Ecommerce : Comment se conformer aux normes de sécurité PCI et CISP ?

normes pci

Conseils e-Commerce enjeux et principe de fonctionnement des normes PCI CISP pour sécuriser les transactions par carte de crédit sur Internet.

PCI, DSS et CISP sont les nouveaux acronymes en vigueur — si vous acceptez les paiements par carte de crédit, mieux vaut vous familiariser avec ces termes. Conçus par AMEX, MasterCard et VISA, ces acronymes désignent les règles auxquelles les marchands en ligne et hors ligne doivent respecter lorsqu’ils enregistrent, traitent ou transmettent des informations relatives aux cartes de crédit. Le non-respect de ces normes vous expose à de lourdes amendes.


 

La lecture de ces règles pourrait bien vous donner une migraine carabinée. Bonne nouvelle : il est pourtant possible de se conformer facilement à ces règles.

 

Les standards de sécurité PCI, CISP

 

Pour accepter les cartes de crédit, vous devez vous conformer aux normes PCI / CISP, si vous-même ou le logiciel que vous utilisez stocke, traite ou transmet des numéros de cartes de crédit. Ceci est valable pour les paiements traditionnels en boutique, par téléphone ou par Internet. Ces standards ont été établis par les organismes qui délivrent des cartes de crédit afin de réduire le vol de numéros de cartes de crédit, en ligne ou hors ligne ( PCI https://www.pcisecuritystandards.org/   CISP: http://usa.visa.com/merchants/risk_management/cisp_merchants.html).
Ces règles décrivent les mesures à adopter pour sauvegarder les informations relatives aux cartes de crédit et les mettre à l’abri d’éventuels vols. Elles s’appliquent au logiciel que vous utilisez, à vos serveurs et à votre environnement de travail. Que devez-vous faire ?

 

Logiciel pour boutique en ligne avec panier d'achat

 

La façon la plus simple de respecter la norme PCI est de sélectionner un logiciel de création de site e commerce tel que ShopFactory, qui ne traite pas, ne transmet pas et n'enregistre pas les numéros de carte de crédit.

 

Malheureusement, la plupart des solutions e-Commerce disponibles sur le marché effectue au moins une de ces trois opérations, par exemple transmettre les numéros de carte de crédit à un fournisseur de services de paiement pour validation. C’est le cas pour un grand nombre de solutions e-Commerce en open source. Dans ce cas, vous devrez héberger votre boutique sur un serveur respectant les normes PCI/CISP et vous conformer aux instructions en matière de sécurité que ces standards imposent, ce qui n’est pas une mince affaire pour une petite entreprise.

 

 


Transaction manuelle des cartes de crédit

 

Si vous souhaitez accepter et valider vous-même les cartes de crédit, faites appel à un prestataire de services qui accepte les cartes de crédit pour vous et qui les enregistre dans un environnement conforme à la norme PCI. De cette façon, vous n’aurez pas besoin de traiter ou de transmettre des cartes de crédit – ce qui vous évite d’avoir à vous conformer au standard PCI.

 

Service de paiement en temps réel

 

L’option la plus sûre consiste à recourir aux services d’une plateforme de paiement en temps réel qui accepte et approuve les paiements par carte de crédit à votre place sur son serveur ; ou une passerelle de gestion des commandes telle que GlobeCharge. Vous n’aurez alors pas à traiter, transmettre ou enregistrer les informations relatives aux cartes de crédit — en d’autres termes, vous n’aurez pas à vous soucier du respect de la norme PCI.


Si vous recevez de nombreuses commandes, l’utilisation d’un service de paiement en temps réel vous aidera également à rationaliser vos opérations. La majorité de ces services utilise également des méthodes sophistiquées de détection des fraudes et vous met ainsi à l’abri des fraudes, tout en se conformant à la norme PCI.

 

Attention cependant : Si vous vous connectez à une passerelle de paiement en temps réel, et que le client entre les informations relatives au paiement sur votre site, vous devez vous conformer aux règles de la norme PCI.


Soyez prudent également dans le choix du logiciel de création de commerce électronique que vous utilisez. De nombreuses solutions e-Commerce acceptent les informations relatives aux cartes de crédit sur votre serveur et les transmettent ensuite à une plateforme de paiement. Dans ce cas, retour à la case départ : votre serveur et votre environnement de travail doivent se conformer aux normes PCI et CISP.

 

Les idées reçues

 

Le respect de la norme PCI souffre de nombreuses idées reçues. La plus courante est que vous devez vous conformer aux règles de la norme PCI uniquement si vous enregistrez des numéros de cartes de crédit.


Ce n’est pas le cas. De nombreux logiciels de boutique en ligne acceptent les informations relatives aux cartes de crédit provenant des clients et les transmettent ensuite à la passerelle de paiement. Le couac se situe au niveau de la transmission. Si votre logiciel procède ainsi, votre serveur ainsi que votre hébergeur doivent être respecter  la norme PCI.

 

Autre idée reçue : Les serveurs qui effectuent des tests de sécurité validés par un service de sécurisation sont automatiquement approuvés par PCI. Encore faux. Le test de sécurité ne constitue qu’un élément de la validation PCI. Si votre hébergeur ne se conforme pas à la norme PCI, vous ne pouvez pas vous y conformer non plus – et ce quels que soient les résultats du test de sécurité. De plus, vous devez satisfaire toutes  les exigences du questionnaire d’auto-évaluation PCI/CISP. La seule validation du test ne remplit pas toutes les conditions requises.

 

 
 

En résumé

 

Si vous utilisez un logiciel e-commerce combiné à une plate-forme de paiement en temps réel  qui accepte les cartes de crédit sur son serveur, ou une plate-forme de gestion de commandes pour accepter les cartes de crédit, les numéros des cartes de crédit ne sont ni traités, ni transmis, ni stockés. De cette façon, il vous est facile de respecter les normes en vigueur.