PCI 

Conformité PCI 

 La sécurité du commerce électronique est une priorité pour TPL. Afin de garantir cela, nous sommes fiers d’être entièrement conformes à la norme PCI DSS. Dans un effort croissant pour préserver l'intégrité des informations personnelles, le PCI Security Standards Council a mis en place une série de réglementations que les entreprises en ligne doivent suivre pour assurer la sécurité des achats en ligne. TPL a satisfait et dépassé toutes les normes définies par le PCI Security Standards Council avec brio – nous avons prouvé que notre gestion de la sécurité, nos politiques de sécurité, notre architecture réseau et la conception de nos logiciels sont protégées et exemptes de toute vulnérabilité pouvant compromettre vos ventes en ligne. 

 Qu'est-ce que la conformité PCI ? 

Le Payment Card Industry Data Security Standard (PCI DSS) est un ensemble de politiques et de procédures largement accepté, visant à optimiser la sécurité des transactions par carte de crédit, carte de débit et carte prépayée, et à protéger les titulaires de carte contre l'utilisation abusive de leurs informations personnelles. Le PCI DSS a été créé conjointement en 2004 par quatre grandes entreprises de cartes de crédit : Visa, MasterCard, Discover et American Express. 

 Le PCI DSS définit et développe six objectifs majeurs. 

 Premièrement, un réseau sécurisé doit être maintenu afin de permettre les transactions. Cette exigence implique l'utilisation de pare-feux suffisamment robustes pour être efficaces sans causer de désagrément excessif aux titulaires de carte ou aux commerçants. Des pare-feux spécialisés sont disponibles pour les réseaux sans fil (Wi-Fi), qui sont particulièrement vulnérables aux écoutes et aux attaques de pirates malveillants. De plus, les données d'authentification, telles que les numéros d'identification personnelle (PIN) et les mots de passe, ne doivent pas être des valeurs par défaut fournies par les fournisseurs. Les clients doivent pouvoir modifier ces données facilement et fréquemment. 

 Deuxièmement, les informations des titulaires de carte doivent être protégées partout où elles sont stockées. Les bases de données contenant des informations sensibles, telles que les dates de naissance, les noms de jeune fille des mères, les numéros de sécurité sociale, les numéros de téléphone et les adresses postales, doivent être sécurisées contre le piratage. Lorsque des données de titulaires de carte sont transmises via des réseaux publics, elles doivent être cryptées de manière efficace. Le chiffrement numérique est essentiel pour toutes les formes de transactions par carte bancaire, mais particulièrement dans le commerce électronique sur Internet. 

 Troisièmement, les systèmes doivent être protégés contre les activités de pirates malveillants grâce à l'utilisation de logiciels antivirus fréquemment mis à jour, de programmes anti-espionnage et d'autres solutions anti-malware. Toutes les applications doivent être exemptes de bogues et de vulnérabilités susceptibles d'être exploitées pour voler ou modifier les données des titulaires de carte. Les correctifs proposés par les fournisseurs de logiciels et de systèmes d'exploitation doivent être installés régulièrement pour garantir un niveau de gestion des vulnérabilités aussi élevé que possible. 

 Quatrièmement, l'accès aux informations et aux opérations du système doit être restreint et contrôlé. Les titulaires de carte ne doivent fournir des informations aux entreprises que lorsque ces informations sont nécessaires à la protection et à l’exécution efficace d'une transaction. Chaque utilisateur d'un ordinateur au sein du système doit se voir attribuer un nom ou un numéro d'identification unique et confidentiel. Les données des titulaires de carte doivent être protégées physiquement et électroniquement. Parmi les exemples de protection physique, on trouve l'utilisation de broyeurs de documents, l'évitement de la duplication inutile de documents papier et l'installation de serrures et de chaînes sur les poubelles pour empêcher les criminels de fouiller les déchets. 

 Cinquièmement, les réseaux doivent être surveillés en permanence et testés régulièrement afin de garantir que toutes les mesures et processus de sécurité sont en place, fonctionnent correctement et sont maintenus à jour. Par exemple, les programmes antivirus et anti-espionnage doivent être mis à jour avec les dernières définitions et signatures. Ces programmes doivent analyser toutes les données échangées, toutes les applications, toute la mémoire vive (RAM) et tous les supports de stockage fréquemment, voire en continu. 

 Sixièmement, une politique formelle de sécurité de l'information doit être définie, maintenue et suivie en permanence par toutes les entités concernées. Des mesures d'application, telles que des audits et des sanctions en cas de non-conformité, peuvent être nécessaires.