« PCI DSS est une norme bancaire qui a pour objet de sécuriser les transactions par carte bancaire. En aucun cas c’est une invention de IATA », a commencé Jean-Marc Rozé, secrétaire général des Entreprises du voyage.
Jeudi 15 février 2018, les Entreprises du voyages (EdV), le Syndicat des entreprises du tour-operating (SETO) et l’Association professionnelle de solidarité du tourisme (APST) ont organisé conjointement une matinée d’information sur la norme PCI DSS.
La norme de Sécurité de l'industrie des cartes de paiement ou Payment Card Industry Data Security Standard (PCI DSS) est un standard de sécurité initié par les cinq réseaux de cartes bancaires internationaux (Amex, Discover, JCB, Visa et Mastercard). Elle s’applique à tous les acteurs marchands ou intermédiaires détenant des cartes de paiement. Le tourisme n’y échappe pas.
Son objectif est de limiter la fraude par compromission massive de données de cartes bancaires. Il ne s’agit pas d’une loi, ni d’une réglementation.
IATA leur a emboîté le pas. Et demande à tous ses membres, entreprises sous-traitantes et partenaires, ainsi qu’aux agences de voyages d’être conformes à la norme à compter du 1er mars 2018, après avoir décalé la date, initialement fixée au 1er juin 2017.
Pour être conforme, il faudra suivre les 12 chapitres du standard et appliquer des mesures telles que : installer des anti-virus et pare-feu, protéger les données bancaires stockées de vos clients, crypter les données, utiliser des techniques de chiffrement, etc…
Jeudi 15 février 2018, les Entreprises du voyages (EdV), le Syndicat des entreprises du tour-operating (SETO) et l’Association professionnelle de solidarité du tourisme (APST) ont organisé conjointement une matinée d’information sur la norme PCI DSS.
La norme de Sécurité de l'industrie des cartes de paiement ou Payment Card Industry Data Security Standard (PCI DSS) est un standard de sécurité initié par les cinq réseaux de cartes bancaires internationaux (Amex, Discover, JCB, Visa et Mastercard). Elle s’applique à tous les acteurs marchands ou intermédiaires détenant des cartes de paiement. Le tourisme n’y échappe pas.
Son objectif est de limiter la fraude par compromission massive de données de cartes bancaires. Il ne s’agit pas d’une loi, ni d’une réglementation.
IATA leur a emboîté le pas. Et demande à tous ses membres, entreprises sous-traitantes et partenaires, ainsi qu’aux agences de voyages d’être conformes à la norme à compter du 1er mars 2018, après avoir décalé la date, initialement fixée au 1er juin 2017.
Pour être conforme, il faudra suivre les 12 chapitres du standard et appliquer des mesures telles que : installer des anti-virus et pare-feu, protéger les données bancaires stockées de vos clients, crypter les données, utiliser des techniques de chiffrement, etc…
Non-conformité : quels sont les risques encourus ?
A compter de cette date, les agences qui n’auront pas transmis leur certificat recevront une demande écrite de la part de IATA.
Ensuite, elles recevront une notification de non-conformité. Les sanctions ne seront prises qu’à compter de 2019.
Les agences non certifiées se verront privées de l’utilisation du code commerçant de la compagnie aérienne, ce qui entraînera une augmentation du tarif des transactions et une dépréciation d’image auprès des compagnies aériennes.
Autre actualité importante : le Règlement européen sur la protection des données (RGPD) ou General data protection regulation (GDPR) qui entrera en vigueur le 25 mai 2018.
Les données personnelles sensibles couvertes par le standard PCI DSS font partie du périmètre de la RGPD.
Il s’agit là d’une réglementation. « Le non-respect du réglement européen expose à des pénalités pouvant aller jusqu’à 4% du chiffre d’affaires mondial plafonné à 20 millions d’euros en cas de compromission », rappelle Bruno Kovacs, practice manager Galitt Payment Security.
Ensuite, elles recevront une notification de non-conformité. Les sanctions ne seront prises qu’à compter de 2019.
Les agences non certifiées se verront privées de l’utilisation du code commerçant de la compagnie aérienne, ce qui entraînera une augmentation du tarif des transactions et une dépréciation d’image auprès des compagnies aériennes.
Autre actualité importante : le Règlement européen sur la protection des données (RGPD) ou General data protection regulation (GDPR) qui entrera en vigueur le 25 mai 2018.
Les données personnelles sensibles couvertes par le standard PCI DSS font partie du périmètre de la RGPD.
Il s’agit là d’une réglementation. « Le non-respect du réglement européen expose à des pénalités pouvant aller jusqu’à 4% du chiffre d’affaires mondial plafonné à 20 millions d’euros en cas de compromission », rappelle Bruno Kovacs, practice manager Galitt Payment Security.
PCI DSS : comment se certifier ?
Pour accéder au sésame, chaque agence devra réaliser un auto-diagnostique de ses pratiques. Pour cela, elle devra remplir un questionnaire.
Ce dernier diffère selon la typologie du commerce, à déterminer selon la volumétrie annuelle des transactions et des canaux d’acceptation.
Les questionnaires sont à télécharger sur le site de pci security standards council.
Une fois les exigences du questionnaires validées, l’agence pourra remplir, elle-même, son attestation de conformité. Le document d’auto-certification pourra ensuite être transmis aux partenaires qui en font la demande, à l’exemple de IATA ou de la banque.
Cette conformité doit être vérifiée annuellement.
Ce dernier diffère selon la typologie du commerce, à déterminer selon la volumétrie annuelle des transactions et des canaux d’acceptation.
Les questionnaires sont à télécharger sur le site de pci security standards council.
Une fois les exigences du questionnaires validées, l’agence pourra remplir, elle-même, son attestation de conformité. Le document d’auto-certification pourra ensuite être transmis aux partenaires qui en font la demande, à l’exemple de IATA ou de la banque.
Cette conformité doit être vérifiée annuellement.
Que faire en cas de compromission ?
En cas de compromission soupçonnée ou confirmée, l’agence doit rapidement faire remonter l’information. « La première étape est d’empêcher la perte de données supplémentaires en arrêtant le flux des transactions via le canal impacté et les faire passer par un autre canal sécurisé », explique Bruno Kovacs.
Il faudra prévenir sa banque, qui se chargera de relayer l’information aux réseaux. Ensuite, engagez immédiatement un professionnel d’investigation accrédité par le PCI DSS. Il conduira alors une enquête.
Concrètement, il n’y aura pas de contrôle de la part de IATA ou d’un autre organisme sur la conformité de chacun. C’est en cas de compromission que les difficultés pourraient commencer…
Il faudra prévenir sa banque, qui se chargera de relayer l’information aux réseaux. Ensuite, engagez immédiatement un professionnel d’investigation accrédité par le PCI DSS. Il conduira alors une enquête.
Concrètement, il n’y aura pas de contrôle de la part de IATA ou d’un autre organisme sur la conformité de chacun. C’est en cas de compromission que les difficultés pourraient commencer…
A lire demain : Norme PCI DSS : comment se prémunir contre la fraude ?