Nos services

samedi 21 mai 2016

PCI DSS et E-commerce

Le mois dernier, un de nos clients nous a demandé d’effectuer un test d’intrusion sur un site e-commerce.

Nous lui avons demandé s’il s’était mis en conformité avec le standard de sécurité PCI DSS avant d’accepter des paiements par cartes de crédit sur internet.

Malheureusement sa réponse fût négative : Il ne savait pas que l’implémentation des contrôles de sécurité PCI DSS était requise par les organismes bancaires.

Si les informations de cartes de crédit de ses clients avaient été compromises, les organismes bancaires auraient enquêté et relevé sa non-conformité avec la norme PCI DSS. Notre client aurait alors été contraint de payer des dédommagements et, dans certains cas, se faire refuser le droit d’accepter des paiements par cartes de crédit.

Vous l’avez compris, si vous acceptez des paiements par cartes de crédit, alors vous devez vous conformer à PCI DSS.

Comment se conformer à PCI DSS lorsqu’on a un site e-commerce?

Pour vous aider, PCI DSS dicte dans des documents (les SAQs) les contrôles que vous devez mettre en place.

Pour sélectionner votre SAQ vous devrez répondre aux critères énoncés par PCI DSS :

SAQ A :

- Votre site e-commerce est entièrement hébergé et géré par un fournisseur conforme PCI DSS, OU

- Votre site e-commerce redirige vos clients vers une page de paiement hébergée par un fournisseur conforme PCI DSS. Aucun élément de cette page ne doit provenir de votre site e-commerce.

SAQ A-EP :

- Votre site e-commerce héberge les formulaires de paiements et « poste » les informations directement vers un fournisseur conforme PCI DSS, OU

- Votre site e-commerce redirige vos clients vers une page de paiement hébergée par un fournisseur conforme PCI DSS MAIS quelques éléments de la page de paiement proviennent de votre site internet (JavaScript, CSS ou toutes fonctionnalités dictant comment la page de paiement est affichée).

SAQ D :

- Si vous ne vous qualifiez pas pour les SAQ A et SAQ A-EP.

- Si vous sauvegardez ou traitez vous-mêmes les informations de cartes de crédits.

Dans tous les cas, nous vous conseillons fortement de demander à vos fournisseurs de solutions de paiement de vous indiquer le SAQ auquel vous devez vous conformer.

Ce sont eux qui doivent avoir le dernier mot. Demandez-leur une preuve formelle de leur décision.


Notre conseil


Même si seulement le SAQ A est requis par votre fournisseur de solutions de paiement, nous vous conseillons fortement de mettre en place les contrôles dictés par le SAQ A-EP.

En effet, le SAQ A ne couvre pas les véritables risques pouvant causer du tort à vos clients. Si votre site est compromis, un hacker peut rediriger vos clients vers une fausse page de paiement et voler leurs informations de cartes de crédit. Il faut donc prendre la peine de bien le sécuriser.

Étant spécialisés en sécurité informatique, nous conseillerons toujours nos clients afin qu’ils puissent faire face aux menaces réelles rencontrées sur le terrain.


Pour plus d’informations sur les différents types de SAQ :

https://www.pcisecuritystandards.org/document_library?category=saqs#results

Blog PCI DSS à suivre si vous désirez aller plus loin:

https://pciguru.wordpress.com/



Des questions concernant cet article?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.

Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com


Ou nous parler via notre site internet :


https://oppidumsecurity.com/

Aucun commentaire:

Enregistrer un commentaire