Les services PCI (Conseil des normes de sécurité de l’industrie des cartes de paiement) et DSS (les normes de sécurité des données)

Vos clients seront-ils victimes? Préservez la sécurité des données sur les cartes de crédit de vos clients.

Défis et portrait actuels
Soyons réalistes : le marché sans scrupule, quoique très lucratif, du vol des données sur les cartes de crédit ne disparaîtra pas de sitôt. En fait, le nombre de brèches de la sécurité des données sur les cartes de crédit a augmenté ces dernières années. Les criminels usent d’une variété de méthodes pour voler de telles données auprès des commerçants, des fournisseurs ou des consommateurs, notamment en piratant les systèmes qui contiennent les renseignements des titulaires de cartes ou en attachant des copieurs de cartes aux lecteurs des points de vente. Aucune entreprise n’est à l’abri : les plus importantes brèches de tous les temps1 ont été perpétrées contre des commerçants et des chaînes de détail très connus :

  • eBay : En 2014, 145 millions de comptes de clients ont été piratés.
  • Heartland Payment Systems : En 2008 et en 2009, plus de 130 millions de numéros de carte de crédit ont été volés auprès de ce service de traitement des paiements.
  • TJX : En 2007, 94 millions de comptes ont été piratés.
  • Home Depot : En 2014, 56 millions de numéros de carte de crédit ont été volés à partir des systèmes de points de vente.
  • Target : En 2013, 40 millions de numéros de carte de crédit ont été volés à partir des systèmes de points de vente.

Pour combattre la fraude par carte de crédit, les cinq principaux émetteurs de cartes de crédit (Visa, MasterCard, American Express, Discover et JCB) ont formé le Conseil des normes de sécurité de l’industrie des cartes de paiement (le « Conseil des normes PCI »), qui a établi les normes de sécurité des données (PCI DSS). Les normes PCI DSS sont un ensemble d’exigences en matière de sécurité auxquelles doivent se conformer les commerçants et les fournisseurs de services qui conservent, traitent ou transmettent des données sur les cartes de crédit, à défaut de quoi ils s’exposent à des pénalités.

Le fait d’omettre de protéger les renseignements des titulaires de cartes peut être lourd de conséquences. En voici quelques-unes :

  • Perte de productivité – À la suite d’une brèche de données, les organisations peuvent être exposées à une perte de productivité puisqu’elles doivent mettre leurs systèmes hors ligne, procéder à des enquêtes juricomptables ou rebâtir leurs systèmes. En outre, les services à la clientèle et les centres d’appels peuvent être inondés d’appels de clients inquiets.
  • Atteinte à la réputation – Les consommateurs, moins confiants en la capacité d’un marchand à assurer la sécurité de leurs données de carte de crédit, peuvent être tentés d’aller acheter ailleurs.
  • Amendes et dommages – À la suite d’une brèche des renseignements des titulaires de cartes, les émetteurs exigent qu’une enquête juricomptable soit effectuée par un enquêteur judiciaire PCI (PFI), dont les frais peuvent atteindre de 30 000 $ à 50 000 $ US pour une petite entreprise, et plus encore pour une grande entreprise. Si une enquête juricomptable révèle que l’entité n’était pas conforme aux normes de sécurité PCI au moment de la brèche, le marchand ou fournisseur de service fautif pourrait être soumis à des amendes, en particulier si des achats frauduleux ont été effectués avec les cartes. Ces amendes peuvent se situer entre 50 $ US et 90 $ US par carte compromise. Les commerçants sont généralement tenus de verser une réparation à l’égard des dommages causés aux titulaires et aux émetteurs de cartes, ce qui peut notamment englober le coût d’émission de nouvelles cartes, le suivi du crédit et le paiement de dommages dans le cadre de poursuites civiles.
  • Perte de privilèges d’acceptation de cartes de crédit – Des acquéreurs peuvent refuser de continuer de faire affaire avec un commerçant fautif par crainte d’une nouvelle brèche. En outre, l’acquéreur peut imposer des frais de transaction plus élevés au commerçant parce qu’il perçoit un risque plus élevé.
  • Hausse du coût de conformité aux normes de sécurité PCI – Les commerçants victimes d’une brèche des renseignements des titulaires de cartes doivent généralement se soumettre à une évaluation approfondie sur place par un évaluateur qualifié en matière de sécurité PCI (QSA) qui est, de manière générale, uniquement exigée pour les commerçants ayant les volumes les plus élevés de transactions par carte de crédit. Ces évaluations sont plus coûteuses et exigent davantage de ressources que les auto-évaluations types.

Comment nous pouvons vous aider
À titre de cabinet reconnu comme évaluateur qualifié en matière de sécurité, Richter est autorisé par le Conseil des normes de sécurité du PCI à attester la conformité aux normes PCI et à produire des rapports sur la conformité (ROC). En plus de procéder à des évaluations de la norme PCI, nos évaluateurs ainsi que nos professionnels chevronnés en sécurité de l’information sont qualifiés de manière unique pour vous aider à exécuter les activités préalables à une attestation de conformité aux normes PCI.

Catalogue de services – Afin de s’assurer que vous êtes conformes aux normes PCI, nos professionnels chevronnés en PCI et en sécurité de l’information peuvent
aider votre organisation à chaque étape, notamment :

Évaluation de la conformité aux normes de sécurité PCI par un QSA (Rapport de conformité)

Aide relative au questionnaire d’auto-évaluation (PCI SAQ)

Évaluation des lacunes en matière de sécurité PCI
(c.-à-d. avant l’audit)

Services liés à la gouvernance ou au programme PCI

Services liés aux activités de remédiation à l’égard des normes de sécurité PCI

Aide relative à la conformité continue aux normes de sécurité PCI

Évaluation des risques liés aux normes de sécurité PCI

Aide relative à la formation en matière de sensibilisation à la sécurité

Élaboration de politiques liées aux normes de sécurité PCI

Services de conception et d’architecture de la sécurité de l’information

Services de gestion du cycle de vie des fournisseurs

Services de contrôle diligent de fusions et d’acquisitions


La différence Richter

Chez Richter, nous nous assurons non seulement de répondre à tous vos besoins en matière
de conformité, mais également d’évaluer l’ensemble de votre stratégie en matière de sécurité afin que vos processus fonctionnent de manière optimale.

  • Présence sur place – Nous privilégions les entrevues en personne aux évaluations effectuées au téléphone.
  • Approche holistique – Notre équipe expérimentée examine votre entreprise dans son ensemble ainsi que les interactions entre les différents secteurs, puis elle repère les secteurs particuliers à optimiser qui pourraient avoir une incidence sur votre stratégie en matière de sécurité ou être touchés par celle-ci.
  • Présence tout au long de votre parcours – Notre équipe est présente pour vous tout au long du processus de conformité et nous pouvons vous aider lors des implantations de systèmes (contrôles internes, détection des fraudes, etc.).
  • Professionnels chevronnés et avisés – Nos professionnels en sécurité possèdent de nombreuses années d’expérience et des certifications reconnues par l’industrie, dont les titres de QSA, de CISSP, de CISA, de CISM, de CRISC et de SCF.

À propos de Richter
Fondé en 1926 et reconnu comme étant l’un des plus importants cabinets de comptabilité et de consultation du Canada, Richter compte 61 associés et plus de 500 employés. Le cabinet sert ses clients à partir de ses bureaux situés à Toronto, à Montréal et à Chicago et offre des services en audit, en fiscalité, en consultation et en gestion du patrimoine.

Notre division des Services-conseils en risques, performance et technologie compte plus de 30 professionnels à Montréal et à Toronto qui mettent à la disposition de notre clientèle leur expertise en cybersécurité, en sécurité de l’information, en gouvernance, en contrôle interne, en services-conseils en amélioration de la performance ou des TI, en gestion des risques de fraude et en finances, pour ne nommer que ceux-là.

Notre équipe multidisciplinaire hautement qualifiée possède des compétences et une expertise qui dépassent constamment les attentes de notre clientèle. Nos professionnels
sont à la fois des experts en TI et en affaires, ce qui signifie que nous sommes en mesure :

  • de comprendre les systèmes d’information et les processus d’affaires;
  • de repérer les risques d’entreprise et les risques liés aux TI critiques à l’aide d’une approche fondée sur les risques;

  • d’émettre des recommandations pratiques quant aux contrôles et aux stratégies d’atténuation des risques;

  • de formuler des conseils conformes aux meilleures pratiques de l’industrie.

1« The Top 5 Retail Breaches », Security Intelligence, le 7 octobre 2014.
https://securityintelligence.com/the-top-5-retail-breaches/

 

Pour en savoir davantage à propos de les services PCI DSS, cliquez ici.

Experts