PCI-DSS 3.0 Paiements cartes bancaires

Socle incontournable de la confiance lors d’un paiement par carte bancaire, la norme PCI-DSS, on s’y attendait, nous livre une nouvelle version à destination des monéticiens mais aussi de l’ensemble des acteurs de la chaine de valeurs monétique. Pas de changements majeurs mais une philosophie orientée « éducative, flexibilité et partage » de la problématique de sécurité entre les acteurs et dans un contexte de « business as usual« . On comprend donc qu’il s’agit essentiellement de recommandations qui identifient et contrent les nouveaux maillons faibles de la sécurité lors d’une transaction réalisée avec une carte bancaire.

Il s’agit d’une bonne nouvelle car les évolutions majeures entre la version 1 et 2 avaient inquiété les acteurs de la monétique eu égard aux investissements nécessaires consacrés à plus de sécurité. Cette fois, une pause est marquée avec des adaptations requises afin de contrer les nouvelles attaques. Par exemple, celles touchant directement le site Web du marchand dont une majorité archive toujours les données de paiement. Cette pratique en vigueur étant un point de vulnérabilité aux attaques de virus malveillants (malware).

PCI-DSS 3.0

Mais cette version tient également compte du paiement à partir de nouveaux supports (téléphone, tablet PC, Mobile POS, etc.) dont l’essor, en tant que prochains canaux de ventes à distance comme de vente de proximité, est prometteur.

Vous trouverez ci-après une version allégée Moneticien-PCIDSS_and_PA-DSS_Change_Highlights résumant les changements à prendre en compte mais aussi la version intégrale du document Moneticien-PCI_DSS_v3.

Rappelons enfin que cette version entre en vigueur à compter du 1er janvier 2014, soit elle s’applique à tout acteur n’étant pas encore certifié avec une version antérieure. Les sociétés bénéficiant déjà d’une certification pourront migrer au cours des 18 prochains mois à la version 3.0.

La rédaction

All Rights Reserved – Tous Droits Réservés