Programme AIS (Account Information Security)
Informations générales
Nouvelles normes de sécurité relatives à la conservation et au
traitement d’informations délicates sur les titulaires de
cartes
Les paiements par cartes de crédit jouissent d’une popularité
croissante. La confiance des consommateurs en ce mode de paiement
repose sur la protection des données de transactions et des
informations présentes sur les cartes de crédit. Visa souhaite
développer et renforcer cette confiance, aussi bien du côté
consommateur que côté commerçant. C’est pourquoi la sécurité a
toujours été au centre de ses préoccupations. En ce sens, les
programmes de recommandations contre les abus ou de prévention
contre les fraudes ne sont pas nouveaux.
Téléchargement – fichier PDF
Pour plus d’informations à ce sujet, téléchargez ce fichier
PDF : AISProgramme.pdf
(747kB)
Les consommateurs ne sont pas les seuls à profiter d’un
renforcement de la sécurité; les répercussions sont aussi
favorables aux commerçants. En effet, des clients satisfaits
génèrent un chiffre d’affaires supérieur, les pertes relatives aux
fraudes réduisent progressivement et le volume des réclamations
peut être diminué.
Fonction du programme AIS (Account Information Security)
Visa Inc. introduit le programme AIS dans le courant de l’année
2000. Un an après, elle le met en œuvre dans le monde entier.
L’objectif du programme AIS est de soutenir les banques
partenaires, les commerçants et les prestataires de services de
tous les horizons pour leur permettre de traiter avec une plus
grande sécurité les données sensibles des cartes et transactions.
Le programme définit des exigences de sécurité pour le traitement,
l’enregistrement et la surveillance de données confidentielles.
Cela doit permettre d’identifier des lacunes au sein des systèmes
de sécurité en place et d’éviter d’éventuels dommages.
Normes de sécurité relatives aux données PCI (Payment Card
Industry) : définition
Pour pouvoir mettre en œuvre une procédure de respect des
exigences de sécurité cohérente, les organismes Visa et MasterCard
se sont mis d’accord sur des normes communes. Celles-ci sont
regroupées sous l’appellation « Payment Card Industry (PCI) Data
Security Standards » (normes de sécurité relatives aux données du
secteur de paiement par carte). Elles sont valables pour l’ensemble
du secteur de paiement par carte.
La méthodologie relative à la protection des données PCI
comprend douze points auxquels il convient de s’assurer que les
prestataires de services et les points d’acceptation Visa se
tiennent.
- L’installation et l’actualisation régulière d’un pare-feu pour
protéger les données.
- L’interdiction d’utiliser des valeurs antérieures (côté
fournisseur/fabricant) pour les mots de passe système et autres
paramètres de sécurité.
- La sécurisation des données enregistrées et le fait de ne pas
enregistrer de données inutiles liées aux transactions et cartes,
telles que les numéros de cartes complets, les données figurants
sur les pistes magnétiques, les cryptogrammes visuels (CVV2 – code
de vérification) ou NIP.
- Le transfert crypté des informations sur le titulaire de la
carte et autres données personnelles dans les réseaux publics.
- L’installation et l’actualisation régulière d’un logiciel
antivirus.
- Le développement et l’utilisation de systèmes et applications
plus sécurisés.
- La limitation de l’accès aux données, réservé uniquement à des
fins commerciales.
- L’attribution d’un identifiant personnel à chaque personne
ayant accès au système informatique.
- La réduction des droits d’accès aux données personnelles des
titulaires de cartes.
- Le suivi et la surveillance des accès aux ressources réseau et
aux données des titulaires des cartes.
- La vérification régulière des systèmes de sécurité et du
déroulement des processus.
- La mise en place dans l’entreprise de lignes directrices
régissant la sécurité des informations.
Signification des normes de protection des données PCI pour les
partenaires Visa
Les commerçants et prestataires de services doivent s’engager à
respecter les normes de protection des données PCI lors du
traitement des données relatives aux cartes et aux transactions.
Concrètement, cela signifie qu’ils doivent passer par un processus
de certification que supervise une entreprise agréée par Visa et
MasterCard.
Les programmes Visa AIS (Account Information Security) et
MasterCard (Site Data Protection – SDP) ne disparaissent pas pour
autant. Toutefois, les normes de protection des données PCI
comprennent des exigences de vérification des deux programmes, pour
que commerçants et prestataires de services puissent passer une
seule fois la certification pour les deux systèmes de cartes, les
normes étant communes et cohérentes.
Le contenu et le mode de certification dépendent du volume
mensuel des transactions et de la nature de celles-ci (transactions
standard, e-commerce ou téléphoniques/par correspondance –
commandes par téléphone/par la poste).
Tableau des exigences par volume et nature des
transactions :
|
Volume des
transactions
par an
|
Transactions standard/commandes -
transactions téléphoniques / postales,
transaction e-commerce
|
Mesures
|
|
Vérification
annuelle sur place
|
Contrôle de sécurité
trimestriel
|
Renseignements personnels
sous forme
d’un questionnaire
|
|
Plus de 6 millions
|
Toutes
|
Obligatoire
|
Obligatoire
|
|
|
Moins de 6 millions
|
Transactions standard /
commandes - transactions téléphoniques / postales,
|
|
Conseillé
|
Conseillé
|
|
Entre 20 000 et 6 millions
|
E-commerce
|
|
Obligatoire
|
Obligatoire
|
|
Moins de 20 000 millions de
Transactions
|
E-commerce
|
|
Conseillé
|
Conseillé
|
Respect des normes PCI - démarrage du processus de
certification: marche à suivre
Nous vous conseillons de procéder comme suit :
- Lisez des informations plus détaillées (en anglais) sur le
programme AIS sous www.visaeurope.com/acceptingvisa/ais.jsp ou en
téléchargeant le «PCI Data Security Standards Guide».
- Nous conseillons aux partenaires Visa et aux membres de leur
personnel ayant affaire à des transactions de paiement de se
familiariser avec les normes PCI et de les mettre en œuvre dans
l’entreprise.
- Entrez en contact avec votre banque partenaire pour obtenir de
plus amples informations sur le processus de certification.
- Préparez/exécutez les mesures citées ci-dessus (voir tableau),
quel que soit le volume de transactions.
- Introduisez des mesures correctives en cas d’identification
éventuelle de déficiences ou de faiblesses du système de
sécurité.
- Assurez-vous, une fois que les normes PCI ont été mises en
œuvre, qu’elles continuent d’être respectées.
Votre banque partenaire, avec laquelle vous avez conclu un
contrat d’acceptation des cartes Visa, vous aidera et répondra à
vos questions sur ce sujet et sur la certification.