Les règlements par cartes de paiement sont de plus en plus courants. Cependant, ces opérations requièrent également des mesures de sécurité renforcée pour la confidentialité des données des cartes de paiement et des données de transaction transmises. C'est pourquoi les experts de sécurité des sociétés de cartes de paiement ont développé une solution commune. Toute société qui traite, transmet ou stocke des données de carte de paiement doit respecter un certain nombre de consignes pour la sécurité de ces données. L'objectif est que tous les commerçants qui acceptent des cartes de ces sociétés respectent scrupuleusement la norme « Payment Card Industry - Data Security Standard » (PCI-DSS), précédemment appelée « Cardholder Information Security Program » (CISP).

La version actuelle de la norme a été développée en quelques années seulement. VISA a lancé la norme Cardholder Information Security Program (CISP) en 2001. Il s'agissait du premier programme de ce type qui exigeait que les commerçants et les prestataires de services respectent un certain nombre de normes dans le cadre de la sécurité des données. Quelques années plus tard, VISA, MasterCard, American Express, Discover, Diners Club et JCB ont harmonisé chacun leurs règlements pour créer la norme « Payment Card Industry Data Security Standard » (PCI-DSS), mise à jour plus complète de la norme d'origine, qui devint obligatoire pour tous les commerçants et prestataires de services à partir de juin 2005. Mise à jour une nouvelle fois en septembre 2006, la norme intégra dès lors quelque 160 exigences et entra en vigueur à la fin du mois de juin 2007. Toutefois, cet accord n'est pas un simple tigre de papier : Pour l'année 2006 seulement, VISA a réclamé 4,6 millions de dollars aux commerçants qui n'avaient pas respecté les normes. Cela représente une hausse de 35 % par rapport à l'année précédente.

La norme PCI actuelle comprend des règles strictes pour le traitement et le stockage des données de carte de paiement. Les commerçants doivent suivre ces règles pour pouvoir rester partenaires de la société de cartes de paiements et éviter des amendes importantes. Votre banque vous a peut-être contacté ces derniers mois pour vous informer sur la norme PCI et l'importance de celle-ci dans la prévention contre les fraudes aux cartes de paiement.

Au début de l'année, les organismes de cartes de paiement VISA et MasterCard se sont accordés sur des normes communes pour une mise en œuvre homogène des exigences de sécurité. Ces règles PCI s'appliquent à l'ensemble du secteur des cartes de paiement.

Les règles PCI définissent 12 exigences de conformité que doivent respecter les prestataires de services ainsi que les commerçants qui acceptent les cartes Visa :

Créer et gérer un réseau sécurisé
1. Installer et gérer une configuration de pare-feu afin de protéger les données du détenteur de la carte
2. Ne pas utiliser les valeurs par défaut des fournisseurs pour les mots de passe système et les paramètres de sécurité

Protéger les données du détenteur de la carte
3. Protéger les données stockées du détenteur de la carte. Ne pas stocker les données de transaction ou de carte qui ne sont pas nécessaires, comme le numéro de carte complet, les données de la bande magnétique, le code de vérification de la carte (CVV2) ou le code confidentiel.
4. Chiffrer la transmission des données du détenteur de la carte et des données sensibles sur les réseaux publics ouverts.

Tenir à jour un programme de gestion des vulnérabilités
5. Utiliser n logiciel antivirus et l'actualiser régulièrement
6. Développer et gérer des applications et des systèmes sécurisés

Implémenter des mesures de contrôle d'accès renforcées
7. Restreindre l'accès des données du détenteur de carte aux entreprises qui ont besoin de celles-ci
8. Affecter un ID unique à chaque personne ayant un accès à un ordinateur
9. Limiter l'accès physique aux données du détenteur de carte

Surveiller et tester les réseaux régulièrement
10. Surveiller et analyser tous les accès aux ressources réseau et aux données du détenteur de carte
11. Tester régulièrement les systèmes et processus de sécurité

Gérer une politique de sécurité des informations
12. Gérer une politique qui régit la sécurité des informations

Les douze exigences sont expliquées en détail ici.

L'un des points les plus importants du programme PCI de sécurité des données est l'interdiction de stockage des données complètes CVV et des cartes de paiement sous quelque forme que ce soit, après une autorisation réussie. Ce point est essentiel car l'accès à ces données hautement sensibles facilite la création de fausses cartes de paiement.

Si un contrôle révèle qu'en tant que commerçant vous stockez des données de cartes de paiement sur le point de vente (livre de caisse), dans le PMS (système front office) ou sur un site de votre société, VISA peut faire payer des pénalités à votre banque qui, elle-même, vous facturera ces frais pour non-respect des règles de conformité. VISA est conscient que certains logiciels point de vente et PMS stockent des données de cartes de paiement.

Bien entendu, tous les fournisseurs informatiques ainsi que votre fournisseur de services transactionnels sont concernés. Assurez-vous que votre fournisseur de services transactionnels respecte la norme PCI.

Les commerçants et les prestataires de service doivent respecter les règles de sécurité des données de la norme PCI lors du traitement des données de transactions et de cartes de paiement. Cela signifie se soumettre à un processus de certification dirigé par un agent agréé par VISA et MasterCard.

Notre société prend cette initiative très au sérieux. Lors de l'annonce des nouvelles instructions de l'association interdisant le stockage de données de cartes de paiement, qui est une pratique courante à travers le monde, nous avons modifié nos applications de façon à ce qu'elles obéissent aux nouvelles règles.

Depuis lors, nous avons apporté d'autres modifications de façon à ce que nos logiciels sont le plus possible conformes à la norme PCI. Nos clients peuvent installer des mises à niveau conformes à la norme PCI de nos produits MICROS-Fidelio. L'assistance MICROS-Fidelio peut vous aider à installer des mises à niveau ou des correctifs de moindre importance. Prenez contact avec votre assistance pour savoir si un correctif peut être appliqué à votre produit.

Depuis 2006, MICROS-Fidelio est éditeur certifié d'applications de paiement conformes aux normes de sécurité. Pour consulter la liste des fournisseurs de logiciels certifiés, rendez-vous sur le site officiel américain de Visa ou cliquez ici.

Nous vous recommandons non seulement de vérifier la conformité PCI de votre version de produit mais aussi de vous assurer que toutes les options de configuration requises pour la conformité du produit sont définies correctement. La liste de tous les systèmes certifiés PCI est consultable ici.

Les techniciens de nos services d'assistance seront ravis de vous aider à configurer vos options. Vous pouvez nous joindre au cours des heures normales d'assistance standard. Si une mise à niveau logicielle est requise, nous vous aiderons à planifier cette procédure.

Pour accéder aux informations sur votre centre d'assistance local MICROS-Fidelio dans la zone EAME, cliquez ici.

Ni MICROS-Fidelio ni votre fournisseur ne saurait être tenu responsable des dommages pouvant résulter de l'utilisation de produits non conformes.

Nous regrettons qu'une pression énorme soit exercée sur les banques et les commerçants qui acceptent des cartes de paiement. Cependant, nous considérons qu'il est de notre devoir de vous tenir informés sur ce sujet.

Nous serons ravis de vous aider par quelque moyen que ce soit.

PCI DSS (Payment Card Industry Data Security Standard) concerne l'ensemble des commerçants et des sociétés qui acceptent les paiements par cartes et stockent les données de cartes de paiement.

Pour que votre système soit conforme à la norme PCI, une version conforme du logiciel est requise. Reportez-vous à la liste de compatibilité pour connaître les versions conformes.

Si vous gérez et stockez des données de cartes de paiement, il est possible de mettre à jour des versions plus anciennes des logiciels pour qu'elles obéissent à la norme.

La portée de la mise à niveau dont vous avez peut-être besoin dépend de la version du logiciel que vous possédez actuellement. Les techniciens de nos services d'assistance et de vente seront ravis de vous apporter leur aide.

Veillez également à la sécurité réseau et vérifiez que votre réseau ne comporte pas de copies de sécurité ou de systèmes de formation non protégés/non chiffrés.

Vous ne pouvez apporter ces modifications que lorsque l'assistance vous y invite. Nous vous aiderons à déterminer quelles modifications de configuration sont nécessaires.

Le numéro de version s'affiche généralement à l'écran lorsque vous lancez ou exécutez le logiciel. Si vous ne parvenez à trouver le numéro de version, adressez-vous à notre service d'assistance.

Les mises à jour sont gratuites si vous avez un contrat d'assistance en cours de validité.

Selon le produit, il est généralement possible de demander au service d'assistance responsable d'effectuer la mise à jour à distance.

Au cas où la version que vous exécutez est très ancienne, il peut être nécessaire d'effectuer la mise à jour sur site (cette procédure est payante). Selon l'étendue de la mise à niveau, d'autres frais (d'achat de nouveau matériel, par exemple) peuvent vous être facturés.

Pour satisfaire aux exigences de sécurité, vous ne devez pas stocker/saisir de données de cartes de paiement, ni mettre à jour votre système avec une version de logiciel non conforme à la norme PCI.

Pour coordonner les mises à jour, veuillez contacter votre service informatique centralisé.

Il n'est pas possible d'émettre des certificats individuels. Tous les fournisseurs de logiciels dont les produits sont certifiés ainsi que les versions logicielles appropriées sont répertoriés sur le site officiel de VISA (liste de fournisseurs de logiciels certifiés). Les sociétés qui ne figurent pas dans la liste ne sont pas certifiées officiellement et n'obéissent pas à toutes les exigences de la norme PCI. VISA met à jour cette liste régulièrement.

La réponse est : tout dépend de la version du logiciel. Notre équipe d'assistance fournit des informations détaillées sur le statut de la version que vous exécutez. De plus, il est possible d'ajouter sur demande des champs individuels propres à l'entreprise dans votre base de données/interface utilisateur. Ceux-ci peuvent être remplis manuellement.

Si vous n'entrez et ne stockez aucune donnée de carte de paiement, votre société est conforme à la norme PCI. Dans ce cas, aucune mise à niveau logicielle ou modification de configuration n'est requise.
Nous avons acquis notre terminal de cartes de paiement par le biais de MICROS-Fidelio. Est-il conforme à la norme PCI ?
MICROS-Fidelio ne vend pas de terminaux de cartes de paiement. Pour plus d'informations, contactez votre fournisseur de services transactionnels (Concardis ou Elavon, par exemple).

MICROS-Fidelio ne vend pas de terminaux de cartes de paiement. Pour plus d'informations, contactez votre fournisseur de services transactionnels (Concardis ou Elavon, par exemple).

Vous respectez les règles de la norme tant que les données de carte de paiement ne sont pas saisies manuellement dans le système Front Office. Pour plus de détails, reportez-vous à la documentation officielle de PCI-DSS.