La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est universellement appuyée par les grandes marques de cartes de paiement auprès de tous les établissements qui traitent, stockent ou transmettent des données de titulaires de carte ou des données d’authentification sensibles. Le processus prévoit différentes étapes conformes aux meilleures pratiques de sécurité.  

La norme PCI DSS

Cette norme a été créée pour mieux contrôler les données des titulaires de carte et réduire la fraude.

Les systèmes qui sont dans le champ d’application de PCI DSS sont ceux qui interagissent avec ces données, qui en contiennent ou qui ont un effet (direct ou indirect) sur celles-ci. La conformité de ces systèmes à la norme PCI DSS doit être évaluée. Le niveau de protection approprié peut être déterminé en analysant le flux de données du titulaire de carte au sein d'une organisation.

Tout marchand qui accepte les cartes de paiement doit réévaluer annuellement le champ d’application PCI DSS de son environnement commercial, notamment en redéfinissant les flux de données des titulaires de carte ainsi que tous les systèmes en lien avec cet environnement ou pouvant le compromettre. 

La norme PCI DSS et d’autres normes de sécurité connexes sont administrées par le Conseil des normes de sécurité PCIlien externe, fondé par American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc. le 7 septembre 2006 dans le but de gérer l’évolution continue de cette norme. 

Le Conseil a pour mandat de gérer les normes de sécurité, tandis que ses membres fondateurs (les émetteurs de carte) mettent en application les normes visant l’industrie des cartes de paiement.

Responsabilités à l’Université d’Ottawa

L’Université d’Ottawa assume une responsabilité fiduciaire à l’égard de l’ensemble de sa clientèle et des services assurant le traitement des paiements en ce qui a trait au respect de la norme PCI DSS dans la manipulation des données de transaction par carte de paiement et à la réduction des cas de fraude (risques financiers et risques pour la réputation).   

Tous les facultés et services de l’Université d’Ottawa qui traitent, transmettent et stockent des données de carte de paiement ont l’obligation de respecter la norme PCI DSS. Ils doivent s’assurer de sécuriser leurs systèmes et leur infrastructure de paiement et veiller à ce que leur personnel ayant accès aux données respecte la norme et reçoive une formation adéquate.

Non-conformité : quelles conséquences? 

  • Vol des données de carte de crédit et fraude subséquente; 
  • Risque pour la réputation du marchand; 
  • Perte de confiance chez les consommatrices et consommateurs; 
  • Exposition financière et amendes et pénalités de la part de l’acquéreur de paiement et des émetteurs de carte; 
  • Perte de la possibilité d’accepter des cartes de paiement. 

Survol des exigences

Objectif

Exigence

Créer et maintenir un réseau et des systèmes sécurisés.

  1. Installer et maintenir une configuration de pare-feu pour protéger les données de titulaires de carte.
  2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité du fournisseur configurés par défaut.

Protéger les données des titulaires de carte.

  1. Protéger les données de titulaires de carte stockées.
  2. Chiffrer la transmission des données de titulaires de carte sur les réseaux publics ouverts.

Appliquer un programme de gestion des vulnérabilités.

  1. Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels et programmes anti-virus.
  2. Développer et tenir à jour des applications et des systèmes sécurisés.

Mettre en place de robustes mesures de contrôle de l’accès.

  1. Réserver l’accès aux données des titulaires de carte uniquement aux personnes qui en ont besoin.
  2. Identifier et authentifier les accès aux composants du système.
  3. Restreindre l’accès physique aux données des titulaires de carte.

Surveiller et tester régulièrement les réseaux.

  1. Enregistrer et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte.
  2. Tester régulièrement la sécurité des systèmes et des processus.

Maintenir une politique sur la sécurité de l’information.

  1. Maintenir une politique sur la sécurité de l’information destinée à l’ensemble du personnel.

(Référence : PCI DSS v3.2.1 Quick Reference Guidelien externe PDF, 4,3 Mo)

Liens rapides

En savoir plus sur PCI DSS

Coordonnées

Questions

Signaler un incident

Pour signaler un incident, rendez-vous sur la page de signalement.