Quels sont les impacts du protocole PCI-DSS pour les organismes sans but lucratif ?

Décryptage avec Victor Matias, expert risque opérationnel, cybersécurité et SSI à La Banque Postale.

En quoi consiste la réglementation PCI DSS ?

Les normes PCI-DSS sont un standard de sécurité des données de cartes bancaires. Il a été créé fin 2004 par le PCI Standards Council à l’initiative des cinq principaux réseaux de cartes mondiaux : VISA, Mastercard, American Express, Discover et JCB (Japan Credit Bureau).

Sa mise en place est applicable depuis 2006 et concerne toutes les entités qui manipulent ou stockent des données de carte bancaire. Ces entités doivent s’assurer qu’elles répondent aux exigences des standards PCIS DSS. L’obligation de mise en place comporte deux phases :

D’une part la mise en conformité du système d’information (SI) qui doit répondre aux exigences de ces standards.
D’autre part, le maintien du niveau de sécurité pendant la durée de vie du système d’information et nécessitant une revue annuelle de la conformité.

Quels sont les impacts de ces standards pour les associations et les fondations ?

S’il y a traitement ou stockage de données de carte bancaire, les entités qui les stockent ou les manipulent, y compris les associations et fondations, doivent s’assurer que le traitement de ces données est conforme aux exigences imposées par les standards PCI-DSS.

Les directives PCI DSS publiées en 2004 ont défini que le niveau de conformité dépend du nombre annuel de transactions. 4 niveaux de conformité sont ainsi définis :

Niveau 1 :

Les entités de niveau 1 sont celles qui traitent plus de 6 millions de transactions par carte par an. C’est le niveau de conformité PCI le plus strict des quatre niveaux. Les entités doivent compléter un rapport annuel de conformité (RoC) validé par un Auditeur de Sécurité Qualifié certifié PCI-DSS (Qualified Security Assessor ou QSA), personne physique venant d’une entité elle aussi certifiée.

Niveau 2 :

Les entités de niveau 2 sont celles qui traitent entre 1 à 6 millions de transactions par carte par an. Elles ne sont pas tenues de réaliser un audit annuel de conformité mené par un QSA, mais elles doivent remplir un questionnaire d’autoévaluation « SAQ » pour s’assurer qu’elles répondent aux exigences du niveau. Il est possible qu’une attestation délivrée par une société reconnue leur soit demandée.

Niveau 3 :

Les entités de niveau 3 traitent de 20 000 à moins de 1 million de transactions par an. Elles doivent remplir un questionnaire SAQ. Elles doivent également effectuer des analyses trimestrielles et remplir une attestation de conformité dite AoC.

Niveau 4 :

Les entités de niveau 4 traitent moins de 20 000 transactions par an et sont soumises aux exigences les moins strictes de tous les niveaux et doivent seulement remplir le questionnaire SAQ.

La conformité à ces normes PCI DSS est déjà embarquée lorsque l’entité passe par une solution tierce d’encaissement et d’acceptation de vente à distance, comme celles qui sont proposées par les banques. Les solutions de vente à distance fournies sont alors déjà certifiées et répondent aux exigences à leur mise en place. Le maintien à jour est fait par le fournisseur de la solution.

Quels seraient les points d’attention et conseils que vous pourriez formuler ?

La mise en conformité et le maintien d’un système d’information permettant le traitement et le stockage des données de carte bancaire aux nomes PCI DSS est très contraignante et coûteuse pour une structure. Les organismes sans but lucratif (OSBL) ont donc tout intérêt à passer par une solution tierce déjà certifiée pour l’acceptation des paiements par carte bancaire, ce qui est le cas des solutions d’encaissement et de vente à distance proposées par les banques et établissements financiers. Par ailleurs, il est conseillé pour l’OSBL de s’assurer auprès de son prestataire que ce dernier propose des solutions bien conformes aux standards PCI DSS.

Article écrit par Victor Matias, expert risque opérationnel, cybersécurité et SSI à La Banque Postale.