Les entreprises qui tiennent à jour et qui gardent en tête leurs pratiques en matière de sécurité des données réduisent le risque d’être victime de certains des types de fraudes et d’atteintes à la protection des données les plus courants.
Votre première ligne de défense valide la conformité aux normes de sécurité des données de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard, PCI DSS). Les entreprises de petite et de grande taille sont tenues de valider la conformité annuelle aux normes. Ces normes confirment que des exigences de base en matière de sécurité et des pratiques exemplaires sont en place pour traiter, stocker et transmettre les données des cartes de crédit et de débit de façon responsable.
Les criminels ont découvert que de nombreuses petites entreprises n’ont pas mis en œuvre ou n’ont pas maintenu les pratiques de sécurité de base exigées par les normes PCI DSS. Par conséquent, les attaquants cherchent de plus en plus à compromettre les environnements de petits commerçants au moyen d’attaques ciblées, qui passent souvent inaperçues pendant de longues périodes en raison d’un manque de surveillance de la part des petites entreprises.
Établir et maintenir la conformité aux normes PCI
• Pour établir et maintenir la conformité aux normes PCI DSS, il y a 12 objectifs et des exigences de base que chaque entreprise doit respecter lors de l’accès aux données de titulaires de carte et au traitement de celles-ci. De plus, la validation de la conformité est requise sur une base annuelle. Si vous ne savez pas par où commencer ou si votre validation est périmée, les équipes de soutien d’Elavon peuvent vous aider à revenir sur la bonne voie.
• La validation (et le maintien) de la conformité aux normes PCI DSS comporte une gamme de coûts. Le montant à payer en question dépend de votre niveau de commerçant, qui dépend de variables comme la taille, l’emplacement et la nature de votre organisation, le nombre de transactions par carte que vous acceptez chaque année et la façon dont vous saisissez et autorisez vos paiements par carte (c.-à-d. en personne, en ligne, sur un téléphone, etc.). Même si vous n’êtes peut-être pas enchanté d’absorber encore une fois des frais d’exploitation, les pertes financières potentielles et les dommages à la réputation qui peuvent découler de la fraude dépassent de loin les frais habituels du programme des normes PCI.
• À titre de pratique exemplaire, vous devez continuellement appliquer et surveiller les contrôles établis aux normes PCI DSS. Il est surprenant de constater que 27,9 % des petites entreprises ayant des normes PCI DSS validées ne maintiennent pas tous les contrôles qu’elles ont mis en place à l’origine, ce qui contribue de façon spectaculaire aux fraudes et aux atteintes à la protection des données les plus courantes observées aujourd’hui1.
• La validation des normes PCI DSS ne reflète qu’un seul point dans le temps. Au fur et à mesure que votre entreprise évolue (formation, politiques, processus, points de vente, technologie), vous devez prendre des précautions en matière de sécurité des données de paiement. C’est pourquoi il est essentiel de suivre les examens périodiques et de revalider votre conformité en temps opportun.
Bien que la sécurité des données soit un problème complexe, elle n’a pas besoin d’être compliquée. Elavon dispose de solutions pour faciliter la validation de la conformité aux normes PCI DSS et d’une équipe qui peut vous aider à déterminer et à résoudre les problèmes qui vous ont empêché d’établir ou de maintenir la conformité.
1 - IBM, « Security: Cost of a Data Breach report » (Sécurité : coût d’un rapport des atteintes à la protection des données), 2020.