Pour partenaires affiliés
Pourquoi était-il nécessaire d’émettre de nouvelles normes de sécurité comme SDP et AIS?
Les cas de piraterie dans lesquels des personnes se sont introduites de façon illégale dans de grands systèmes informatiques pour relever des données ont augmenté ces dernières années. Les millions de données de cartes qui ont ainsi été volées ont partiellement été utilisées par les pirates pour commettre des escroqueries. D’où des dommages considérables pour les titulaires de cartes, les commerçants, les émetteurs de cartes et les acquéreurs.
Grâce aux programmes Account Information Security (AIS) de Visa et Site Data Protection (SDP) de MasterCard, il est possible de faire face de manière efficace à cette menace croissante à deux niveaux:
- Les données des titulaires de cartes sont mieux protégées.
- Les commerçants qui acceptent les cartes et leurs fournisseurs de services qui transmettent, traitent et stockent les données de cartes sont tenus de prendre des mesures de précaution efficaces en matière de sécurité des données.
Que contiennent les programmes SDP et AIS?
Les programmes SDP et AIS formulent les directives des principales organisations de cartes, concernant la sécurité lors de la transmission, du traitement et du stockage des données de cartes. Ces directives reposent sur les normes de sécurité PCI (Payment Card Industry Data Security Standard).
Qui doit suivre les directives SDP et AIS?
Il est obligatoire de respecter les directives SDP et AIS pour tous les partenaires affiliés et leurs tiers mandataires qui transmettent, traitent ou stockent des données de cartes.
Qu’est-ce qu’un tiers mandataire?
Un tiers mandataire (aussi appelé Data Storage Entities ou DSE) désigne, entre autres, les fournisseurs de services financiers (Payment Service Provider), les exploitants d’un site marchand (Webshop) et les partenaires de sous-traitance (Outsourcing Partner) pour la gestion des systèmes informatiques.
La certification doit-elle être demandée par tous les partenaires affiliés et tiers mandataires?
Pour rendre l’application des directives plus efficace et se concentrer sur les grands risques, une certification spéciale servant de preuve du respect des directives n’est exigée que pour les partenaires affiliés traitant plus de 20'000 transactions de commerce électronique par année dans un système de cartes.
Toutefois, les partenaires affiliés sont dans tous les cas tenus de mandater uniquement des tiers également certifiés pour SDP et AIS.
L’obligation de certification s’applique de manière générale aux prestataires de services qui se chargent de la transmission, du traitement ou du stockage de données de cartes sur mandat des partenaires affiliés.
Pour plus de détails, veuillez vous adresser à SIX Multipay ou une entreprise de sécurité.
Que suppose une certification pour les partenaires affiliés?
Pour obtenir la certification, les partenaires affiliés doivent prouver qu’ils respectent les directives de sécurité SDP et AIS. Pour ce faire, il doivent répondre une fois par année à un questionnaire de sécurité et à une vérification de sécurité (Security Scan) trimestrielle de la part d’une entreprise de sécurité accréditée.
Si un partenaire affilié ne transmet, ne traite et ne stocke aucune donnée de carte dans ses systèmes, il doit l’attester par écrit à SIX Multipay. La conformité SDP/AIS lui sera alors également attribuée.
Le tableau ci-après récapitule les exigences pour les différentes catégories de partenaires affiliés:
| Catégorie de partenaires affiliés |
Type de certification |
| < 20’000 transactions de commerce électronique et < 6 millions de transactions par année via tous les canaux dans un système de cartes (Visa ou MasterCard/Maestro) |
Certification: - Répondre au questionnaire de sécurité
- 1 Security Scan par an
|
| Entre 20’000 et 6 millions de transactions dans le commerce électronique par année dans un système de cartes (Visa ou MasterCard/Maestro) |
Certification: - Questionnaire de sécuritéé
- Security Scans trimestriels de la part d’une entreprise de sécurité
|
> 6 millions de transactions par année via tous les canaux de vente, y compris le commerce électronique, dans un système de cartes (Visa ou MasterCard/Maestro) ou sur demande de Visa ou MasterCard |
Certification: - On-Site Security Audit par une société de sécurité ou par un audit interne, signé par un porteur de signature de l'entreprise
- Security Scans trimestriels de la part d’une entreprise de sécurité
|
Veuillez noter qu’en cas d’obligation de certification, vous ne serez réellement certifié SDP qu’au moment où votre Acquirer aura annoncé à MasterCard que vous l’êtes. Les frais s’élèvent à USD 200.- par année.
Combien coûte une certification?
Pour un partenaire affilié, la certification coûte environ CHF 15'000.–. Les éventuelles modifications qui devront être apportées aux systèmes IT ne sont pas comprises dans cette estimation de prix.
Qui supporte les frais de certification?
Les frais de certification sont à la charge du partenaire affilié.
Que se passe-t-il si un partenaire affilié ou un tiers mandataire ne demande pas de certification?
Une non-certification ou la passation de mandats à un tiers non-certifié lorsque cela est obligatoire constitue une violation grave des obligations du partenaire affilié selon les conditions générales et les conditions particulières des contrats conclus avec SIX Multipay et un motif de résiliation avec effet immédiat du contrat. Le cas échéant, SIX Multipay se réserve en outre le droit de rendre les commerçants concernés responsables de toutes les amendes des organisations de cartes et demandes en dommages-intérêts des émetteurs de cartes.
A qui dois-je m’adresser en tant que partenaire affilié pour obtenir une certification?
En règle générale, auprès de l’entreprise de sécurité de votre choix. Vous trouverez ici une sélection d'entreprises de sécurité accréditées.
A quoi sert le questionnaire pour l’autoévaluation (Self Assessment) des mesures de sécurité?
Les partenaires affiliés qui désirent obtenir une certification doivent remplir un questionnaire de sécurité SDP/AIS détaillé. Le temps requis pour répondre aux questions est estimé à une heure environ. Les réponses doivent ensuite être évaluées par une entreprise de sécurité en vue de la certification.
Qu’est-ce qu’un Security Scan?
Un Security Scan est une attaque «amicale» de la part de l’entreprise de sécurité mandatée des données de cartes stockées dans les systèmes informatiques afin de détecter les failles. Suivant le volume d’affaires, le nombre de transactions annuelles et la marque de cartes, cette opération doit être renouvelée une fois par an ou tous les trois mois. La date de chaque Security Scan est convenue avec le partenaire affilié.
Qu’est-ce qu’un On-Site Security Audit?
Une inspection in situ est réalisée par une entreprise de sécurité ou par un audit interne pour les très grands partenaires affiliés – plus de six millions de transactions par année et marque de carte dans le commerce de présence et de distance – ou ceux pour qui la sécurité constitue un point critique, ainsi que pour les tiers mandatés (Service Providers).
Que se passe-t-il si des problèmes de sécurité sont constatés lors du processus de certification?
L’insuffisance des moyens de protection doit dans ce cas être résolue par le partenaire affilié. Des vérifications a posteriori sont également effectuées par l’entreprise de sécurité si nécessaire et facturées le cas échéant au partenaire affilié.
Qui a un droit de regard sur les informations relatives à la certification?
Seuls l’entreprise de sécurité et le partenaire affilié ont accès à toutes les informations durant le processus de certification.
SIX Multipay reçoit uniquement une évaluation générale du partenaire affilié de la part de l’entreprise de sécurité.
L’organisation de cartes reçoit uniquement une analyse statistique.
Quels sont les fournisseurs de services financiers (Payment Service Provider) recommandés par SIX Multipay?
Où puis-je obtenir d’autres informations sur AIS et SDP?
Vous trouverez plus d’informations sur SDP et AIS à l’adresse www.secure-ecommerce.ch ou sur les sites Web des entreprises de sécurité accréditées.
