{"id":3762,"date":"2025-03-05T11:50:25","date_gmt":"2025-03-05T16:50:25","guid":{"rendered":"https:\/\/solapayments.ca\/?page_id=3762"},"modified":"2025-08-01T12:25:13","modified_gmt":"2025-08-01T16:25:13","slug":"pci-data-security-standard-requirements","status":"publish","type":"page","link":"https:\/\/solapayments.ca\/fr\/pci-data-security-standard-requirements\/","title":{"rendered":"Exigences de la norme de s\u00e9curit\u00e9 des donn\u00e9es PCI"},"content":{"rendered":"
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Exigences de la norme de s\u00e9curit\u00e9 des donn\u00e9es PCI<\/h1>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Prot\u00e9gez votre entreprise et les donn\u00e9es de vos clients<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Les normes de s\u00e9curit\u00e9 des donn\u00e9es de l'industrie des cartes de paiement (PCI DSS) d\u00e9taillent les exigences de s\u00e9curit\u00e9 que les entreprises doivent respecter pour prot\u00e9ger les donn\u00e9es des titulaires de cartes. Les directives de s\u00e9curit\u00e9 PCI DSS sont impos\u00e9es par les principales associations de cartes de cr\u00e9dit (Visa, Mastercard, American Express, Discover et JCB) afin de garantir la s\u00e9curit\u00e9 du traitement des donn\u00e9es des cartes de cr\u00e9dit et de r\u00e9duire les fraudes et les violations de la s\u00e9curit\u00e9 des cartes de cr\u00e9dit.<\/p>

Tous les commer\u00e7ants qui acceptent des paiements doivent remplir le formulaire de conformit\u00e9 PCI et valider cette conformit\u00e9 au moins une fois par an. Le non-respect des normes PCI peut avoir des cons\u00e9quences importantes, notamment des amendes, une perte d'activit\u00e9 et des audits continus pour prouver la conformit\u00e9.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t

Les 12 exigences de la norme PCI DSS<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

La conformit\u00e9 \u00e0 la norme PCI repose sur douze exigences globales. Le pr\u00e9sent guide est un r\u00e9sum\u00e9 de chaque exigence ; toutefois, des d\u00e9tails suppl\u00e9mentaires et des pr\u00e9cisions sur chacune des exigences PCI peuvent \u00eatre trouv\u00e9s sur le site web de l'ICP. Site web du PCI.<\/a><\/p>

Nous avons \u00e9galement dress\u00e9 une liste de questions fr\u00e9quemment pos\u00e9es<\/a> pour r\u00e9pondre aux pr\u00e9occupations et aux id\u00e9es fausses les plus courantes en mati\u00e8re de PCI. Si vous avez besoin d'aide tout au long du processus de mise en conformit\u00e9, veuillez appeler notre Les sp\u00e9cialistes PCI au 718-782- 2823 x110.<\/strong><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t

\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\n\t\t\t\t\t
1. Installer et maintenir une configuration de pare-feu pour prot\u00e9ger les donn\u00e9es des titulaires de cartes. <\/div><\/span>\n\t\t\t\t\t\t\t\n\t\t\t<\/path><\/svg><\/span>\n\t\t\t<\/path><\/svg><\/span>\n\t\t<\/span>\n\n\t\t\t\t\t\t<\/summary>\n\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Il n'est plus n\u00e9cessaire d'avoir une carte physique pour voler les donn\u00e9es des cartes des clients. Les criminels utilisent la technologie pour p\u00e9n\u00e9trer dans votre r\u00e9seau et voler des donn\u00e9es num\u00e9riques sensibles. En utilisant un pare-feu, vous \u00e9tablissez une barri\u00e8re entre un r\u00e9seau de confiance, comme celui de votre entreprise, et un r\u00e9seau non fiable, comme l'internet. Cette barri\u00e8re virtuelle entoure votre r\u00e9seau et surveille le trafic entrant et sortant sur la base de r\u00e8gles de s\u00e9curit\u00e9 pr\u00e9d\u00e9termin\u00e9es. Tout appareil qui acc\u00e8de au r\u00e9seau de votre entreprise doit \u00eatre \u00e9quip\u00e9 d'un logiciel de pare-feu, y compris les ordinateurs et les appareils mobiles des employ\u00e9s.<\/p>

Les organisations devraient \u00e9tablir des normes pour les pare-feu et les routeurs, ce qui permet de tester ces \u00e9quipements de mani\u00e8re standardis\u00e9e \u00e0 chaque fois que des changements sont apport\u00e9s au mat\u00e9riel ou aux logiciels. Les r\u00e8gles de configuration doivent \u00eatre r\u00e9vis\u00e9es deux fois par an et doivent restreindre tout trafic non fiable, sauf dans les cas o\u00f9 le protocole de communication est n\u00e9cessaire pour traiter les donn\u00e9es des titulaires de cartes.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/details>\n\t\t\t\t\t\t

\n\t\t\t\t\n\t\t\t\t\t
2. N'utilisez pas les valeurs par d\u00e9faut fournies par le fournisseur pour les mots de passe syst\u00e8me et les autres param\u00e8tres de s\u00e9curit\u00e9. <\/div><\/span>\n\t\t\t\t\t\t\t\n\t\t\t<\/path><\/svg><\/span>\n\t\t\t<\/path><\/svg><\/span>\n\t\t<\/span>\n\n\t\t\t\t\t\t<\/summary>\n\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Le mat\u00e9riel et les logiciels de r\u00e9seau, tels que les routeurs et les pare-feu, sont souvent pr\u00e9r\u00e9gl\u00e9s avec des noms d'utilisateur et des mots de passe standard, tels que \"admin\" ou \"password\". Ne facilitez pas la t\u00e2che des criminels en n\u00e9gligeant de modifier ces mots de passe ! Il s'agit souvent de la premi\u00e8re tactique utilis\u00e9e par les cyberattaquants pour contourner votre s\u00e9curit\u00e9 et acc\u00e9der \u00e0 votre r\u00e9seau.<\/p>

Il est imp\u00e9ratif de changer les mots de passe de tous les mat\u00e9riels et logiciels que vous installez et utilisez sur votre r\u00e9seau - et de les mettre \u00e0 jour r\u00e9guli\u00e8rement. Les mots de passe doivent \u00eatre complexes et compos\u00e9s d'une cha\u00eene de caract\u00e8res al\u00e9atoires, comprenant de pr\u00e9f\u00e9rence un m\u00e9lange de lettres majuscules et minuscules, de chiffres et de caract\u00e8res sp\u00e9ciaux.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/details>\n\t\t\t\t\t\t

\n\t\t\t\t\n\t\t\t\t\t
3. Prot\u00e9ger les donn\u00e9es stock\u00e9es des titulaires de cartes. <\/div><\/span>\n\t\t\t\t\t\t\t\n\t\t\t<\/path><\/svg><\/span>\n\t\t\t<\/path><\/svg><\/span>\n\t\t<\/span>\n\n\t\t\t\t\t\t<\/summary>\n\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Les donn\u00e9es relatives au titulaire de la carte sont celles qui figurent au recto de la carte, notamment le num\u00e9ro de compte principal, le nom du titulaire de la carte et la date d'expiration. Ces donn\u00e9es diff\u00e8rent des donn\u00e9es d'authentification sensibles, telles que le code CVV, les donn\u00e9es de suivi contenues dans la bande magn\u00e9tique, le code PIN\/blocage PIN et les donn\u00e9es de la puce EMV. Les donn\u00e9es d'authentification sensibles ne peuvent pas \u00eatre stock\u00e9es apr\u00e8s l'authentification.<\/p>

Toutes les donn\u00e9es relatives aux titulaires de cartes que vous stockez sont limit\u00e9es \u00e0 ce qui est exig\u00e9 par la loi, les normes r\u00e9glementaires ou les besoins de l'entreprise. Cette exigence fixe \u00e9galement des r\u00e8gles qui limitent le nombre de chiffres du num\u00e9ro de compte principal qui peuvent \u00eatre affich\u00e9s, par exemple en ne r\u00e9v\u00e9lant que les six premiers et les quatre derniers chiffres.<\/p>

Si vous devez stocker des donn\u00e9es relatives aux titulaires de cartes, les organisations ne doivent conserver que le strict minimum requis. Vous devez conna\u00eetre la dur\u00e9e de conservation et l'emplacement de toutes les donn\u00e9es que vous envisagez de stocker et proc\u00e9der \u00e0 une purge au moins une fois par trimestre.<\/p>

Toutes les donn\u00e9es relatives aux titulaires de cartes doivent \u00eatre crypt\u00e9es ou cod\u00e9es \u00e0 l'aide de normes accept\u00e9es par l'industrie. Pour le traitement en ligne, Sola propose et pr\u00e9f\u00e8re sa technologie de tokenisation. La tokenisation consiste \u00e0 remplacer les donn\u00e9es de paiement sensibles par une cha\u00eene non sensible g\u00e9n\u00e9r\u00e9e par un algorithme et appel\u00e9e token. Chaque fois qu'un num\u00e9ro de carte ou de compte bancaire est envoy\u00e9 avec une transaction, la r\u00e9ponse de Sola inclura un jeton. Sola r\u00e9f\u00e9rencera alors les informations de paiement sur nos serveurs associ\u00e9es \u00e0 ce jeton et traitera la transaction. Chaque fois qu'une transaction est trait\u00e9e, un nouveau jeton est renvoy\u00e9. \u00c9tant donn\u00e9 que les donn\u00e9es symbolis\u00e9es sont stock\u00e9es sur le serveur de Sola plut\u00f4t que sur celui du commer\u00e7ant, ce dernier est expos\u00e9 \u00e0 moins de risques.<\/p>

Pour s\u00e9curiser les donn\u00e9es des titulaires de cartes lors des transactions effectu\u00e9es sur les terminaux de paiement, il est important d'utiliser ceux qui disposent d'un cryptage point \u00e0 point valid\u00e9 par le PCI.<\/p>

Dans certains cas, les fournisseurs de services ou les commer\u00e7ants ne se rendent pas compte qu'ils stockent des donn\u00e9es relatives aux titulaires de cartes. Les fichiers journaux, les bases de donn\u00e9es et les feuilles de calcul sont des endroits o\u00f9 l'on trouve couramment des donn\u00e9es relatives aux titulaires de cartes. Vous devez v\u00e9rifier r\u00e9guli\u00e8rement ces emplacements pour vous assurer que vous ne stockez pas par inadvertance des donn\u00e9es relatives aux titulaires de cartes.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/details>\n\t\t\t\t\t\t

\n\t\t\t\t\n\t\t\t\t\t
4. Crypter la transmission des donn\u00e9es relatives aux titulaires de cartes sur les r\u00e9seaux publics ouverts. <\/div><\/span>\n\t\t\t\t\t\t\t\n\t\t\t<\/path><\/svg><\/span>\n\t\t\t<\/path><\/svg><\/span>\n\t\t<\/span>\n\n\t\t\t\t\t\t<\/summary>\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

M\u00eame si vous ne stockez pas les donn\u00e9es des titulaires de cartes, il est possible pour les voleurs d'intercepter ces donn\u00e9es au cours du processus de transmission. C'est pourquoi la norme PCI DSS exige des commer\u00e7ants qu'ils cryptent les donn\u00e9es \u00e0 l'aide d'un protocole de cryptage standard avant de les transmettre sur un r\u00e9seau ouvert et public, tel qu'Internet, les r\u00e9seaux locaux sans fil, Bluetooth et les r\u00e9seaux mobiles. Le cryptage rend les donn\u00e9es transmises illisibles, m\u00eame si elles sont intercept\u00e9es.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/details>\n\t\t\t\t\t\t

\n\t\t\t\t\n\t\t\t\t\t
5. Utiliser et mettre \u00e0 jour r\u00e9guli\u00e8rement les logiciels ou programmes antivirus. <\/div><\/span>\n\t\t\t\t\t\t\t\n\t\t\t<\/path><\/svg><\/span>\n\t\t\t<\/path><\/svg><\/span>\n\t\t<\/span>\n\n\t\t\t\t\t\t<\/summary>\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

La norme PCI DSS exige des commer\u00e7ants qu'ils surveillent de mani\u00e8re proactive les vuln\u00e9rabilit\u00e9s de leur r\u00e9seau \u00e0 l'aide de logiciels antimalware et antivirus sur tous les appareils, et pas seulement sur le mat\u00e9riel principal du r\u00e9seau. Ces appareils peuvent \u00eatre des ordinateurs portables, des serveurs, des appareils mobiles, des postes de travail ou tout autre appareil que les employ\u00e9s peuvent utiliser pour acc\u00e9der au r\u00e9seau localement ou \u00e0 distance. Assurez-vous que les m\u00e9canismes antivirus sont toujours actifs, qu'ils utilisent les signatures les plus r\u00e9centes et qu'ils g\u00e9n\u00e8rent des journaux v\u00e9rifiables.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/details>\n\t\t\t\t\t\t

\n\t\t\t\t\n\t\t\t\t\t
6. D\u00e9velopper et maintenir des syst\u00e8mes et des applications s\u00e9curis\u00e9s. <\/div><\/span>\n\t\t\t\t\t\t\t\n\t\t\t<\/path><\/svg><\/span>\n\t\t\t<\/path><\/svg><\/span>\n\t\t<\/span>\n\n\t\t\t\t\t\t<\/summary>\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Les organisations qui acceptent des paiements doivent \u00e9laborer un processus clair pour identifier les failles de s\u00e9curit\u00e9, puis classer ces failles en fonction du niveau de risque. Bon nombre de ces vuln\u00e9rabilit\u00e9s sont \u00e9limin\u00e9es par l'installation de correctifs de s\u00e9curit\u00e9 fournis par le vendeur, qui effectuent une r\u00e9paration rapide d'un \u00e9l\u00e9ment sp\u00e9cifique du code de programmation. Tous les syst\u00e8mes critiques doivent \u00eatre dot\u00e9s des correctifs logiciels les plus r\u00e9cents afin d'\u00e9viter toute exploitation. Les organisations devraient appliquer les correctifs aux syst\u00e8mes moins critiques d\u00e8s que possible, sur la base d'un programme de gestion des vuln\u00e9rabilit\u00e9s fond\u00e9 sur les risques. Dans le cas d'un fournisseur de logiciels ind\u00e9pendant (ISV), cela signifie qu'il faut s'assurer que tous les commer\u00e7ants qui utilisent votre logiciel sont au courant des correctifs qu'ils peuvent avoir besoin de d\u00e9ployer.<\/p>

Tout code cr\u00e9\u00e9 par un ISV ou un d\u00e9veloppeur doit adh\u00e9rer \u00e0 PCI DSS, et tout code nouveau ou mis \u00e0 jour doit \u00eatre examin\u00e9 pour toutes les vuln\u00e9rabilit\u00e9s connues et \u00e9galement \u00e9valu\u00e9 pour les faiblesses inconnues. L'\u00e9quipe du service client\u00e8le de Sola est heureuse de vous aider dans ce processus.<\/p>

Il est n\u00e9cessaire de patcher tous les syst\u00e8mes dans l'environnement des donn\u00e9es de la carte, y compris :<\/p>

  • Syst\u00e8mes d'exploitation<\/li>
  • Pare-feu, routeurs, commutateurs<\/li>
  • Logiciel d'application<\/li>
  • Bases de donn\u00e9es<\/li>
  • Terminaux de paiement<\/li><\/ul>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/details>\n\t\t\t\t\t\t
    \n\t\t\t\t\n\t\t\t\t\t
    7. Restreindre l'acc\u00e8s aux donn\u00e9es des titulaires de cartes en fonction du besoin d'en conna\u00eetre. <\/div><\/span>\n\t\t\t\t\t\t\t\n\t\t\t<\/path><\/svg><\/span>\n\t\t\t<\/path><\/svg><\/span>\n\t\t<\/span>\n\n\t\t\t\t\t\t<\/summary>\n\t\t\t\t
    \n\t\t\t\t\t
    \n\t\t
    \n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    On parle de besoin d'en conna\u00eetre lorsque les droits d'acc\u00e8s ne sont accord\u00e9s qu'au minimum de donn\u00e9es et de privil\u00e8ges n\u00e9cessaires \u00e0 l'accomplissement d'une t\u00e2che. La norme PCI DSS exige que les commer\u00e7ants mettent en place un contr\u00f4le d'acc\u00e8s bas\u00e9 sur les r\u00f4les et un contr\u00f4le d'acc\u00e8s bas\u00e9 sur les situations en ce qui concerne les donn\u00e9es des cartes. En d'autres termes, l'acc\u00e8s aux donn\u00e9es des cartes est autoris\u00e9 ou refus\u00e9 aux utilisateurs en fonction de leur r\u00f4le et des circonstances ou de la raison de l'acc\u00e8s aux donn\u00e9es.<\/p>

    Il est \u00e9vident qu'un utilisateur non autoris\u00e9, tel qu'un criminel, se verrait refuser l'acc\u00e8s aux donn\u00e9es de la carte. Toutefois, dans certains cas, un utilisateur autoris\u00e9 peut demander l'acc\u00e8s aux donn\u00e9es de la carte, mais la situation peut justifier le refus de la demande car elle n'est pas n\u00e9cessaire \u00e0 l'accomplissement de la t\u00e2che \u00e0 accomplir. Cette demande serait non autoris\u00e9e et donc refus\u00e9e.<\/p>

    Les commer\u00e7ants et les prestataires de services doivent tenir une liste document\u00e9e de tous les utilisateurs qui doivent acc\u00e9der \u00e0 l'environnement des donn\u00e9es relatives aux cartes, ainsi que de leurs r\u00f4les respectifs. En outre, cette liste doit contenir la d\u00e9finition du r\u00f4le, le niveau de privil\u00e8ge actuel, le niveau de privil\u00e8ge attendu et les ressources de donn\u00e9es permettant \u00e0 chaque utilisateur d'effectuer des op\u00e9rations sur les donn\u00e9es de la carte. Pour votre commodit\u00e9, le portail Sola Merchant a la capacit\u00e9 de d\u00e9finir des r\u00f4les d'utilisateur avec des permissions variables.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/details>\n\t\t\t\t\t\t

    \n\t\t\t\t\n\t\t\t\t\t
    8. Attribuer un identifiant unique \u00e0 chaque personne ayant acc\u00e8s \u00e0 un ordinateur. <\/div><\/span>\n\t\t\t\t\t\t\t\n\t\t\t<\/path><\/svg><\/span>\n\t\t\t<\/path><\/svg><\/span>\n\t\t<\/span>\n\n\t\t\t\t\t\t<\/summary>\n\t\t\t\t
    \n\t\t\t\t\t
    \n\t\t
    \n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Les noms d'utilisateur partag\u00e9s ou les mots de passe faciles \u00e0 deviner exposent votre entreprise \u00e0 des vuln\u00e9rabilit\u00e9s. Chaque utilisateur ayant acc\u00e8s \u00e0 l'environnement des donn\u00e9es des titulaires de cartes doit avoir un identifiant unique. Cela permet \u00e0 l'entreprise de relier chaque action \u00e0 une personne sp\u00e9cifique. Chaque utilisateur doit \u00e9galement disposer d'un mot de passe fort pour l'authentification.<\/p>

    L'acc\u00e8s \u00e0 distance \u00e0 votre r\u00e9seau n\u00e9cessite une authentification multifactorielle combinant deux des m\u00e9thodes d'authentification suivantes : biom\u00e9trie, mots de passe ou jeton. L\u00e0 encore, il convient d'utiliser des m\u00e9thodes d'authentification fortes et de rendre tous les mots de passe\/phrases de passe illisibles lors de la transmission et du stockage \u00e0 l'aide d'une cryptographie forte.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/details>\n\t\t\t\t\t\t

    \n\t\t\t\t\n\t\t\t\t\t
    9. Restreindre l'acc\u00e8s physique aux donn\u00e9es des titulaires de cartes. <\/div><\/span>\n\t\t\t\t\t\t\t\n\t\t\t<\/path><\/svg><\/span>\n\t\t\t<\/path><\/svg><\/span>\n\t\t<\/span>\n\n\t\t\t\t\t\t<\/summary>\n\t\t\t\t
    \n\t\t\t\t\t
    \n\t\t
    \n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Tout acc\u00e8s physique aux donn\u00e9es ou aux syst\u00e8mes contenant des donn\u00e9es relatives aux titulaires de cartes doit \u00eatre limit\u00e9 de mani\u00e8re appropri\u00e9e \u00e0 l'aide de cl\u00e9s, de badges, de donn\u00e9es biom\u00e9triques ou d'autres syst\u00e8mes de contr\u00f4le d'acc\u00e8s. Toute personne ayant un acc\u00e8s r\u00e9gulier ou \u00e0 court terme aux salles de serveurs ou \u00e0 d'autres zones o\u00f9 les donn\u00e9es des titulaires de cartes peuvent \u00eatre consult\u00e9es doit d'abord \u00eatre autoris\u00e9e. Il s'agit notamment des employ\u00e9s (\u00e0 temps plein ou \u00e0 temps partiel), des sous-traitants, des consultants, des fournisseurs et des invit\u00e9s.<\/p>

    L'acc\u00e8s doit non seulement \u00eatre limit\u00e9, mais aussi contr\u00f4l\u00e9 et enregistr\u00e9. Les r\u00e8gles de s\u00e9curit\u00e9 doivent \u00eatre appliqu\u00e9es par un personnel de s\u00e9curit\u00e9 sp\u00e9cialis\u00e9, et des syst\u00e8mes doivent \u00eatre mis en place pour identifier rapidement toute personne \u00e9trang\u00e8re \u00e0 l'entreprise.<\/p>

    Les supports tels que les s\u00e9quences vid\u00e9o ou les registres d'acc\u00e8s doivent \u00eatre stock\u00e9s dans un endroit s\u00e9curis\u00e9, hors site, et n'\u00eatre conserv\u00e9s qu'en cas de besoin. D\u00e9truire tout support qui n'est plus n\u00e9cessaire pour des raisons professionnelles ou juridiques.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/details>\n\t\t\t\t\t\t

    \n\t\t\t\t\n\t\t\t\t\t
    10. Suivre et contr\u00f4ler tous les acc\u00e8s aux ressources du r\u00e9seau et aux donn\u00e9es des titulaires de cartes. <\/div><\/span>\n\t\t\t\t\t\t\t\n\t\t\t<\/path><\/svg><\/span>\n\t\t\t<\/path><\/svg><\/span>\n\t\t<\/span>\n\n\t\t\t\t\t\t<\/summary>\n\t\t\t\t
    \n\t\t\t\t\t
    \n\t\t
    \n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Les vuln\u00e9rabilit\u00e9s des dispositifs et syst\u00e8mes de r\u00e9seaux physiques et sans fil offrent aux criminels la possibilit\u00e9 d'obtenir un acc\u00e8s non autoris\u00e9 aux applications de cartes de paiement et aux donn\u00e9es des titulaires de cartes. Pour emp\u00eacher l'exploitation, les organisations doivent r\u00e9guli\u00e8rement surveiller et tester les r\u00e9seaux afin de trouver et de corriger les vuln\u00e9rabilit\u00e9s.<\/p>

    Cela n\u00e9cessite une surveillance et un enregistrement en temps r\u00e9el de toutes les activit\u00e9s des utilisateurs sur le r\u00e9seau. La pr\u00e9sence de journaux dans tous les environnements permet un suivi et une analyse approfondis et peut alerter les organisations en cas d'activit\u00e9 suspecte. Il est tr\u00e8s difficile de d\u00e9terminer la cause d'une compromission sans les journaux d'activit\u00e9 du syst\u00e8me.<\/p>

    Les pistes d'audit doivent \u00eatre mises en \u0153uvre pour relier des utilisateurs sp\u00e9cifiques \u00e0 leur activit\u00e9 sur le r\u00e9seau en utilisant la synchronisation temporelle. La norme PCI DSS exige \u00e9galement que les enregistrements de la piste d'audit r\u00e9pondent \u00e0 une certaine norme en termes d'informations contenues. Les donn\u00e9es d'audit doivent \u00eatre s\u00e9curis\u00e9es et conserv\u00e9es pendant une p\u00e9riode d'au moins un an.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/details>\n\t\t\t\t\t\t

    \n\t\t\t\t\n\t\t\t\t\t
    11. Tester r\u00e9guli\u00e8rement les syst\u00e8mes et les processus de s\u00e9curit\u00e9. <\/div><\/span>\n\t\t\t\t\t\t\t\n\t\t\t<\/path><\/svg><\/span>\n\t\t\t<\/path><\/svg><\/span>\n\t\t<\/span>\n\n\t\t\t\t\t\t<\/summary>\n\t\t\t\t
    \n\t\t\t\t\t
    \n\t\t
    \n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Des vuln\u00e9rabilit\u00e9s sont continuellement d\u00e9couvertes par des individus malveillants. Pour suivre le rythme des activit\u00e9s frauduleuses, les organisations doivent tester fr\u00e9quemment les composants des syst\u00e8mes, les processus et les logiciels personnalis\u00e9s afin de garantir le maintien de la s\u00e9curit\u00e9 au fil du temps. Le test des contr\u00f4les de s\u00e9curit\u00e9 est \u00e9galement particuli\u00e8rement important pour tout changement d'environnement tel que le d\u00e9ploiement d'un nouveau logiciel ou d'un nouveau code, ou la modification de la configuration d'un syst\u00e8me.<\/p>

    Cette exigence pr\u00e9cise \u00e9galement que les organisations doivent identifier et documenter tous les points d'acc\u00e8s sans fil autoris\u00e9s et non autoris\u00e9s sur une base trimestrielle. Les analyses de vuln\u00e9rabilit\u00e9 des r\u00e9seaux internes et externes doivent \u00eatre effectu\u00e9es au moins une fois par trimestre ou apr\u00e8s toute modification importante du r\u00e9seau. Les tests de p\u00e9n\u00e9tration ainsi que l'utilisation de syst\u00e8mes de d\u00e9tection et de pr\u00e9vention des intrusions sont d'autres exigences permanentes.<\/p>

    Les modifications apport\u00e9es aux fichiers doivent \u00e9galement \u00eatre contr\u00f4l\u00e9es \u00e0 l'aide d'une solution de d\u00e9tection des modifications. Cette solution alerte le personnel en cas de modification non autoris\u00e9e (changements, ajouts et suppressions) de fichiers syst\u00e8me, de fichiers de configuration ou de fichiers de contenu critiques. Les comparaisons de fichiers critiques doivent \u00eatre effectu\u00e9es au moins une fois par semaine et un processus de r\u00e9ponse \u00e0 toute modification de fichier doit \u00eatre mis en place.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/details>\n\t\t\t\t\t\t

    \n\t\t\t\t\n\t\t\t\t\t
    12. Maintenir une politique de s\u00e9curit\u00e9 de l'information pour l'ensemble du personnel. <\/div><\/span>\n\t\t\t\t\t\t\t\n\t\t\t<\/path><\/svg><\/span>\n\t\t\t<\/path><\/svg><\/span>\n\t\t<\/span>\n\n\t\t\t\t\t\t<\/summary>\n\t\t\t\t
    \n\t\t\t\t\t
    \n\t\t
    \n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Une politique de s\u00e9curit\u00e9 solide donne le ton en mati\u00e8re de s\u00e9curit\u00e9 pour l'ensemble de l'entreprise et informe les employ\u00e9s des t\u00e2ches qui leur incombent en la mati\u00e8re. Tous les employ\u00e9s doivent \u00eatre conscients de la sensibilit\u00e9 des donn\u00e9es des titulaires de cartes et de leurs responsabilit\u00e9s en mati\u00e8re de protection. La politique de s\u00e9curit\u00e9 doit \u00eatre revue et mise \u00e0 jour chaque ann\u00e9e, en plus d'une \u00e9valuation formelle annuelle des risques.<\/p>

    Cette exigence pr\u00e9cise en outre qu'une \u00e9quipe ou une personne doit \u00eatre d\u00e9sign\u00e9e pour assumer ces responsabilit\u00e9s et \u00e9laborer un programme de sensibilisation \u00e0 la s\u00e9curit\u00e9 de l'information \u00e0 l'intention de tous les employ\u00e9s. Cette personne est \u00e9galement charg\u00e9e de s\u00e9lectionner les employ\u00e9s potentiels afin de minimiser le risque de violation des donn\u00e9es internes. Enfin, la personne ou l'\u00e9quipe d\u00e9sign\u00e9e doit mettre en \u0153uvre un plan d'intervention en cas d'incident afin que l'organisation soit pr\u00eate \u00e0 r\u00e9agir imm\u00e9diatement en cas de violation.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/details>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t

    Un soutien quand vous en avez besoin <\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
    \n\t\t\t\t\t
    \n\t\t
    \n\t\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    La conformit\u00e9 PCI peut \u00eatre un processus d\u00e9taill\u00e9 et difficile, mais c'est une \u00e9tape n\u00e9cessaire pour prot\u00e9ger votre entreprise et les donn\u00e9es de vos clients. Si vous avez besoin d'aide tout au long du processus de mise en conformit\u00e9, appelez notre service d'assistance technique. Les sp\u00e9cialistes PCI au 718-782- 2823 x110.<\/strong><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"

    PCI Data Security Standard Requirements Safeguard Your Business and Protect Your Customers\u2019 Data The Payment Card Industry\u2019s Data Security Standards (PCI DSS) detail the security requirements businesses must follow to protect cardholder data. PCI DSS security guidelines are mandated by the major credit card associations (Visa, Mastercard, American Express, Discover, and JCB) to secure the […]<\/p>\n","protected":false},"author":18,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"footnotes":""},"class_list":["post-3762","page","type-page","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/solapayments.ca\/fr\/wp-json\/wp\/v2\/pages\/3762","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/solapayments.ca\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/solapayments.ca\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/solapayments.ca\/fr\/wp-json\/wp\/v2\/users\/18"}],"replies":[{"embeddable":true,"href":"https:\/\/solapayments.ca\/fr\/wp-json\/wp\/v2\/comments?post=3762"}],"version-history":[{"count":10,"href":"https:\/\/solapayments.ca\/fr\/wp-json\/wp\/v2\/pages\/3762\/revisions"}],"predecessor-version":[{"id":3961,"href":"https:\/\/solapayments.ca\/fr\/wp-json\/wp\/v2\/pages\/3762\/revisions\/3961"}],"wp:attachment":[{"href":"https:\/\/solapayments.ca\/fr\/wp-json\/wp\/v2\/media?parent=3762"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}