Monétique/La sécurité
La sécurité
[modifier | modifier le wikicode]L'initiative PCI
[modifier | modifier le wikicode]PCI = Payment Card Industry
À l'origine, il s'agit de la fusion des politiques de sécurité de Visa et de MasterCard. Par la suite d'autres systèmes carte internationaux les ont rejoints : JCB, American Express et Discovery Card.
Depuis 2006 les initiatives PCI sont faites dans le cadre d'un organisme indépendant appelé le « PCI Security Standards Council », mais PCI est antérieur (2005). Par la suite, c'est essentiellement la partie PCI-DSS qui va nous intéresser.
Autre site web d'information concernant PCI
PCI-PED (Pin Entry Device)
[modifier | modifier le wikicode]Cette norme de sécurité concerne les terminaux de paiement. C'est le successeur de VISA PED.
Il assure que le code confidentiel est suffisamment protégé
PCI Data Security Standard
[modifier | modifier le wikicode]PCI-DSS (Data Security Standard) est un ensemble de douze exigences à respecter lors du traitement automatique des données des cartes bancaires. Donc PCI-DSS ne concerne que les traitements des cartes bancaires, il ne concerne pas par exemple les traitements chèques.
PCI-DSS fusionne les programmes similaires de Visa (AISP pour Account Information Security Program) et de MasterCard (SDP Site Data Protection).
Sa première version date de janvier 2005 et n'est plus valable. La version actuelle v1.1 date de septembre 2006. La version actuelle existe en français et est accompagné d'un glossaire. Une révision est planifiée pour juin 2008.
Enfin Visa fournit sur son site des listes de fournisseurs de services (SPS) certifiés PCI
MasterCard propose également sa liste de fournisseurs de services (SPS) certifiés PCI
Le mécanisme de certification pour les SPS est le suivant. Ils doivent faire appel à un organisme d'audit agréé par le 'PCI Security Standards Concil' appelé QSA (Qualified Security Assessor). La liste des QSA se trouve sur le site du PCI Security Standards Concil.
Cet organisme vérifie que toutes les exigences sont respectées, il n'y a pas d'exclusion possible d'une ou plusieurs exigences. Si c'est le cas, le QSA propose au PCI Concil la certification. La certification est valable un an.