Secteur des cartes de paiement (PCI)

LE DÉFI

Selon l’étude mondiale sur la fraude menée par l’Association of Certified Fraud Examiners (ACFE), les organisations perdent environ 5 % de leur chiffre d’affaires annuel à cause de la fraude. Bien que l’étude montre que la mise en œuvre de contrôles ciblés contre la fraude, tels que les lignes de signalement de fraude, les politiques anti-fraude et la formation des employés et de la direction à la lutte contre la fraude, est en augmentation et contribue à réduire les cas de fraude, il reste encore beaucoup de travail à faire.

Les effets de la fraude externe (par exemple, les courriels indésirables, les cybercriminels, etc.) ou de la fraude interne (par exemple, les employés internes) sur les organisations peuvent être les suivants.

L’IMPORTANCE DU PCI DSS

Pour aider les entreprises à mettre en place les protections nécessaires, le Payment Card Industry Security Standards Council a établi la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS). Il s’agit d’un ensemble d’exigences de sécurité auxquelles doivent se conformer les entreprises qui traitent des données de cartes de crédit (ou le faisant pour le compte d’une autre société). Les organisations doivent démontrer leur conformité au PCI DSS chaque année.

La conformité au PCI DSS est une étape essentielle pour toute organisation manipulant des données de cartes de crédit, car elle permet de protéger les données des clients, de prévenir les fraudes, de maintenir la confiance des clients et de renforcer la résilience organisationnelle.

COMMENT NOUS POUVONS AIDER

Que votre organisation débute avec la conformité PCI et ait besoin d’aide pour commencer ou que vous soyez prêt à respecter les exigences de la version 4.0 du PCI DSS, Richter peut répondre à vos besoins en matière de PCI.

Évaluation de préparation PCI

Si votre organisation débute en matière de conformité PCI, Richter peut identifier et documenter le périmètre de votre environnement de données des titulaires de carte : les processus de paiement utilisés, où les données des cartes de paiement sont stockées dans votre réseau, les systèmes qui interagissent avec ces données, ceux qui contribuent à leur sécurité, et les personnes responsables de ces aspects.

Une fois que nous aurons bien compris votre périmètre PCI, votre volume annuel de transactions par carte de crédit et vos canaux de paiement, notre équipe d’évaluateurs de sécurité qualifiés (QSAs) procédera à une évaluation de préparation pour identifier les lacunes qui pourraient empêcher votre conformité PCI. Comme une seule exigence non conforme entraînerait une évaluation négative, il est crucial de tout corriger avant de procéder à la validation PCI.

Services de conseil PCI

Si vous avez des questions ou des problèmes PCI à résoudre, tel que comprendre les implications PCI d’un nouveau projet ou initiative commerciale ou vérifier si vos politiques ou procédures respectent le PCI DSS, l’équipe expérimentée de QSAs de Richter peut vous accompagner.

Validation PCI – Questionnaire d’Auto-Évaluation (SAQ)

Une fois que votre organisation est prête pour la validation PCI annuelle, nous vous aiderons à choisir le SAQ approprié, déterminé en fonction de la manière dont vous acceptez et traitez les paiements par carte de crédit. Nous évaluerons votre environnement de données des titulaires de carte selon le SAQ applicable.
Notre équipe peut effectuer les activités d’évaluation en votre nom, ou si vous êtes à l’aise pour les réaliser, nous pouvons examiner votre travail et signer en tant que société QSA assistante.
Nous préparerons également l’Attestation de Conformité, à signer par un responsable de votre entreprise et Richter, attestant des résultats de l’auto-évaluation.

Validation PCI – Rapport de Conformité (ROC)

Pour les commerçants traitant plus de 6 millions de transactions par an ou les prestataires de services traitant plus de 300 000 transactions annuelles, une évaluation sur place par un QSA est requise. Celle-ci est plus approfondie que l’évaluation SAQ et aboutit à un Rapport de Conformité.
Notre équipe de QSAs expérimentés planifiera les activités d’évaluation, vérifiera le périmètre de l’environnement de données des titulaires de carte, effectuera la validation et émettra le Rapport de Conformité.

Nous préparerons également l’Attestation de Conformité, à signer par un responsable de votre entreprise et Richter, attestant des résultats de l’évaluation sur place.