Tenez-vous informé des normes de sécurité

Le Programme de sécurité des informations des détenteurs de cartes (CISP) de Visa est un programme de conformité visant à protéger les données des détenteurs de cartes Visa en veillant à ce que les clients, les commerçants et les prestataires de services respectent les normes les plus élevées en matière de sécurité des informations.

Le Conseil des normes de sécurité PCI (SSC) détient, conserve et gère les PCI DSS et tous ses documents connexes ; toutefois, Visa gère l’ensemble des initiatives de validation et de mise en œuvre de la conformité en matière de sécurité des données.  

Issuers and acquirers are responsible for ensuring that all of their service providers, merchants, and merchants’ service providers comply with the PCI DSS requirements.

Merchant compliance validation has been prioritized based on the volume of transactions, the potential risk, and exposure introduced into the payment system.

Issuer and acquirers must ensure all their Level 1 and Level 2 service providers demonstrate PCI DSS compliance at the time of Third Party Agents (TPA) registration and every 12 months thereafter.

Learn about service provider compliance

Les acquéreurs doivent s’assurer que leurs commerçants valident au niveau qui convient et obtenir d’eux la documentation requise sur la validation de la conformité. Les banques commerçant et les commerçants doivent également vérifier les exigences de conformité en matière de déclaration des autres marques de carte de paiement pouvant nécessiter une preuve de la validation de la conformité.

Les prestataires de services de niveau 1 qui ne sont pas directement connectés à Visa sont tenus de mener l’évaluation de sécurité des données PCI sur site et de transmettre à Visa une attestation signée de conformité (AOC), portant la signature du prestataire de services et de l’évaluateur de sécurité qualifié (QSA). Les prestataires de services de niveau 2 doivent envoyer un formulaire de questionnaire d’autoévaluation signé (SAQ-D) ou une AOC comprenant la signature du QSA. La validation de la conformité PCI DSS est requise pour qu’un prestataire de services puisse figurer sur le Registre mondial des prestataires de services de Visa (le Registre).

En savoir plus sur la documentation requise

Les Règles fondamentales Visa et les Règles Visa relatives aux produits et services régissent les activités des établissements financiers clients et, par extension, des prestataires de services et des commerçants en tant que participants au système de paiement Visa.

Il appartient aux émetteurs et aux acquéreurs de veiller à la conformité PCI DSS de leurs prestataires de services et commerçants, y compris les prestataires de services sollicités par le commerçant. Un prestataire de services et un commerçant doivent être totalement conformes à tout moment. (Chapitre du VCR ID n°0002228 et n°0008031)

Si un prestataire de services ne respecte pas les PCI DSS ou ne règle pas un problème de sécurité, Visa peut transmettre une évaluation de non-conformité à l’émetteur ou à l’acquéreur. L’émetteur ou l’acquéreur est tenu de payer toutes les évaluations et ne doit pas déclarer que Visa a imposé une évaluation au prestataire de services ou au commerçant. (Section VCR ID n°0001054)

Les acquéreurs peuvent contacter Visa Risk en écrivant à [email protected] pour en savoir plus.

Le 1er janvier 2008, Visa a mis en œuvre une série de mandats pour éliminer l’utilisation des applications de paiement vulnérables du système de paiement Visa. Ces mandats nécessitent des acquéreurs qu’ils veillent à ce que leurs commerçants et agents n’utilisent pas des applications de paiement connues pour conserver des données sensibles du détenteur de carte (c.-à-d. les données complètes de la bande magnétique, les données CVV2 ou PIN) et qu’ils demandent l’utilisation d’applications de paiement conformes à la PA-DSS.

Mandats de sécurité

FAQ mandats de sécurité

Si beaucoup de fournisseurs d’applications de paiement ont déployé des applications de paiement conformes à la PA-DSS, l’inquiétude grandit par rapport au fait que des mises à jour de logiciels de paiement ne sont pas régulièrement développées pour veiller à ce que des vulnérabilités connues ne soient par réintroduites. En outre, il existe des préoccupations quant à l’absence de sécurité dans la mise en œuvre des logiciels de paiement sur les sites clients.

La fragilisation des commerçants et des agents montre qu’un certain nombre de sociétés d’applications de paiement ont de mauvaises pratiques en matière de logiciels lorsqu’elles installent des applications et systèmes de paiement, aident les clients à utiliser des identifiants d’accès faibles, partagés ou par défaut, et gèrent les sites des clients en utilisant des outils de gestion à distance dont la mise en œuvre est médiocre. Des criminels peuvent tirer parti de ces vulnérabilités et obtenir un accès aux environnements du détenteur de la carte.

Visa a développé un ensemble de meilleures pratiques pour aider les sociétés d’applications de paiement à traiter les processus critiques liés aux logiciels. Dans le cadre de leurs contrôles préalables, les acquéreurs, les commerçants et les agents doivent s’assurer que les sociétés d’applications de paiement qu’ils sollicitent se sont soumises à des processus de logiciels rigoureux et éprouvés.

Les dix meilleures pratiques de Visa pour les sociétés d’applications de paiement

Visa s’est aperçue que certaines applications de paiement sont conçues par des fournisseurs de logiciels pour stocker les données sensibles des détenteurs de cartes (c.-à-d. l’intégralité des données de la bande magnétique, les données CVV2 ou PIN) suite à l’autorisation de la transaction. Le stockage de ces éléments de données du détenteur de la carte est en violation directe des PCI DSS et des règles de Visa. Les criminels ciblent les commerçants et les agents qui utilisent ces applications de paiement vulnérables, et exploitent ces vulnérabilités en matière de sécurité pour trouver et subtiliser les données des détenteurs de cartes.

Visa alertera les interlocuteurs clés, y compris les acquéreurs, pour les aider à atténuer les fragilités, selon les besoins, en fournissant une liste des applications de paiement vulnérables. Si vous découvrez une application de paiement vulnérable et que vous avez des informations précises sur le fournisseur de l’application de paiement, la version de l’application, l’emplacement de stockage des données sensibles des détenteurs de cartes et les coordonnées du fournisseur, veuillez en informer Visa par e-mail à l’adresse [email protected]. Toutes les informations fournies seront vérifiées via le fournisseur de logiciel, et Visa ne révélera à aucun fournisseur de logiciel la source des informations ni ne communiquera des informations qui révéleraient l’identité de la source.

Contactez Visa

En 2005, Visa a élaboré les meilleures pratiques en matière d’applications de paiement (Payment Application Best Practices, PABP) afin de fournir des conseils aux fournisseurs de logiciels pour qu’ils développent des applications de paiement qui aident les commerçants et les agents à atténuer les fragilités, empêcher le stockage des données sensibles des détenteurs de cartes (c.-à-d. l’intégralité des données de la bande magnétique, les données CVV2 ou PIN) et afin qu’ils se conforment globalement aux PCI DSS. En 2008, le Conseil des normes de sécurité PCI a adopté les PABP de Visa et a publié la norme PA-DSS. Le PA-DSS remplace à présent les PABP en vue du programme de conformité de Visa.