Norme de sécurité « PCI-DSS » – Institutions financières et commerçants soyez vigilants?
Une transaction banale en apparence
Tous les jours, nous faisons des transactions et nous payons à l’aide de cartes de débit ou de crédit qui utilisent les réseaux d’information reliant les commerçants et les institutions bancaires. C’est un geste si fréquent qu’il en devient banal.
La transaction se déroule normalement, le terminal affiche « Approuvé ». Super! Tout va bien. Sans trop d’inquiétude, nous poursuivons nos activités.
Pourquoi? Parce que nous faisons confiance aux normes de sécurité qui sont en place!
La norme pour les entreprises
Afin de rendre ces transactions sécuritaires, tout le réseau d’information et tous les composants utilisés dans la transaction d’une entreprise doivent être conformes à des règles de l’industrie, dont la norme bien connue du milieu : « Payment Card Industry – Data Security Standard » (PCI-DSS).
Changements à la norme de sécurité
En avril 2015, le Conseil des normes de sécurité PCI a relevé le niveau de protection de la norme devant être utilisé lors des communications afin de garantir la sécurité dans le traitement des informations transigées. La date butoir pour sa mise en place est le 30 juin 2016. Les grandes entreprises sont bien au courant de ces changements, car elles ont mis en place un processus de gouvernance et de vigie pour s’assurer de se conformer avant la date butoir. Pour certaines, elles ont aussi mis en place des projets avec les professionnels requis afin de pouvoir conserver cette conformité et être sécuritaire.
Nouvelle échéance
Malheureusement, un grand nombre d’entreprises qui voient la date arrivée à grands pas redoutent de ne pouvoir se conformer dans les temps requis. Le Conseil des normes de sécurité PCI, ou « PCI Security Standards Council » (PCI-SSC), a donc émis un bulletin d’information et décidé de repousser la date au 30 juin 2018 afin d’offrir un délai supplémentaire sans pénalité. Ce que le Conseil des normes dit aussi, c’est…
Attention aux risques
La norme de sécurité n’a pas été rehaussée pour le plaisir. Les cyberattaques sont omniprésentes et les risques toujours grandissant. Bien que la date soit repoussée, il n’en demeure pas moins que les risques sont toujours présents. Ces vulnérabilités existent, elles sont connues et exploitables aujourd’hui. Ne sous-estimez surtout pas leurs effets négatifs. Les conséquences d’une non-conformité peuvent être désastreuses pour un commerçant ou une institution bancaire. Afin d’en savoir plus, consultez le site des normes de sécurité PCI sous la page « Why Security Matters ».
Exemples d’effets négatifs de non-conformité PCI
- Perte de confiance des clients qui se tournent vers des concurrents;
- Diminution des ventes;
- Coût de l’émission de nouvelles cartes de paiement;
- Coût des pertes liées à des fraudes;
- Coûts plus élevés de conformité ultérieure;
- Frais juridiques, règlements et jugements;
- Perte de la capacité d’accepter les cartes de paiement.
La solution…
N’attendez pas d’être à la dernière minute et ne courez pas le risque de devenir une victime. Passez à l’action dès maintenant et contactez des professionnels de la gouvernance et de la sécurité des TI afin de rehausser votre sécurité et de garantir le passage en douceur de votre conformité PCI-DSS ou du moins d’y apporter des éléments de mitigation. Nous saurons vous offrir les services de gouvernance et de sécurité TI appropriées et fondées sur les bonnes pratiques et les normes actuelles afin de produire les résultats d’affaires recherchés à court, moyen et long termes.
Joel Dubois – Le CIO Virtuel sur LinkedIn
Aucun commentaire jusqu'à présent.