Introduction à PCI DSS

Présentation de PCI DSS

PCI DSS veut dire: Payment Card Industry Data Security Standard ou, en français, Standard de Sécurité des Données de l’Industrie du Paiement par Carte. C’est un ensemble d’exigences de sécurité dont l’objectif est d’assurer la confidentialité des données qu’on trouve sur une carte de paiement et la disponibilité des systèmes qu’on met en oeuvre afin de sécuriser ces données. Le standard ne traite pas les concepts de disponibilité ni d’intégrité des données carte.

Afin de réduire le risque de fraude, chacune des marques de carte de paiement prominentes a d’abord essayé de mettre en place son propre standard mais il est rapidement devenu évident que ce n’était pas une situation gérable. Visa, Mastercard, Américan Express, Discover et JCB ont donc mis en place une organisation chargée de créer un standard commun avec son écosystème. C’est là raison d’être du PCI SSC (PCI Security Standards Council). Depuis peu, Union Pay (Chine) a rejoint les marques fondatrices. Chacune des marques de carte de paiement a sont propre programme de sécurité basé sur l’unique standard: PCI DSS. C’est pour ça que chaque publication de PCI SSC est validée par les marques de carte. Je développerai le sujet un peu plus tard.

A qui s’applique PCI DSS?

PCI DSS s’applique à toute organisation/environnement qui traite , et/ou stocke , et/ou transmet des données carte. Il s’applique aussi à ceux qui peuvent impacter la sécurité d’un environnement qui traite, stocke, transmet des données carte, cela se voit quand l’organision a sous-traité la gestion d’une ou plusieurs exigences.

En résumé:

Il peut y avoir des exceptions, par exemple, si un environnement reçoit des PAN remplacés par des « tokens » (valeur de substitution) générés par un autre environnement et que votre environnement n’a aucun moyen de retrouver le PAN associé, alors PCI DSS ne s’applique pas au PAN. Dans tous les cas, il faut prendre conseil auprès d’un auditeur PCI DSS, de sa banque si on est un marchand ou directement de la marque de carte de paiement avec laquelle on a un contrat.

Qui décide si je dois être conforme à PCI DSS?

Voici qui décide si et comment vous devez valider votre conformité à PCI DSS:

Il y a plusieurs cas:

  • Vous êtes un marchand: C’est votre banque (votre acquéreur) qui va évaluer votre profil de risques en fonction de votre volume annuel de transactions et, éventuellement d’autres critères. Les règles pour ceci sont dictées par les marques de carte.
  • Vous êtes un fournisseur de service et vous traitez avec une marque de carte: C’est celle-ci qui décide.
  • Vous êtes un fournisseur de service et vous impactez la sécurité d’une autre organisation qui est certifiée PCI DSS: vous pouvez être inclus dans l’audit de votre client ou vous faire certifier pour les exigences que vous prenez en compte au nom de votre client. Dans ce dernier cas il vaut mieux s’adresser à une société d’audit PCI DSS afin d’être conseillé.

Vous avez dit données de cartes de paiement?

Avant d’aller plus loin, penchons nous sur les donnnées d’une carte de paiement:

La face avant de la carte

  • Logos : il peut y avoir un ou deux logos de marque de carte, dans le deuxième cas cela veut dire que deux marques de carte peuvent traiter les paiement effectués par cette carte. L’aiguillage se fait au niveau des processeurs de paiement.
  • Le long numéro: c’est ce qu’on appelle le PAN (Primary Account Number).
  • Le nom du porteur (ou titulaire) de la carte
  • La date de fin de validité de la carte. Ici, décembre 2029
  • La puce électronique: c’est un véritable ordinateur assurant des fonctions de cryptographie et de stockage des données de la carte.

La face arrière

  • Des pistes magnétiques contenant toutes les données de la carte. Ceci n’existera bientôt plus.
  • La signature du porteur de la carte. Aussi appelée à disparaitre.
  • Le code de vérification – code secrêt utilisé pour les ventes à distance
  • Le PIN – code secrêt utilisé pour les paiements sur place. Ce code n’est pas visible sur la carte mais stocké.

Un peu plus de vocabulaire:

  • Le PAN, nom du porteur, date de fin de validité forment les données du porteur de carte.
  • Le code de vérification, le PIN et le contenu des données sur la puce et les pistes magnétiques forment les données d’authentification sensibles.
  • L’ensemble des données de la carte s’appelle les données de compte de la carte.

Nous reviendrons plus tard sur les exigences de sécurisations de ce données.