En 2016, les Français ont réalisé 2.49 milliards d’euros de dons à des associations. Un élan de...
Le standard PCI-DSS (Payment Card Industry Data Security Standard) est un ensemble de normes de sécurité conçu pour protéger les informations de carte de crédit et de débit lors des transactions. Ces normes sont établies par le Payment Card Industry Security Standards Council (PCI SSC), qui regroupe les principaux acteurs de l'industrie des paiements, tels que Visa, MasterCard, American Express.
.webp?width=1200&height=675&name=filters_quality(75).webp)
La certification PCI-DSS est une obligation légale à partir du moment où votre plateforme manipule des données de cartes bancaires : numéros de carte, date d’expiration, code CVV. Cette certification couvre plusieurs aspects de la sécurité : la gestion des réseaux, la protection des données, la surveillance continue et les tests réguliers de sécurité.
Des process spécifiques liés au cycle de vie de développement sont également exigés.
Quelles actions sont mises en place par PayGreen ?
L’ensemble de la norme PCI-DSS est très dense et complexe, mais voici quelques exemples d’actions que PayGreen est tenu de mettre en place, et pour lesquelles un audit est réalisé chaque année :
- Tests d'Intrusion
Les tests d'intrusion consistent à simuler des attaques sur le système de paiement pour identifier les failles de sécurité. Ces tests, effectués par des experts certifiés en cybersécurité, permettent de repérer les vulnérabilités avant qu'elles ne soient exploitées. PayGreen réalise ces tests régulièrement et après chaque modification majeure de notre infrastructure de paiement. Les résultats des tests sont analysés, et les potentielles failles identifiées sont corrigées rapidement pour assurer une protection continue.
- Chiffrement des Données
Le chiffrement des données est une mesure de sécurité essentielle pour protéger les informations sensibles des cartes de paiement. En stockage comme en transit, les données doivent être chiffrées à l'aide de protocoles robustes pour les rendre illisibles en cas d'interception. Les méthodes de chiffrement choisies par PayGreen sont validées chaque année par l’organisme d’audit PCI-DSS. La robustesse du chiffrement choisi est une garantie que même si les données sont interceptées, elles ne pourront en aucun cas être exploitées.
- Surveillance et Journalisation
La surveillance continue et la journalisation des activités de traitement des paiements sont cruciales pour détecter rapidement toute activité suspecte. PayGreen met en place des systèmes de surveillance qui enregistrent tous les accès aux données de paiement et toutes les tentatives de modification. Les journaux sont conservés de manière sécurisée et seront étudiés lors des audits de sécurité annuels. Cette pratique permet de repérer rapidement les incidents de sécurité potentiels et d'y répondre de manière appropriée, minimisant ainsi les risques de violation de données.
- Contrôles d'Accès Stricts
Limiter l'accès aux données de carte de paiement uniquement aux employés autorisés est également un axe fondamental pour la sécurité. La certification PCI-DSS nous impose de mettre en place des contrôles d'accès stricts pour garantir que seules les personnes autorisées puissent accéder aux informations sensibles. Cela inclut la mise en œuvre de politiques de cycle de vie des mots de passe, l'attribution de rôles et de permissions spécifiques, et la revue régulière des droits d'accès pour s'assurer qu'ils sont toujours appropriés. Ces mesures nous aident à prévenir les accès non autorisés et à protéger nos données contre les menaces internes et externes.
- Mise à Jour Régulière des Logiciels
Chaque logiciel utilisé sur nos plateforme doit être régulièrement mis à jour pour inclure les derniers correctifs de sécurité. De plus, nous automatisons les actions de surveillance de CVE (vulnérabilité), celles-ci sont bloquantes dans nos process de mise en production. Ce processus, lui aussi, est audité chaque année et est une condition d’obtention de la certification PCI-DSS.
En résumé...
La sécurité des transactions est un point crucial pour toute entreprise ayant une activité en ligne. En choisissant PayGreen, vous optez pour une solution de paiement certifiée PCI-DSS qui protège les paiements de vos clients, et vous permet de vous focaliser sur l’essentiel : votre activité.
