Il est désormais établi que même si une entreprise n’a pas l’obligation d’être certifiée PCI DSS, il est fortement conseillé de mettre en œuvre autant de normes que possible pour assurer la sécurité des données.

On estime qu’un revendeur par semaine subit un acte de piratage en France. Certains vont même jusqu’à parler d’un piratage par jour. Bien que l’on s’imagine souvent que seules les grandes entreprises sont menacées, des études montrent que les atteintes à la sécurité des données sont une réalité statistique. En réalité, l’atteinte à la sécurité de toutes les entreprises se fait à un point donné, et si vous n’avez pas mis en place les mesures de sécurité appropriées, vous pouvez tout perdre.

Neira Jones, directrice du service sécurité des paiements chez Barclaycard, déclare que les coûts liés à la fraude d’identité s’élèvent à plus de 3,5 milliards d’euros chaque année et affectent plus de 1,8 million de personnes. Les entreprises que les utilisateurs perçoivent comme ne prenant pas la sécurité au sérieux risquent fort de se mettre les clients à dos. Une organisation spécialisée peut aider les sociétés dans ce domaine et, par conséquent, contribuer à préserver la réputation de celles qui ont des données à protéger. Ces sociétés sont, par exemple, les QSA, les hébergeurs et les professionnels réalisant des tests d’intrusion.

Le fait est que la norme PCI DSS a été conçue pour durer, et il est probable qu’une mise en application beaucoup plus rigoureuse soit de mise à partir de 2012. Les commerçants qui détiennent des données bancaires seront contraints d’obtenir la certification. Même les commerçants qui utilisent une passerelle de paiement doivent vérifier attentivement les mesures de sécurité en place, afin de s’assurer qu’ils ne sont pas victimes d’un piratage et que la réputation de leur entreprise n’est pas compromise. En travaillant en partenariat avec un hébergeur spécialisé, les commerçants pourront obtenir la certification aussi rapidement et simplement que possible. Les commerçants qui ne cherchent pas une certification complète y trouveront également leur compte, dans la mesure où ils pourront mettre en œuvre des processus et des méthodes optimisés en termes de sécurité des données. Pour le commerçant, le fait de travailler avec le bon QSA et d’établir de bonnes relations dès le départ permet de garantir que son propre projet de certification PCI/sécurité se déroulera sans problème ; le prestataire, quant à lui, renforce sa position pour aider ses clients à faire de même.

Un grand nombre d’hébergeurs se déclarent certifiés PCI. C’est peut-être vrai, mais la plupart ne couvre que la première des 12 exigences PCI DSS, qui se rapporte à la sécurité physique du data centre. La norme PCI ne se résume pas simplement à la sécurité du data centre, et les entreprises doivent prendre conscience que cette seule exigence ne garantit en aucun cas la sécurité des données de leurs clients.

Par William Sargent, New Business Manager chez NetBenefit.