Visa impose la conformité PCI DSS aux e commerçants
- Le groupe Carte Bleue imposera à ses e-commerçants la certification PCI DSS, dès le 1er janvier 2013 : faute de répondre à ces exigences, le groupe ne couvrira plus leurs transactions.
- Le secteur du e-commerce s’expose à diverses déconvenues (amendes, un défaut de confiance des clients, impact – difficilement qualifiable – sur son image de marque, etc.), il est donc nécessaire qu’il se plie à ces contraintes en matière de sécurité.
- Les commerçants disposent de plusieurs possibilités : avoir recours à des plates-formes certifiées PCI-DSS pour leur hébergement, faire les démarches nécessaires en vue d’obtenir leur propre certification, s’associer à un prestataire disposant déjà d’une certification. Figurer en tant que « marchand agréé PCI-DSS reconnu par Visa » est, pour eux, un gage de confiance à faire valoir auprès de leurs clients.
- La JV Visa International Service Association rassemble 21 000 établissements financiers au niveau mondial : en France, elle est représentée par le groupe Carte Bleue. Les bénéfices en termes d’images pour les e-commerçants de pouvoir afficher leur lien avec le réseau international Visa ne sont pas négligeables, en cela que ce dernier rassure les internautes/potentiels acheteurs. Cet agrément doit chaque année être renouvelé après de Visa.
- Les procédures de certification étant contraignantes, chronophages et coûteuses, les petits commerçants optent la plupart du temps pour les services de prestataires déjà agréés. La croissance du nombre d’attaques impose un travail de fond pour garantir la sécurité des données sensibles (données cartes, informations personnelles). Le cloisonnement de ces informations critiques, leur chiffrement, la pertinence de leur mode de traitement et de stockage, etc. sont autant de points couverts par le processus de certification afin de se prémunir contre leur récupération par des tiers à des fins frauduleuses. A noter que les banques imposent généralement aux commerçants traitent directement les numéros de carte bancaire de se conformer à PCI-DSS.
- Rappelons que le PCI-SSC a publié en août 2011 de nouvelles lignes directrices quant à la mise en œuvre de mesures liées à la tokenisation des données : PCI-DSS Tokenization Guidelines. L’organisme de normalisation expliquait alors que l’adoption de jetons limitait les efforts de mise en conformité PCI-DSS mais n’invalidait pas pour autant sa nécessité (voir l’Observatoire d’août 2011).
- Enfin, alors qu’aux Etats-Unis l’adoption de la carte à puce progresse, portée par les grands réseaux de cartes et un nombre croissant de banques, la responsabilité des commerçants non-conformes EMV sera engagée dès octobre 2015 (et dès 2017 pour le secteur des carburants). Parallèlement, les deux systèmes de cartes se disent prêts à alléger les contraintes PCI-DSS sur les commerçants ayant installé des terminaux conformes EMV (voir l’Observatoire de février 2012).