Importance du PCI Compliance

Avec l'avènement des sites de commerce électronique est venu la possibilité de faire des transactions par cartes de crédit en ligne. Bien que les bénéfices d'un tel service soient innombrables, cela posait un nombre important de défis aux banques et aux concepteurs de sites web. Ainsi, l'industrie du paiement en ligne a établi une norme, le PCI compliance, qui définit les règles à respecter pour tous ceux désireux de traiter des cartes de crédits en ligne. Il est à noter que cette dernière n'est pas une loi mais plutôt une norme pour tous les intervenants de l'industrie. Toute entreprise ne respectant cette norme s'expose à de sévères amendes de la part des compagnies de cartes de crédit ainsi que des banques. Afin de maintenir sa capacité à traiter des cartes de crédits, les compagnies se doivent de respecter 6 catégories de standards:

Maintenir un réseau sécurisé

Il est essentiel de maintenir l'information privilégiée à l'intérieur d'un réseau sécurisé et de prendre toutes les mesures nécessaires afin de s'assurer de ne pas perdre l'information. Des questions à répondre sont du type: Est-ce que l'entreprise possède un pare-feu? Est-ce que des informations privilégiées sont présentes sur les ordinanteurs des employés? Est-ce que le serveur web est bien protégé? Les mots de passe sont-ils connus que par les personnes nécessitant un accès aux données?

Protéger l'information du propriétaire de carte

L'information privilégiée recueillie sur un site web doit absolument être protégée afin de ne pas être accessible par quiconque. C'est ainsi que lors de la transmission de l'information de crédit par l'internet, on doit s'assurer qu'elle est encryptée par un certificat de sécurité SSL d'un minimum de 128 bits. Dans la plupart des cas, l'information de crédit ainsi que toutes les informations sur le propriétaire de la carte (nom, adresse) ne peuvent être maintenus par la compagnie gérant le site web. Ce dernier doit passer par un "payment gateway" qui gardera toutes ces informations privilégiées sur son serveur et transmettra les informations nécessaires au besoin pour l'afficher à l'utilisateur.

Implémenter un contrôle d'accès stricte

Afin de limiter au minimum l'accès aux données privilégiées, il est essentiel de maintenir un contrôle d'accès stricte sur aux serveurs gérant ces données. C'est ainsi que dans le cas d'une site où les données sont gérées localement, un contrôle stricte doit être en place à la salle des serveurs où sont entreposées ces informations.

Surveiller et tester les réseaux régulièrement

Les centres entreposant les données de crédit doivent être testés de façon régulière afin d'identifier tout manquement aux mesures et processus en place. Certaines compagnies se spécialisent dans ce genre d'audit de sécurité afin d'identifier et d'aider à réparer tout problème de sécurité qui pourrait apparaître.

Maintenir une politique de sécurité

Puisque le comportement humain est souvent le maîllon faible de la sécurité en ligne, il est essentiel d'établir au sein des entreprises s'occupant de tel réseaux d'une politique claire de sécurité quant à l'accès à l'information. Il est essentiel que les employés comprennent bien leur responsabilités quant aux données avant qu'un problème ne survienne.

Source: Practical Ecommerce

C'est ainsi que Motion In Design travaille de concert avec tous ses clients qui, comme Analekta, requièrent le PCI compliance pour continuer leurs affaires en ligne. Avec le nombre grandissant de sites de commerce en ligne que nous développons, l'implantation du PCI compliance est un service supplémentaire que nous offrons dorénavant à tous nos clients qui en ont besoin.