être classées en six objectifs détaillés et 12 exigences principales.

Six objectifs, 12 exigences

Objectifs Exigences de les normes PCI DSS
Création et gestion
d’un réseau sécurisé
1: Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de carte 
2: Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur
Protection des données des titulaires de carte 3: Protéger les données stockées des titulaires de carte 
4: Crypter la transmission des données des titulaires de carte sur les réseaux publics ouverts
Gestion d’un programme de gestion des vulnérabilités 5: Utiliser des logiciels antivirus et les mettre à jour régulièrement 
6: Développer et gérer des systèmes et des applications sécurisés
Mise en œuvre de mesures de
contrôle d’accès strictes
7: Restreindre l’accès aux données des titulaires de carte aux seuls individus qui doivent les connaître 
8: Attribuer à tous les utilisateurs un identifiant unique avant de les autoriser à accéder à des composants de système ou aux données des titulaires de carte 
9: Restreindre l’accès physique aux données des titulaires de carte
Surveillance  
et test réguliers des réseaux
10: Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte 
11: Tester régulièrement les processus et les systèmes de sécurité
Gestion d’une politique de
sécurité de l’information
12: Maintenir une politique de sécurité de l’information

 

 

Normes de sécurité des données des applications de paiement

Les normes de sécurité des applications de paiement (PA-DSS) s’adressent aux développeurs de logiciel et aux intégrateurs d’applications de paiement qui stockent, traitent ou transmettent les données de titulaires de carte dans le cadre d’une autorisation ou d’un règlement lorsque ces applications sont vendues, distribuées ou cédées sous licence à des tiers.

Les normes PA-DSS exigent des fournisseurs d’applications de paiement qu’ils s’assurent de mettre en place les contrôles de sécurité appropriés permettant de protéger les données des titulaires de carte. Plusieurs contrôles des normes PA-DSS sont conçus précisément pour s’attaquer aux vulnérabilités courantes jugées comme étant les principales causes de pertes de données sur les cartes de crédit.

Mandat de Mastercard en vigueur depuis le 1er juillet 2012

Depuis le 1er juillet 2012, Mastercard a révisé les normes de son programme SDP et exige désormais que les commerçants et fournisseurs de services utilisant des applications de paiement de tiers s’assurent d’utiliser uniquement des applications qui respectent les normes de sécurité PCI (Payment Application Data Security Standard – PA-DSS), le cas échéant. L’applicabilité des normes PCI PA-DSS aux applications de paiement de tiers est définie dans le manuel du programme des normes PCI PA-DSS. De plus, Mastercard établira une nouvelle exigence de validation pour les commerçants des niveaux 1, 2 et 3, ainsi que pour les fournisseurs de services des niveaux 1 et 2.

Le mandat de Mastercard à l'égard des normes PA-DSS continuera de faire progresser leur adoption à l’échelle mondiale et à leur conformité pour toutes les parties prenantes au sein de l’écosystème des paiements.