Samson Bélair Deloitte et Touche   Samson Bélair Deloitte et Touche
Global > Canada > Secteurs > Consommation    
Pour une sécurité accrue des données de cartes de crédit
L’adoption de la norme « Payment Card Industry (PCI) » aidera les commerçants à renforcer la sécurité de leurs données

Que le paiement se fasse en ligne ou en magasin, les acheteurs s’inquiètent de plus en plus de la protection de leurs données personnelles. C’est pourquoi les émetteurs de cartes de crédit prennent des mesures préventives qui garantissent la confidentialité des données des consommateurs et qui ouvrent la voie à une nouvelle norme mondiale. En mars 2005, une association de sociétés émettrices de cartes de crédit a annoncé la mise en œuvre d’une nouvelle norme « Payment Card Industry (PCI) Data Security Standard ».

La norme exige un renforcement de la sécurité pour les commerçants qui traitent un nombre élevé de transactions par carte de crédit – six millions par an – et uniformise les mesures de sécurité à l’échelle mondiale. Grâce à cette norme, on assistera à un renforcement de la protection des données des cartes de crédit des acheteurs par divers moyens, notamment les gardes-barrières (« firewall »), le chiffrement et la transmission des données ainsi que les contrôles visant la restriction des accès.

Tout commerçant traitant un grand nombre annuel de transactions, que ce soit en ligne ou en magasin, devra être certifié tous les ans par une société indépendante. Au Canada, au moins 20 des plus grands détaillants et autant de fournisseurs de service devront satisfaire aux exigences de la nouvelle norme PCI. La certification, qui ne pourra être accordée que par un évaluateur de sécurité indépendant qualifié, confirmera la conformité avec toute une série de mesures de sécurité.

On ne compte que quatre sociétés canadiennes agréées à titre d’évaluateurs de sécurité indépendants. Deloitte est l’une d’elles. « Nous sommes habilités à assurer l’évaluation externe à laquelle ces commerçants et fournisseurs de service doivent se soumettre et à leur faire remédier à tous les problèmes ainsi repérés, explique Doug MacPherson, du groupe Risques d’entreprise de Deloitte. Nous informons alors l’émetteur de cartes de crédit et l’acquéreur de la mise en conformité du commerçant. »

Les douze exigences de la sécurité des cartes de crédit
La certification PCI exige la mise en œuvre de 12 mesures de sécurité, comme la protection des systèmes et des données contre les virus informatiques et l’installation et l’entretien d’un garde-barrière. Mais il y a aussi des mesures plus complexes : les sociétés sont tenues d’établir une politique en matière de personnel et de sous-traitants en plus d’attribuer à chaque personne un code unique pour l’accès aux données. En outre, elles doivent surveiller de près l’accès aux données, y compris l’accès pour simple lecture, de chaque employé sans exception.

À l’heure actuelle, la certification PCI par un évaluateur indépendant ne concerne pas les commerçants qui n’atteignent pas le seuil de transactions prévu. Mais certains émetteurs de cartes de crédit, comme Visa Canada, ont établi des exigences nationales pour les grands détaillants. Ainsi, le programme Sécurité de l’information concernant les comptes (SIC) de Visa exige des commerçants du Canada (qu’il s’agisse d’établissements de vente traditionnels, de vente par correspondance ou par commande téléphonique) qu’ils fassent examiner par un tiers l’autoévaluation à laquelle ils sont tenus.

Diminution des risques, augmentation de la confiance
De tels programmes de sécurité existent depuis plusieurs années, principalement sous l’effet de la progression rapide du commerce en ligne. La nouveauté, c’est l’application d’une norme mondiale par une association d’émetteurs de cartes de crédit. Bien que les mesures PCI ne concernent que les plus grands détaillants du Canada, d’autres normes, comme le programme SIC de Visa, visent aussi le renforcement de la sécurité. D’après les observateurs du secteur, les détaillants de moindre envergure seront bientôt tenus, eux aussi, d’adopter des mesures de sécurité similaires.

Le processus de certification PCI prévoit une recherche des vulnérabilités, un questionnaire d’autoévaluation et une inspection sur place par l’évaluateur de la sécurité. Mais il n’existe pas de « solution toute faite applicable à tout le monde », dit Simon Tang, spécialiste de la sécurité des cartes de crédit chez Deloitte. « Le processus varie selon la complexité de l’activité et le volume des transactions », explique-t-il.

Le renforcement de la sécurité est indispensable dans le contexte actuel
Deloitte possède une vaste expérience acquise auprès des grands détaillants canadiens. « Nous connaissons bien la nature et les exigences de ce commerce, précise Doug MacPherson, et nous sommes à même de sécuriser les systèmes de données sans perturber la bonne marche des affaires, et ce, dans des délais raisonnables. » En tant que numéro un de la sécurité de l’information au Canada, Deloitte a fait ses preuves dans l’intégration parfaite des pratiques de sécurité au sein d’un plan global. Et, avec plus de 140 spécialistes de la sécurité au pays, Deloitte peut venir en aide aux entreprises implantées partout au Canada.

Pour le moment, les commerçants ne sont pas tous tenus d’obtenir leur certification PCI. mais la tendance vers un renforcement de la sécurité devrait s’accélérer et il est tout à fait possible que les sociétés émettrices de cartes de crédit abaissent le seuil d’application de la norme. En prouvant qu’ils ont mis en œuvre les mesures de sécurisation nécessaires pour les règlements par carte de crédit, les commerçants peuvent prendre les devants et accroître la confiance des consommateurs.

Comme le fait remarquer Simon Tang, ces mesures de sécurité vont probablement être imposées à toutes les entreprises qui se livrent à des transactions électroniques, quelles qu’elles soient. « Maintenant que les émetteurs de cartes de crédit se sont ligués pour fixer une norme mondiale, déclare-t-il, c’est aux commerçants de prouver l’efficacité de la sécurisation de leurs systèmes. »

  
Les intervenants 

Le domaine des paiements par cartes de crédit a sa terminologie propre. Outre le consommateur, une série d’intervenants clés agissent en coulisse lors d’une transaction par carte de crédit.

  • L’émetteur – Une société émettrice de cartes de crédit, comme Visa
  • L’acquéreur – Une société qui traite les règlements par cartes de crédit, comme Moneris
  • Le commerçant – Une entité qui accepte le règlement par carte de crédit, comme Sears
  • Le fournisseur de service – Le réseau ou le serveur se trouvant entre le commerçant et l’acquéreur, comme NCR
Communiquez avec nous pour en savoir plus sur ce sujet.
 
Source : Deloitte & Touche LLP - Canada (English)
Also available in: English

Imprimer cette page    Envoyer par courriel à un collègue
  Sécurité | Avis juridique | Confidentialité    

© 2009 Deloitte & Touche s.r.l. et ses sociétés affiliées.

Deloitte, l'un des cabinets de services professionnels les plus importants au Canada, offre des services dans les domaines de la certification, de la fiscalité, de la consultation et des conseils financiers grâce à un effectif de plus de 7 700 personnes réparties dans 57 bureaux. Au Québec, Deloitte exerce ses activités sous l'appellation Samson Bélair/Deloitte & Touche s.e.n.c.r.l. Deloitte est le cabinet membre canadien de Deloitte Touche Tohmatsu.

La marque Deloitte désigne une ou plusieurs entités de Deloitte Touche Tohmatsu, une Verein (association) suisse, ainsi que son réseau de cabinets membres dont chacun constitue une entité juridique distincte et indépendante. Pour obtenir une description détaillée de la structure juridique de Deloitte Touche Tohmatsu et de ses cabinets membres, voir www.deloitte.com/about.

Fil RSS | Plan du site | AbonnementBookmark   Vancouver 2010