PCI DSS : la responsabilité des banques vis-à-vis des commerçants

Rendu obligatoire en juillet 2015, le standard PCI DSS (Payment Card Industry Data Security Standard), est un ensemble de politiques et de procédures largement acceptées visant à optimiser la sécurité des transactions par carte de crédit, de débit et de paiement et à protéger les titulaires de carte contre l'utilisation abusive de leurs renseignements personnels. Le PCI DSS a été créé en 2004 par quatre grandes sociétés émettrices de cartes de crédit : Visa, MasterCard, Discover et American Express.

PCI DSS : la procédure à adopter

Imposé par l’industrie des cartes bancaires, le standard PCI DSS s’applique à toute entreprise, indépendamment de sa localisation ou de sa taille, qui gère, traite ou stocke des données de cartes de crédit. Être en conformité avec la norme PCI DSS aide toutes les parties prenantes à se protéger contre les brèches portant atteinte à la sécurité des données, tout en renforçant la confiance des consommateurs et en préservant l’intégrité générale du système de paiement. Cette définition englobe donc aussi bien les banques que les commerçants, ou encore les prestataires de service de paiement (PSP), qui ont de ce fait des comptes à rendre devant les réseaux émetteurs de cartes.

Des commerçants aux profils variés :

Tous les commerçants ne présentent pas le même profil vis-à-vis du standard, et ne font donc pas face aux mêmes obligations. PCI DSS distingue quatre catégories, dont la plus élevée regroupe les marchands effectuant plus de six millions de transactions annuelles sur un réseau. Ces sociétés doivent impérativement obtenir une certification PCI DSS, délivrée à l’issue d’un audit au cours duquel l’intégralité des points de contrôle est vérifiée. Les petits commerçants n’ont pas d’obligation de certification. Leur conformité est justifiée par le biais d’un processus déclaratif, matérialisé par un questionnaire d’auto-évaluation (Self Assessment Questionnaire, SAQ). Ce questionnaire, complété chaque année, permet d’attester que l’ensemble des points de contrôle de la norme est respecté par le commerçant. À lire : RGPD : se mettre en conformité

Banques commerçantes : des responsabilités différentes

Toutefois, les acteurs concernés n’ont pas tous les mêmes responsabilités vis-à-vis de la norme. Si la conformité des commerçants doit être justifiée chaque année auprès de Visa et MasterCard, ce n’est pas le cas de la banque, qui n’est pas tenue de réaliser un reporting régulier sur sa propre situation. Elle est en revanche responsable de celle de ses commerçants, autrement dit sa clientèle professionnelle. En effet, la déclaration des commerçants demeure du ressort de la banque, qui s’expose en cas de non-conformité ou de compromission chez l’un de ses clients à des pénalités financières.

Les banques garantes de leur clientèle professionnelle

La banque est responsable de la déclaration de l’ensemble de ses commerçants auprès des réseaux. Si les marchands les plus conséquents sont susceptibles d’être d’autant plus réceptifs, voire demandeurs, de cette démarche PCI DSS, ce n’est pas nécessairement le cas des commerçants peu exposés, en règle générale également peu sensibles aux questions de sécurité. Il appartient alors à la banque d’accompagner le commerçant, en lui faisant dans un premier temps comprendre les enjeux portés par la sécurisation des données. L’objectif est que le marchand intègre la protection des données comme vecteur de sécurisation de son business, lui permettant de continuer à travailler en acceptant les moyens de paiement Visa et MasterCard, et de développer la confiance de sa clientèle. À lire : la politique de sécurité informatique dans une entreprise

Des experts aux côtés des banques pour un meilleur suivi client

La multiplicité des profils au sein d’un portefeuille client proscrit l’adoption d’une réponse unique. Pour satisfaire l’ensemble des acteurs impliqués, une stratégie portant sur la déclaration de chaque client doit ainsi être mise en œuvre. La stratégie adoptée doit donc se construire sur la base des profils commerçants, pouvant être modélisée suivant deux paramètres :

• Exposition au risque : le commerçant est d’autant plus exposé qu’il réalise un grand nombre de transactions par cartes à l’année, et qu’il est au contact de ces données (par exemple en les stockant sur son système d’information, ou en portant certaines fonctions de paiement en interne).

• Maîtrise des exigences PCI DSS : le commerçant a un niveau de maîtrise d’autant plus important qu’il est en mesure d’allouer les ressources nécessaires à la démarche de mise en conformité, et qu’il manifeste sa volonté de se conformer aux règles du standard.

En définitive, la meilleure réponse que puisse apporter une banque à la question PCI DSS repose sur une approche pragmatique. Connaître son portefeuille client et identifier les risques portés par chacun d’entre eux doit permettre de répartir au mieux les moyens à consacrer à leur mise en conformité. Nomios peut vous aider à mettre en place une politique de gestion des risques ainsi que dans l’installation de solutions de sécurité nécessaire à votre certification PCI DSS. Contactez-nous !