Processus de conformité – PCI DSS

Les marchands à l’Université d’Ottawa doivent suivre les directives du Bureau de conformité à la norme PCI DSS.

Outils de validation et partenaires participants

Toutes les personnes qui exploitent un commerce à l’Université d’Ottawa sont tenues de se conformer au Bureau de la conformité à la norme PCI DSS envers la réalisation d’un questionnaire annuel d’autoévaluation. Il s'agit d'un outil de validation destiné aux organisations ou aux marchands éligibles qui évaluent eux-mêmes leur conformité à la norme PCI DSS. Différents SAQ sont disponibles pour différents environnements commerciaux.

L’Université d’Ottawa fait appel à un évaluateur de sécurité qualifié. Ce spécialiste de la cybersécurité nous aide à effectuer nos évaluations, à détecter les vulnérabilités, à réaliser des vérifications par échantillonnage aléatoire, à revoir nos politiques et à nous conformer aux normes de l’industrie en vigueur. Cette personne est agréée par le Conseil des normes de sécurité PCI pour évaluer le respect de la norme PCI DSS.

En réponse aux exigences de conformité de l’Université, le Bureau de conformité à la norme PCI DSS se réserve le droit d’inspecter périodiquement nos biens technologiques et nos environnements commerciaux dans le champ d’application de la norme PCI DSS. 

Exigences

Les marchands doivent respecter les exigences qui suivent, et fournir les documents afférents, selon l’environnement commercial.

Pour simplifier les analyses de la conformité à la norme PCI DSS, les marchands doivent maintenant utiliser des terminaux de point de vente qui se connectent uniquement au réseau 3G ou 4G. Les marchands devront fournir ce qui suit :

  • Diagrammes de flux de données; 
  • Registre d’équipement avec identifiants uniques et photos; 
  • Preuve de formation annuelle sur la vérification des PDV pour l’ensemble des utilisatrices et utilisateurs; 
  • Preuve de vérification régulière des PDV par la personne responsable du numéro d’identification de marchand et par les utilisatrices et utilisateurs; 
  • Photos du lieu sécurisé (coffre-fort, bureau verrouillé, armoires, etc.). 

Les documents à fournir par les marchands de commerce électronique peuvent différer, selon qu’ils font appel à un logiciel-service (SaaS) ou à un système sur place (hébergé sur les serveurs de l’Université). Afin de simplifier les analyses de conformité, la page de paiement doit être entièrement externalisée à un fournisseur tiers de passerelle de paiement conforme à la norme PCI DSS. Les marchands devront fournir ce qui suit :

  • Processus d’engagement mis en place avec le fournisseur de services; 
  • Entente écrite avec le fournisseur de services attestant sa responsabilité quant à la protection des données des titulaires de cartes qu’il stocke, traite ou transmet; 
  • Documents attestant que le marchand a lu et accepté les procédures, normes et politiques de l’Université au sujet, notamment, du contrôle d’accès, de la gestion des vulnérabilités, de la sécurité et de l’utilisation critique; 
  • Preuve attestant la conformité à la norme PCI DSS du fournisseur et confirmant que celui-ci remet chaque année à l’Université une attestation de sa conformité. 
  • Diagrammes de flux de données; 
  • Diagrammes de réseau; 
  • Guide de renforcement/guide de configuration du serveur; 
  • Répertoire actif des utilisatrices et utilisateurs; 
  • Preuve de mise à jour/prise en charge du système d’exploitation; 
  • Preuve de mise à jour/prise en charge des serveurs; 
  • Preuve de mise à jour des piles d’applications Web; 
  • Processus d’engagement mis en place avec le fournisseur de passerelle de paiement; 
  • Entente écrite avec le fournisseur de passerelle de paiement attestant sa responsabilité quant à la protection des données des titulaires de cartes qu’il stocke, traite ou transmet; 
  • Tout fournisseur de passerelle de paiement doit se conformer à la norme PCI DSS et remettre chaque année à l’Université une attestation de sa conformité; 
  • Documents attestant que le marchand a lu et accepté les procédures, normes et politiques de l’Université au sujet, notamment, du contrôle d’accès, de la gestion des vulnérabilités, de la sécurité et de l’utilisation critique; 
  • Document attestant que sont effectuées les analyses de vulnérabilité par un prestataire de services d’analyse agréé après tout changement important au code source de l’application.