Un chambardement dans le monde du paiement en ligne est en cours et il porte le nom de norme PCI DSS (Payment Card Industry Data Security Standard). La norme touche autant les marchands que leurs fournisseurs de services internet. En effet, les grandes marques de carte de crédit derrière la norme (Visa, Mastercard, American Express et quelques autres) imposent que toute compagnie qui stocke, traite ou transmet des données bancaires soit tenue de la respecter, sans quoi elle se porte responsable des fraudes. Les concepteurs de sites web avec paiement en ligne et les hébergeurs ont donc tout intérêt à prendre la norme au sérieux.  

Les critères à respecter
 
La norme définit d’abord une série de critères à respecter. Les grands axes sont les suivants (voir https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml pour les sous-critères):

1. Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes
2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur
3. Protéger les données des titulaires de cartes stockées
4. Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts
5. Utiliser des logiciels antivirus et les mettre à jour régulièrement
6. Développer et gérer des systèmes et des applications sécurisées
7. Restreindre l’accès aux données des titulaires de cartes et aux seuls individus qui doivent les connaître
8. Affecter un ID unique à chaque utilisateur d’ordinateur
9. Restreindre l’accès physique aux données des titulaires de cartes
10. Effecter le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes
11. Tester régulièrement les processus et les systèmes de sécurité
12. Gérer une politique de sécurité des informations

Les mécanismes de vérification du respect de la norme

Somme toute, il s’agit d’une excellente liste de vérification qui aurait dû être suivie par tous depuis longtemps, norme ou pas. Maintenant, la norme EXIGE que les critères soient respectés et les compagnies de cartes de crédit ont pris soin de préciser des mécanismes de certification. Par exemple, les marchands et fournisseurs qui traitent un petit nombre de transactions (environ 20000 par année) n’ont qu’à remplir un questionnaire d’autoévaluation annuelle pour montrer qu’ils respectent la norme. On se fie sur leur bonne foi, ce qui n’empêche pas qu’ils sont tenus d’être conformes. Si le nombre de transactions est plus élevé, des tests de vulnérabilité doivent être exécutés trimestriellement, soit par le fournisseur, soit par un tiers accrédité. Si le nombre de transactions est encore plus élevé, les marchands doivent obtenir une certification de conformité auprès d’un tiers accrédité après inspection des lieux. Les obligations sont précisées dans les contrats signés par le marchand (exemple de niveaux d’obligations pour Mastercard).

Amélioration ou pas?
 
Cette norme est-elle une bonne chose? Oui et non. Elle permettra de rehausser la confiance que les consommateurs ont en le paiement électronique, ce qui est profitable pour toute la communauté du commerce électronique. On peut féliciter les compagnies de cartes de crédit de s’être mises d’acccord sur une seule norme car cela simplifie grandement le travail de ceux qui doivent s’y conformer. Par contre, elle déplace le fardeau des fraudes sur les marchands et les fournisseurs. Mais jusqu’à quel point peut-on rendre un fournisseur légalement responsable alors que ce n’est pas lui qui signe le contrat?

 
Si vous n’êtes pas encore au courant de la norme PCI DSS et que vous touchez au commerce en ligne, vous avez encore un peu de temps mais selon votre situation, vous pourriez être tenus de vous y conformer dès 2010.