Bienvenue sur Inforisque le média santé et sécurité au travail le plus suivi de France
bannière antivol d'extincteur
Accueil Actualités PCI-DSS, l'oligopole des moyens de paiement
Retour aux articles S'inscrire à la Newsletter

PCI-DSS, l'oligopole des moyens de paiement

Publié le

Classé dans la catégorie : Risques informatiques

PCI-DSS est une collection de règles de sécurité imposée aux entreprises qui utilisent les données situées sur les cartes bancaires.
Ces règles ne s'appliquent que dans le périmètre qui utilise ces données issues des cartes bancaires, donc généralement un périmètre limité dans un système d'information correctement architecturé.

Plus personne ne peut se passer du payement par carte. Visa et ses amis constituent un oligopole, c'est-à-dire un monopole à quelques-uns. C'est cet oligopole qui impose la conformité PCI-DSS. Ils sont réunis dans le PCI-SSC, Payement Card Industry Security Standards Council, (www.pcisecuritystandards.org).
Visa et ses amis sont propriétaires des données issues des cartes. Ils imposent donc des règles de sécurité à ceux qui les utilisent.

Certaines entreprises gardaient bêtement les numéros de carte de leurs clients "au cas ou", sans aucune gestion de la sécurité de l'information, parfois dans des fichiers de tableurs traînant sur des serveurs web. Beaucoup d'applications comme les parkings gardaient les numéros de carte là où un condensat leur suffirait. Malheureusement ils ont préféré revenir aux tickets à l'entrée et à la sortie. Il est donc indiscutable que certains utilisateurs des données des cartes n'étaient pas suffisamment sérieux et cette mauvaise gestion de quelques uns rejaillissait suite aux fraudes ou aux vols de numéros de cartes, dans une mauvaise image qui affecte aussi les émetteurs de cartes Visa et leurs amis. Concrètement, les gros incidents ont tous été aux USA, siège de notre oligopole.

Cependant, la conformité PCI-DSS peut amener à réfléchir sur le fond : d'une part sur le modèle de confiance que l'oligopole impose, et d'autre part sur le modèle économique qu'il instaure.

Avec la conformité PCI-DSS, l'auditeur, l'inspecteur devrais-je dire, est co-responsable de l'occurrence d'une fraude sur un site qu'il a audité. Visa et ses amis se défaussent de leur rôle de tiers de confiance sur leur système de payement. De plus ils ne donnent finalement plus à celui qui détient la donnée confidentielle toute sa responsabilité. La collection de règles de sécurité de PCI-DSS ne sont pas toujours applicables donc elles imposent aux auditeurs d'adapter ces règles aux situations. Même une approche purement conformité comme PCI-DSS a besoin d'introduire des notions d'amélioration continue, et de se mettre en perspective avec les risques. Cela revient à mettre en oeuvre l'ISO 27001 qui démarre par une appréciation des risques sur ses actifs. Les retours d'expérience de nos clients montrent que la mise en oeuvre d'un SMSI selon l'ISO 27001 avec les données issues des cartes bancaires en actif primordial et les règles PCI-DSS dans sa déclaration d'applicabilité facilite l'atteinte de la conformité PCI-DSS. Rien n'est incompatible entre les deux référentiels.

Chaque année la limite en nombre de transactions baisse, limite au-delà de laquelle la conformité PCI-DSS est imposée. Donc de plus en plus de marchands doivent soit ne plus utiliser les données carte en sous-traitant à un fournisseur de services de payement, soit se conformer à PCI-DSS (voir les niveaux largement détaillés sur Internet). Les banques et marchands qui se conforment payent des audits facturés très cher. Ceux qui font les audits payent des assurance en responsabilité civile hors de prix. Ils payent aussi très chers leurs consultants pour qu'ils ne se fassent pas débaucher par les clients qui veulent être conformes. HSC a tenté deux années de suite de s'inscrire sans succès aux formations officielles, puis à force de chercher une formation PCI-DSS pour y envoyer ses consultants, a dû en organiser lui-même, avec une des sociétés possédant des auditeurs certifiés (QSA) : http://www.hsc.fr/services/formations/essentiel_pcidss.html.fr
Je vous rassure : nous ne facturons pas plus cher les formations PCI-DSS ou les accompagnements vers la conformité PCI-DSS que les autres prestations. Enfin au sommet, Visa et ses amis eux, sont de moins en moins responsables, ils prennent de moins en moins de risques, ils payent de moins en moins d'assurance, et ils gagnent de plus en plus.

C'est comme si un jour Google (search, mail, doc, apps, etc.) devenait un monopole dont vous ne pourriez vous passer, et qu'en tant que propriétaire des données enregistrées dans vos cookies, Google vous obligerait à sécuriser votre PC pour continuer à l'utiliser, et à payer pour ça par exemple un GoogleOS. Cela serait le même modèle que celui de Visa et ses amis :-)

Auteur : Editorial - Hervé Schauer, HSC

Pour réagir, connectez-vous !

Article précédent

Image actualité

L'insuffisance de l'évaluation des risques professionnels

02/02/2009

Article suivant

Le ministère de la Justice américain coupable de phishing

03/02/2009

Image actualité

Les derniers produits : Toutes les categories