Si vous dirigez un établissement dans la restauration, vos clients paient probablement par carte de crédit.
Cela signifie que vous devez assurer la sécurité de leur carte de crédit et de leurs informations personnelles. Le respect des normes de conformité PCI est le meilleur moyen de protéger les données de vos clients et d’éviter les coûts associés aux violations de la conformité PCI.
Sécurité, conformité, fraude par carte de crédit – tout gérant de restaurant doit passer par là si vous voulez accepter les cartes de crédit comme mode de paiement : pas d’autre choix que de vous conformer aux normes PCI.
Alors, qu’est-ce que la conformité PCI ? Pourquoi est-elle importante ? Et comment pouvez-vous vous assurer que vous traitez les transactions par carte de crédit et collectez les données de paiement en toute sécurité ?
Ce guide vous guidera à travers les bases de la conformité PCI afin que vous compreniez clairement ce que c’est, l’importance de la conformité et les conséquences de la non-conformité.
- Qu’est-ce que la conformité PCI ?
- Mon établissement doit-il être conforme à la norme PCI ?
- Quel niveau de PCI s’applique à mon établissement?
- Pourquoi la sécurité et la norme PCI DSS sont-elles importantes ?
- Que se passe-t-il si mon établissement n’est pas conforme aux normes PCI ?
- Comment mon établissement peut-il se conformer aux normes PCI ?
- Qu’est-ce que la conformité PCI ?
Mentions légales : Tout contenu juridique, financier ou fiscal est fourni à titre d’information uniquement et ne saurait remplacer l’obtention de conseils auprès d’un professionnel qualifié du droit ou de la comptabilité. Lorsque cela était possible, nous avons indiqué les sources directes des informations contenues dans cet article de blog. Bien que nous nous efforçons de fournir un contenu exact, nous ne pouvons être tenus responsables de toute action ou omission basée sur ce contenu. Lightspeed ne s’engage pas à effectuer des vérifications supplémentaires ou à maintenir cet article de blog à jour dans le temps.
Découvrez le logiciel de caisse qui comprend vos besoins sur le terrain
Intuitif, évolutif, fiable : Lightspeed est le système de caisse tout-en-un qui assure la sécurité de vos clients et de votre personnel grâce à une sélection de solutions sans contact.
Qu’est-ce que la conformité PCI ?
Par définition, la conformité PCI (abréviation de PCI DSS), signifie Payment Card Industry Data Security Standard. Il s’agit d’un ensemble de normes de sécurité conçues pour garantir que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations relatives aux cartes de crédit maintiennent un environnement sécurisé afin de protéger à la fois le consommateur et le commerçant.
Lorsque vous prenez la carte de crédit d’un client, vous recueillez un grand nombre de données sensibles. Le PCI SSC (Payment Card Industry Security Standard Council) a été fondé par les grandes marques de cartes (comme MasterCard, Visa, JCB et Discover) pour développer et contrôler la sécurité dans le secteur des cartes de paiement.
Le PCI DSS définit des exigences minimales pour :
- les politiques et procédures
- la gestion de la sécurité
- l’architecture du réseau
- dispositifs logiciels
- Autres mesures de protection critiques
Mon établissement doit-il être conforme à la norme PCI ?
Oui. Tout commerçant, quel que soit le volume ou la taille de son activité, qui accepte les cartes de crédit comme mode de paiement ou qui traite, transmet ou stocke les données des titulaires de cartes doit se conformer à tous les aspects des normes PCI DSS.
Si vous acceptez les cartes de crédit ou de débit, la conformité PCI pour les petites entreprises est une obligation, quelle que soit la taille de votre établissement. Vous devez vous conformer à toutes les normes applicables, même si vous ne traitez qu’une seule transaction par carte de crédit par an.
Si votre établissement possède plusieurs sites avec des numéros d’identification fiscale distincts, vous devrez valider la conformité PCI de chaque site individuel. Si tous vos sites opèrent sous un seul numéro d’identification fiscale, vous n’êtes généralement tenu de valider la conformité PCI qu’une fois par an pour tous les sites. Le cas échéant, vous devrez également procéder à des analyses de réseau pour chaque site sur une base trimestrielle.
Quel niveau de PCI s’applique à mon établissement ?
Pour les commerçants ou restaurateurs, déterminer le niveau de conformité PCI requis peut être délicat et dépend souvent du nombre de transactions par carte de paiement que vous traitez chaque année, ainsi que de la carte de crédit émettrice.
Niveau 1
- Tout commerçant traitant plus de 6 millions de transactions MasterCard ou Visa par an, quel que soit le canal.
- Un commerçant qui a été victime d’un piratage ayant entraîné la compromission de données.
- Tout commerçant classé au niveau 1 par une marque de carte.
Niveau 2
- Tout commerçant traitant de 1 à 6 millions de transactions MasterCard ou Visa par an.
Niveau 3
- Tout commerçant traitant entre 20 000 et 1 million de transactions de commerce électronique MasterCard ou Visa.
Niveau 4
- Tout commerçant, quel que soit le canal d’acceptation (carte présente, carte non présente, etc.).
Si votre établissement se situe dans l’un de ces quatre niveaux, nous vous recommandons de contacter le comité PCI pour valider votre conformité.
Pour rester à jour sur les informations de conformité PCI pour les émetteurs de cartes de crédit individuels, cliquez sur la marque de carte de paiement appropriée ci-dessous :
- Visa
- Mastercard
- JCB International
Quelles sont les obligations PCI ?
Les obligations que vous devez respecter pour la conformité PCI des restaurants sont les suivantes.
Votre point de vente doit être à jour
Vous devez utiliser des terminaux de cartes de crédit et des claviers NIP qui sont à jour et conformes à la norme de sécurité des données PCI (DSS).
Votre logiciel de caisse (POS) et de passerelle de paiement doit être conforme à la norme PCI et validé.
Votre routeur sans fil doit être crypté et protégé par un mot de passe.
Vous devez vérifier vos claviers PIN et tout autre dispositif de saisie de PIN pour vous assurer qu’aucun « skimming » n’a été installé.
Le saviez-vous ?
Les skimmers sont des dispositifs que les fraudeurs fixent sur les claviers PIN pour capturer les informations des cartes de crédit lorsqu’une carte est glissée ou saisie, et ils peuvent prendre de nombreuses formes. Vérifiez également que vos ordinateurs ne contiennent pas de logiciels ou de fichiers exécutables malveillants.
Vous ne devez pas stocker les données des titulaires de cartes de quelque manière que ce soit
Cela va du stockage sur un ordinateur à la notation d’un numéro de carte de crédit sur un bout de papier. Si votre terminal de carte de crédit et votre clavier PIN sont conformes à la norme PCI, ils sont programmés pour que vous restiez automatiquement en conformité avec cette obligation.
Vous devez utiliser des mots de passe forts
Pour ce faire, vous devez modifier immédiatement tout mot de passe par défaut et exiger de votre personnel qu’il change régulièrement de mot de passe. Envisagez d’utiliser un générateur de mots de passe pour créer des mots de passe forts.
Vous devez former vos employés à la conformité PCI pour restaurants
Le maillon le plus faible de toute stratégie de sécurité est souvent le facteur humain : selon une étude menée par IBM, les employés sont à l’origine de plus de 27 % des violations de données.
Une main-d’œuvre informée est moins susceptible de chercher des moyens de contourner les mesures de sécurité lorsqu’elle en connaît l’utilité. Les établissements doivent donc investir dans la formation des employés (il existe des cours en ligne et des vidéos pour vous aider) en veillant à ce qu’ils comprennent l’importance de la norme PCI DSS ainsi que les risques et les conséquences de la non-conformité.
Vous devez restreindre les droits d’accès aux seuls employés habilités
L’accès aux données doit être limité au personnel autorisé uniquement. Les entreprises doivent évaluer lesquels de leurs employés ont besoin d’accéder aux données des cartes puis utiliser les outils et processus appropriés pour limiter l’accès en fonction des besoins de l’entreprise.
Pour y parvenir, les organisations doivent avant tout mettre en place des identifiants uniques pour chaque employé afin de savoir quels utilisateurs effectuent des actions sur les informations de carte de crédit et d’empêcher les connexions simultanées.
Un logiciel de caisse comme Lightspeed permet à l’établissement de limiter le traitement des paiements aux seuls utilisateurs habilités. En tant que gérant, vous pouvez décider l’accès à votre logiciel de caisse et au traitement des paiements au personnel adéquat en ligne, où que vous soyez.
De plus, toutes les transactions de vos clients sont sécurisées grâce à une technologie blockchain développée en interne par Lightspeed – toutes les transactions de paiement sont ainsi à l’abri de regards indiscrets !
Vous devez installer des pare-feu sur vos ordinateurs et votre réseau interne
Le système d’exploitation de votre ordinateur comporte probablement déjà un pare-feu dans le cadre de son logiciel de sécurité, mais vérifiez qu’il fonctionne correctement.
Vous devez documenter et consigner toutes les politiques et procédures de sécurité, d’ évaluation des risques et des incidents de sécurité. Une documentation solide aide les DSI et les professionnels de la sécurité à prendre des décisions éclairées concernant les futures mesures de sécurité et aide les établissements à prouver leur conformité.
Pourquoi la norme PCI DSS et la sécurité sont-elles importantes ?
Avez-vous déjà été victime d’une escroquerie ou d’une fraude sur votre carte de crédit personnelle ? Les normes PCI sont conçues pour aider à protéger tous les participants de l’écosystème des cartes contre ce problème précis.
En cas de vol ou de violation des données des titulaires de cartes, ces derniers perdent confiance dans leurs institutions financières ainsi que dans les commerçants avec lesquels ils font affaire. Il existe également la possibilité d’un impact financier négatif important pour vous et vos clients.
Que se passe-t-il si mon entreprise n’est pas conforme à la norme PCI ?
Le non-respect de la réglementation PCI DSS peut entraîner des amendes et des pénalités.
Les amendes de non-conformité, que les marques de paiement peuvent ajuster à leur discrétion, s’élèvent entre 5 000 et 00 000 dollars. Vous pouvez également perdre votre droit de traiter les transactions par carte de crédit.
En cas de violation ou de piratage, le commerçant peut se voir infliger les sanctions suivantes :
- Des amendes de la part des associations de cartes ;
- Enquête judiciaire ;
- Les banques émettrices peuvent récupérer les frais de ré-émission auprès du commerçant (y compris les éventuelles pertes dues à la fraude et les frais de surveillance de la fraude) ;
- Litiges ;
- Amendes gouvernementales ;
- Atteinte à votre marque et à votre réputation
L’établissement d’un plan de conformité PCI et sa mise à jour régulière peuvent contribuer à prévenir les violations de données, à limiter vos coûts et à préserver la confiance et la fidélité de vos clients.
Comment mon établissement peut-il satisfaire aux normes PCI ?
Afin de répondre aux obligations PCI, chaque commerçant doit passer par une série d’étapes.
La validation de la conformité pour les commerçants de niveau 2, 3 et 4 se fait par le biais d’un questionnaire d’auto-évaluation (QSA) annuel. Le cas échéant, des analyses trimestrielles de la vulnérabilité du réseau peuvent également être effectuées par un fournisseur d’analyses agréé (ASV).
Les commerçants de niveau 1 doivent se soumettre à une validation de conformité plus rigoureuse, tandis que les commerçants des niveaux 2, 3 et 4 ne doivent pas se soumettre à une validation externe et sont à la discrétion de la banque acquéreuse.
Veillez à toujours conserver tous les documents de validation à portée de main.
Selon la classification ou le niveau de risque d’un commerçant (déterminé par les marques de cartes de paiement individuelles ou votre niveau PCI), les étapes à suivre sont les suivantes :
- Scoping PCI DSS. Déterminer quels composants du système et quels réseaux sont dans le champ d’application de PCI DSS pour votre entreprise.
- Évaluation. Examiner la conformité des composants du système dans le champ d’application en suivant les procédures de test pour chaque obligation PCI DSS (la SAQ correspondante peut être utilisée comme guide).
- Rapport. L’évaluateur ou l’entité soumet la documentation requise, comme le questionnaire d’auto-évaluation (SAQ) ou le rapport de conformité (ROC), y compris la documentation de tous les contrôles compensatoires.
- Clarifications. L’évaluateur ou l’entité clarifie ou met à jour les déclarations (le cas échéant) à la demande de la banque acquéreuse ou de la marque de carte de paiement
Combien coûte un audit PCI ?
La plupart des facteurs qui affectent le coût de la conformité PCI affecteront également le coût d’une évaluation ou d’un audit PCI sur site. Les influences majeures incluent la taille de l’organisation et les méthodes de traitement des cartes, ainsi que le type d’audit de sécurité souhaité (audit de certification, test d’intrusion et vulnérabilité du réseau, etc).
Un audit PCI coûte en moyenne entre 10 et 100 000 euros, en fonction de la complexité et de la taille du périmètre à auditer.
Simplifiez-vous la vie avec un logiciel de caisse conforme à la norme PCI
Bien qu’il soit toujours crucial pour chaque commerçant de comprendre pourquoi la norme PCI DSS est si importante, tous les matériels et logiciels du logiciel de caisse Lightspeed sont déjà certifiés PCI niveau 1.
Nous ne fournissons que du matériel et des logiciels conformes à la norme PCI et nous maintenons une plateforme conforme à la norme PCI. Notre système de paiement intégré fournit un cryptage de bout en bout pour chaque transaction, en tokenisant les données dès qu’elles atteignent nos serveurs.
Discutez avec l’un de nos experts pour en savoir plus sur l’approche technique de Lightspeed en matière de sécurité des transactions.
Des nouvelles qui vous concernent. Des conseils que vous pouvez appliquer.
Tout ce que vous devez savoir, directement dans votre boîte mail.
