Site allégé, navigation simplifiée et design épuré : nous avons repensé notre site web pour mieux vous servir ! En savoir plus

Données des paiements clients : comment protéger votre entreprise ?

La fraude sur les paiements par carte enregistrée chez les commerçants en France, s’élève à 309 M€ en 20201. Elle représente 50 centimes tous les 1 000 € encaissés par carte de paiement1, sans compter les dommages provoqués sur l’image de l’enseigne. Voici quelques bonnes pratiques à suivre pour protéger votre activité et réduire les risques de vol de données sensibles, avec le standard PCI DSS.
  • Flux

juillet 2024

Temps de lecture : 2min

Qu’est-ce que le standard PCI DSS ?

PCI DSS est un standard de sécurité des données de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard) qui s’applique aux différents acteurs de la chaîne monétique.

Il est établi par les 5 principaux réseaux de cartes : Visa, Mastercard, American Express, Discover et JCB, et est géré par le Conseil des normes de sécurité PCI.

La finalité de ce standard est de protéger les données sensibles de paiement par carte et éviter ainsi leur vol à des fins d’utilisation frauduleuse. En votre qualité de commerçant/entreprise acceptant des cartes de paiement, vous devez être conforme PCI DSS.

En savoir plus sur PCI DSS

Vérifiez votre conformité à PCI DSS

En votre qualité d’entreprise acceptant des cartes de paiement, vous devez aussi vous rendre conforme PCI DSS. En répondant à un court questionnaire, vous saurez comment faire : (durée estimée : 2 minutes)

  • J’encaisse plus de 1 million de transactions par cartes de paiement :
  • Je stocke sur mon serveur informatique des données sensibles (PAN, date d’expiration, nom du titulaire de carte et code service). Il est interdit de stocker le cryptogramme visuel, la piste magnétique et le code PIN.
  • J’accepte les paiements par cartes sur internet.
    Si oui, quel type de solution utilisez-vous ?
  • Mon point de vente est équipé d’un TPE pour que mes clients effectuent leurs paiement par carte
    et/ou
    j’accepte depuis mon point de vente les paiements à distance (tel, fax, email), à l'exclusion d'internet.
  • J’utilise une solution de chiffrement point à point (P2PE) listée par PCI :
  • J’utilise un terminal de paiement (TPE) autonome en connexion RTC (réseau téléphonique)
  • J’utilise un terminal de paiement (TPE) autonome en connexion IP (réseau téléphonique via protocole internet (IP))
  • J’utilise un terminal de paiement (TPE) intégré à une caisse et connecté à internet
  • Je saisie des données de cartes sur un formulaire en ligne commercialisé par un prestataire certifié PCI DSS
  • J’utilise une solution totalement externalisée auprès d'un prestataire certifié PCI DSS (vente à distance uniquement)
  • J’utilise une autre solution d’acceptation des paiements sans stocker les données de cartes

1/ Choisissez des mots de passe solides

Optez pour des mots de passe complexes et modifiez les mots de passe par défaut. Il faudra 0,077 secondes pour craquer le mot de passe « bigmac », 344 000 années pour craquer le mot de passe « B1gMac&fries » (source PCI DSS). Vos mots de passe figurent-ils dans la liste des mots de passe les plus communs ?

Vérifier si votre mot de passe est fréquemment utilisé

2/ Choisissez le standard PCI DSS

Choisissez des prestataires conformes au standard PCI DSS. En cas de doute, faites des vérifications. Si vous êtes client de notre offre monétique Monetico Paiement ou de notre gamme de TPE, vous pouvez être rassuré, celle-ci est conforme PCI DSS.

3/ Attention au stockage informatique de données logiques de cartes de paiement

Ne conservez pas de données de cartes de paiement sur vos serveurs et/ou ordinateurs à moins d’être certifié PCI DSS de niveau 1, c’est à dire avoir obtenu une certification PCI DSS avec un accompagnement par un cabinet d’audit accrédité PCI DSS (QSA, Qualified Security Assessors).

Trouver un cabinet d’audit certifié

4/ Protégez l’accès à vos données internes

Protégez l’accès à vos données internes et plus particulièrement les données de cartes de paiement :

  • limitez les accès aux seules personnes ayant un besoin de métier
  • détruisez les données de carte inutiles et assurez-vous que celles inscrites sur des documents papier sont :
    • soit rendues illisibles
    • soit conservées dans un endroit sécurisé à accès limité.

5/ Assurez-vous de la sécurité de votre système d’information

Pour vous assurer d’un bon système d’information, voici quelques précautions :

  • ne téléchargez que les versions de logiciels officiels
  • utilisez des versions récentes
  • effectuez régulièrement les mises à jour de vos logiciels et antivirus
  • implémentez les correctifs fournis par vos fournisseurs
  • installez des pare-feu pour sécuriser votre accès internet
  • e-commerçants, faites installer un protocole de chiffrement TLS (protocole https) et mettez régulièrement à jour vos plateformes e-commerce ainsi que les modules de paiement associés.

6/ Vérifiez la vulnérabilité de vos systèmes de paiement

Vérifiez que vos systèmes de paiement ne sont pas exposés à des vulnérabilités ou ne sont pas compromis :

  • Les scans de vulnérabilité permettent de détecter les problèmes de sécurité de votre système d’information. Faites appel à un prestataire de service d’analyse agréé PCI.
    Trouver un prestataire agréé PCI
  • Inspectez vos terminaux de paiement en vue de vérifier qu’ils ne sont pas modifiés ou remplacés par un terminal corrompu.