La norme PCI DSS

Toute entreprise devant stocker, traiter ou transmettre des données de cartes de paiement doit respecter la norme Payment Card Industry Data Security Standard (PCI DSS). Développée par les plus grandes sociétés de cartes de crédit, la norme PCI DSS définit les mesures nécessaires pour protéger les données ainsi que les procédés et procédures liés aux transactions financières en ligne. Les entreprises qui ne sont pas en mesure de respecter la norme PCI DSS sont soumises à des amendes et pénalités conséquentes.

Présentation de la conformité PCI DSS

Comme le Conseil des normes de sécurité PCI l'a établi, la norme PCI DSS impose :

  • le développement et la tenue à jour d'une politique de sécurité englobant tous les aspects de l'entreprise ; l'installation de pare-feu pour protéger les données ;
  • le cryptage des données des détenteurs de carte transmises sur les réseaux publics ; l'utilisation d'un logiciel antivirus et sa mise à jour régulière ;
  • le choix de mots de passe forts et d'autres protocoles de cybersécurité ;
  • la mise en place de contrôles d'accès stricts et le suivi des accès aux données des comptes.

Pour les grands commerçants réalisant un nombre important de transactions financières en ligne, le respect de la norme PCI DSS doit être validé chaque année par un expert en sécurité qualifié (QSA).

Pour la conformité PCI, Akamai fait effectuer par un tiers externe un test de pénétration trimestriel du réseau de diffusion de contenu (CDN) sécurisé. Les résultats de ces tests de pénétration trimestriels ainsi que la documentation de conformité et/ou de certification sont disponibles pour les clients et soumis à un accord de non-divulgation.

L'attestation de conformité sert de preuve pour nos clients que le réseau de diffusion de contenu (CDN) sécurisé d'Akamai est conforme à la norme de sécurité PCI DSS v. 3.2.1. Cette attestation de conformité, en vigueur depuis le 27 juin 2019, peut être consultée ici ici. La matrice des responsabilités est également disponible ici.