+ Qu'est-ce que la Conformité PCI? (PCI-DSS)?

PCI-DSS signifie la norme de sécurité des données de l'industrie des cartes de paiement, une norme établie par toutes les principales associations de cartes de crédit (Visa, MasterCard, American Express, Discover et JCB) pour garantir que chaque entreprise maintient un environnement sécurisé. La principale raison de la conformité est d'éviter la violation de données dans votre entreprise et ses conséquences.

+ Pourquoi PCI-DSS?

Avant PCI, tous les coûts d'une violation de carte étaient à la charge des parties qui acceptaient les cartes frauduleuses. Une fois le PCI introduit, la source de la violation est maintenant responsable et entraîne des conséquences financières.

+ Nous traitons depuis des années - que s'est-il passé que nous devons nous conformer maintenant?

PCI-DSS, bien que existant depuis des années (appliqué principalement au commerce électronique et au traitement de gros volumes), a été récemment étendu pour inclure les marchands de «niveau 4», ce qui signifie essentiellement chaque marchand (acceptant les CC), quel que soit son secteur ou son volume.

+ Quelle est la différence entre les frais de conformité et les frais de non-conformité?

Comme pour toute évaluation des risques, la probabilité de violation de données est beaucoup plus élevée lorsqu'une entreprise n'est pas conforme à la norme PCI. Cela signifie qu'une telle entreprise est plus susceptible de faire l'objet d'amendes, de pénalités et d'audits médico-légaux coûteux. C'est pourquoi les frais de non-conformité coûtent au commerçant 3 à 4 fois plus que les frais de conformité.

+ Où puis-je trouver plus d'informations sur les normes PCI?

Le conseil d'origine (PCI Security Standards Council) est une excellente source d'informations. Leur site officiel: https://www.pcisecuritystandards.org/.

+ Quel type d'entreprise doit être conforme au PCI?

Tous les types d'entreprises, indépendamment de leur taille, volume ou nombre de transactions, qui acceptent, transmettent ou enregistrent les données des titulaires de carte. Si une entreprise accepte les cartes de crédit, la conformité PCI s'applique!

+ Je suis une entreprise de vente au détail et je n'enregistre aucune donnée de carte. Pourquoi devrais-je me conformer?

L'expérience montre que les commerces de détail ne sont pas protégés contre les violations de données. En fait, en 2013, les données par industrie montrent que 35% (!) de toutes les violations de données proviennent du commerce de détail, et si nous les combinons avec le restaurant, ce nombre monte à 53%.

+ J'accepte uniquement Interac. Dois-je être conforme?

La réponse est non. La conformité PCI s'applique à toutes les marques de cartes appartenant aux associations de cartes de crédit.

+ Mon panier d'achat est déjà conforme PCI. Dois-je encore faire quelque chose?

Oui. Le fait que votre fournisseur tiers soit conforme est utile, mais cela ne vous rend pas non plus conforme. Vous devez toujours être conforme et suivre le processus de gestionnaire PCI.

+ Que se passe-t-il si je refuse d'être conforme PCI?

Les commerçants qui ne se conforment pas aux réglementations PCI peuvent être passibles d'amendes, de frais de remplacement de carte, d'audits médico-légaux coûteux, de dommages à la marque, en cas de violation. Bien que PCI ne soit pas obligatoire, accepter de devenir conforme PCI vous aide à la fois à maintenir un environnement de travail sécurisé et à réduire vos coûts en cas de violation de données.

+ J'enregistre toutes les données de carte de crédit dans un fichier électronique sécurisé par un mot de passe. Pourquoi ce n'est pas suffisant?

Il s'agit d'une erreur courante: la protection par mot de passe ne protège pas la violation de données. Toutes les informations de carte de crédit peuvent potentiellement être volées à partir de n'importe quel ordinateur.

+ Où puis-je conserver mes données si je ne peux pas les conserver sur l'ordinateur?

En tant que commerçant conforme, vous devez recevoir toutes vos autorisations de carte de crédit sur des documents papier. Ces documents doivent être conservés dans un endroit sûr (mais pas électroniquement). Lorsque le document n'est plus nécessaire, il doit être déchiqueté de manière à ce que la reconstruction soit impossible. Vous souhaitez minimiser la conservation des données de carte de crédit et vous pouvez utiliser Virtual Merchant pour stocker ces numéros pour vous.

+ En devenant conforme PCI, suis-je protégé contre les transactions frauduleuses?

Malheureusement non. Vous devez toujours être prudent et utiliser tous les outils disponibles de prévention de la fraude.

+ Comment devenir conforme?

En tant que marchand, Elavon est allé bien au-delà pour vous aider à devenir conforme en engageant une entreprise dédiée spécialisée dans la sécurité PCI pour aider nos commerçants dans le processus de conformité. Notez que s'il est embauché à titre privé, le coût pourrait être de 15 000 $ à 50 000 $ (comme certains de nos commerçants peuvent en témoigner).

+ Qu'est-ce que le gestionnaire de conformité PCI?

Le gestionnaire de conformité PCI est un outil fourni afin d'aider chaque commerçant à se mettre en conformité. Veuillez vous connecter au site Web suivant et suivre toutes les étapes http://pcicompliancemanager.com (un résumé des étapes requises dans notre newsletter du 7 novembre).

+ Quel est l'horaire des frais de conformité PCI?

À compter du 1er décembre 2014, tous les commerçants seront facturés pour la conformité PCI (ou des frais de non-conformité). Cependant, les commerçants disposent d'un délai de grâce de 90 à compter de la date d'ouverture de leur compte pour se conformer, avant que des frais non conformes ne soient appliqués.

+ Que couvrent les frais de conformité PCI?

Les frais couvrent le coût de devenir et de maintenir le statut de conformité PCI (doit être effectué chaque année). Il protège également un commerçant conforme en cas de violation de données pour des coûts connexes allant jusqu'à 100 000 $.

+ Quel avantage j'obtiens en devenant conforme PCI?

En devenant conforme, vous protégez votre nom et vos clients. Les acheteurs se sentent plus à l'aise et en sécurité pour acheter dans un endroit qui indique: «nous sommes conformes à la norme PCI». Vous réduisez également votre risque de frais et de pénalités.

+ Ai-je besoin d'une analyse de vulnérabilité une fois que je suis devenu conforme?

Si vous gardez électroniquement les données des titulaires de carte ou si votre solution de traitement utilise une connexion Internet, une analyse trimestrielle par un fournisseur de numérisation approuvé par PCI (ASV) est nécessaire.

+ Le certificat PCI doit-il être renouvelé?

Oui, tous les commerçants doivent le renouveler chaque année.