La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est conçue pour promouvoir la sécurité des données des consommateurs, réduire les risques d’atteinte à la sécurité des données et maintenir un environnement sécurisé dans l’industrie des paiements.
Toutes les entreprises qui acceptent ou traitent des paiements doivent respecter les normes minimales établies par les sociétés émettrices de cartes.
À savoir :
- Les normes PCI sont dictées par les grandes marques de cartes de crédit (Visa, Mastercard, etc.), mais elles sont administrées par le Conseil des normes de sécurité PCI.
- Les normes PCI s’appliquent à tous les canaux de paiement, notamment aux transactions avec carte, aux commandes par la poste ou par téléphone, au commerce électronique, aux applications d’achat intégrées, etc.
Que dois-je savoir au sujet de la conformité aux normes PCI?
- La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) s’applique à toute organisation, peu importe sa taille ou son volume de transactions, qui accepte, transmet ou stocke des informations de cartes de crédit.
- Les entreprises se classent dans l’un des quatre niveaux de marchands en fonction de leur volume annuel de transactions par carte Visa ou Mastercard sur une période de 12 mois. Bien qu’ils puissent varier d’une marque de carte à une autre, voici les seuils approximatifs et le niveau de marchand correspondant :
- Niveau 1 : Les entreprises qui traitent plus de 6 millions de transactions par carte chaque année.
- Niveau 2 : Les entreprises qui traitent de 1 à 6 millions de transactions par carte par année.
- Niveau 3 : Les entreprises qui traitent de 20 000 à 1 million de transactions par carte par année.
- Niveau 4 : Les entreprises qui traitent moins de 20 000 transactions par carte par année.
- Si vous êtes une entreprise de niveau 1, 2, 3, ou 4 vous devez fournir les exigences minimales de validation chaque année.
- Si vous êtes une entreprise de niveau 4, la conformité à la norme PCI DSS est exigée, bien que la validation ou la conformité annuelle soit facultative.
Bon à savoir:
- Bambora effectue des analyses trimestrielles du réseau et fait l’objet d’évaluations annuelles de sécurité sur site pour s’assurer que la conformité est maintenue.
- Si vous ne fournissez pas vos documents de validation de la conformité dans les 90 jours suivant la date d’échéance de votre validation/revalidation annuelle, ou si vous avez échoué la validation, vous pourriez être passible d’une amende pour non-conformité à PCI DSS.