Programme AIS (Account Information Security)

Informations générales

Nouvelles normes de sécurité relatives à la conservation et au traitement d’informations délicates sur les titulaires de cartes

Les paiements par cartes de crédit jouissent d’une popularité croissante. La confiance des consommateurs en ce mode de paiement repose sur la protection des données de transactions et des informations présentes sur les cartes de crédit. Visa souhaite développer et renforcer cette confiance, aussi bien du côté consommateur que côté commerçant. C’est pourquoi la sécurité a toujours été au centre de ses préoccupations. En ce sens, les programmes de recommandations contre les abus ou de prévention contre les fraudes ne sont pas nouveaux.

Téléchargement – fichier PDF

Pour plus d’informations à ce sujet, téléchargez ce fichier PDF : AISProgramme.pdf (747kB)

Les consommateurs ne sont pas les seuls à profiter d’un renforcement de la sécurité; les répercussions sont aussi favorables aux commerçants. En effet, des clients satisfaits génèrent un chiffre d’affaires supérieur, les pertes relatives aux fraudes réduisent progressivement et le volume des réclamations peut être diminué.

Fonction du programme AIS (Account Information Security)

Visa Inc. introduit le programme AIS dans le courant de l’année 2000. Un an après, elle le met en œuvre dans le monde entier. L’objectif du programme AIS est de soutenir les banques partenaires, les commerçants et les prestataires de services de tous les horizons pour leur permettre de traiter avec une plus grande sécurité les données sensibles des cartes et transactions. Le programme définit des exigences de sécurité pour le traitement, l’enregistrement et la surveillance de données confidentielles. Cela doit permettre d’identifier des lacunes au sein des systèmes de sécurité en place et d’éviter d’éventuels dommages.

Normes de sécurité relatives aux données PCI (Payment Card Industry) : définition

Pour pouvoir mettre en œuvre une procédure de respect des exigences de sécurité cohérente, les organismes Visa et MasterCard se sont mis d’accord sur des normes communes. Celles-ci sont regroupées sous l’appellation « Payment Card Industry (PCI) Data Security Standards » (normes de sécurité relatives aux données du secteur de paiement par carte). Elles sont valables pour l’ensemble du secteur de paiement par carte.

La méthodologie relative à la protection des données PCI comprend douze points auxquels il convient de s’assurer que les prestataires de services et les points d’acceptation Visa se tiennent.

  • L’installation et l’actualisation régulière d’un pare-feu pour protéger les données.
  • L’interdiction d’utiliser des valeurs antérieures (côté fournisseur/fabricant) pour les mots de passe système et autres paramètres de sécurité.
  • La sécurisation des données enregistrées et le fait de ne pas enregistrer de données inutiles liées aux transactions et cartes, telles que les numéros de cartes complets, les données figurants sur les pistes magnétiques, les cryptogrammes visuels (CVV2 – code de vérification) ou NIP.
  • Le transfert crypté des informations sur le titulaire de la carte et autres données personnelles dans les réseaux publics.
  • L’installation et l’actualisation régulière d’un logiciel antivirus.
  • Le développement et l’utilisation de systèmes et applications plus sécurisés.
  • La limitation de l’accès aux données, réservé uniquement à des fins commerciales.
  • L’attribution d’un identifiant personnel à chaque personne ayant accès au système informatique.
  • La réduction des droits d’accès aux données personnelles des titulaires de cartes.
  • Le suivi et la surveillance des accès aux ressources réseau et aux données des titulaires des cartes.
  • La vérification régulière des systèmes de sécurité et du déroulement des processus.
  • La mise en place dans l’entreprise de lignes directrices régissant la sécurité des informations.

Signification des normes de protection des données PCI pour les partenaires Visa

Les commerçants et prestataires de services doivent s’engager à respecter les normes de protection des données PCI lors du traitement des données relatives aux cartes et aux transactions. Concrètement, cela signifie qu’ils doivent passer par un processus de certification que supervise une entreprise agréée par Visa et MasterCard.

Les programmes Visa AIS (Account Information Security) et MasterCard (Site Data Protection – SDP) ne disparaissent pas pour autant. Toutefois, les normes de protection des données PCI comprennent des exigences de vérification des deux programmes, pour que commerçants et prestataires de services puissent passer une seule fois la certification pour les deux systèmes de cartes, les normes étant communes et cohérentes.

Le contenu et le mode de certification dépendent du volume mensuel des transactions et de la nature de celles-ci (transactions standard, e-commerce ou téléphoniques/par correspondance – commandes par téléphone/par la poste).

Tableau des exigences par volume et nature des transactions :

Volume des transactions par an Transactions standard/commandes - transactions téléphoniques / postales, transaction e-commerce Vérificationannuelle sur place Contrôle de sécurité trimestriel Renseignements personnels sous forme d’un questionnaire
lus de 6 millions Toutes/td> Obligatoire Obligatoire
Moins de 6 millions Transactions standard / commandes - transactions téléphoniques / postales, Conseillé Conseillé
Entre 20 000 et 6 millions E-commerce Obligatoire Obligatoire
Moins de 20 000 millions de Transactions E-commerce Conseillé Conseillé

Respect des normes PCI - démarrage du processus de certification: marche à suivre

Nous vous conseillons de procéder comme suit :

  • Lisez des informations plus détaillées (en anglais) sur le programme AIS sous www.visaeurope.com/acceptingvisa/ais.jsp ou en téléchargeant le «PCI Data Security Standards Guide».
  • Nous conseillons aux partenaires Visa et aux membres de leur personnel ayant affaire à des transactions de paiement de se familiariser avec les normes PCI et de les mettre en œuvre dans l’entreprise.
  • Entrez en contact avec votre banque partenaire pour obtenir de plus amples informations sur le processus de certification.
  • Préparez/exécutez les mesures citées ci-dessus (voir tableau), quel que soit le volume de transactions.
  • Introduisez des mesures correctives en cas d’identification éventuelle de déficiences ou de faiblesses du système de sécurité.
  • Assurez-vous, une fois que les normes PCI ont été mises en œuvre, qu’elles continuent d’être respectées.

Votre banque partenaire, avec laquelle vous avez conclu un contrat d’acceptation des cartes Visa, vous aidera et répondra à vos questions sur ce sujet et sur la certification.