La Citadelle certifiée pour héberger des données de cartes de paiement.

Bandeau d'en tête
[Conformité] Obtention de la certification PCI DSS

Le 27/02/2020

La Citadelle obtient la certification PCI DSS : interview de Vincent Launay, notre responsable conformité et gouvernance.

PCI-DSS, qu'est-ce qui se cache sous cet acronyme ?


"Le Conseil des normes de sécurité PCI (Payment Card Industry) tient à jour une norme définissant les standards de sécurité (DSS –Data Security Standard) pour la gestion informatisée de toute carte de paiement.

Ce Conseil est principalement composé des établissements majeurs de fourniture de cartes de paiement tels que VISA, Mastercard ou American Express ainsi que de nombreuses organisations ou entreprises concernées (institutions financières, groupes marchands, gestionnaires, développeurs et mainteneurs de solution physique ou informatique d’utilisation de cartes de paiement...).

L’objectif principal de la norme est de définir les règles permettant de garantir la confidentialité des données associées à une carte de paiement."

 

Qui aurait intérêt à avoir veillé à sa conformité PCI DSS?


"Tous les acteurs qui offrent des services de type monétique admettant le paiement par carte bancaire sont concernés.

Le respect de la norme ou la certification n’est pas obligatoire.

Toutefois, tout dysfonctionnement de sécurité relevé par un des membres fondateurs du Conseil PCI, fournisseur de cartes de paiement, peut entraîner des pénalités, des frais de changement de cartes, jusqu’à une ‘radiation’ interdisant toute utilisation des cartes du fournisseurs (VISA, Mastercard, American Express...).

Les acteurs concernés ayant tout intérêt à avoir recours à un hébergement certifié sont les marchands ou sites marchands, les fournisseurs ou utilisateurs de services de billetterie en ligne, et plus généralement tout fournisseur de service permettant le paiement par carte.

Ces acteurs ont aussi tout intérêt à être eux-mêmes certifiés. Un point à ne pas négliger : le respect de PCI DSS aide à se conformer aux lois relatives à la sécurité et à la confidentialité des données, comme le Règlement général sur la protection des données (GDPR) : pour toute organisation, le PCI DSS a donc l'avantage de représenter des bonnes pratiques en matière de sécurité des données."

 

En quoi consiste la certification PCI DSS?


"Il existe différents niveaux de certification, allant de la protection du code PIN de la carte, des standards de sécurité des applications de gestion des paiements, jusqu’aux principes de chiffrement point-à-point apporté par les fournisseurs de service.

Les exigences PCI DSS reposent sur douze thèmescouvrant les différents niveaux de certification.

En fonction du métier et du niveau de protection pouvant être assuré sur les informations de cartes de paiement, la certification PCI DSS pourra être faite soit sur la base d’un questionnaire d’auto-évaluation (SAQ –Self-Assessment Questionnaire) soit d'un audit complet pour l’obtention d’un rapport de conformité (ROC –Report on Compliance)."

 

Comment s'est déroulée cette certification pour La Citadelle?


"Nous avons passé cette certification sur le périmètre qui concerne notre métier, à savoir l'hébergement physique des serveurs informatiques dans nos datacenters.

Cette certification PCI DSS apporte à nos clients hébergés dans nos datacenters une garantie de sécurité et principalement une assurance sur la protection des données de cartes en termes de confidentialité.

Les autres dimensions de la sécurité ne sont évidemment pas à négliger car la disponibilité ou l’intégrité des données si elles ne sont pas assurées peuvent avoir des conséquences graves pour l’entreprise jusqu’à l’interdiction de pouvoir accepter des cartes de paiement dans le commerce géré. "

 

Merci Vincent ! Interview réalisée en interne le 27 février 2020.