La protection des données de paiement favorise la protection de tous
Obtenez les informations sur la conformité à la PCI et la sécurité des données dont vous avez besoin.
L’importance de la conformité à la PCI
La conformité à la PCI DSS (Payment Card Industry Data Security Standards) ou Normes de sécurité des données de l’industrie des cartes de paiement aide à vous protéger, de même que vos clients, contre la compromission des données.
La protection de vos données de paiement offre les avantages suivants :
Éviter de nuire à la marque de votre entreprise
Prévenir une perte financière
Conserver vos relations avec les clients
Normes de sécurité de la PCI en matière de données
La PCI DSS est un ensemble de normes techniques et opérationnelles développé pour protéger les données de cartes de paiement. Adoptée par les réseaux de cartes de paiement et s’appliquant à toutes les entités qui traitent, stockent ou transmettent des données de titulaires de cartes ou des données d’authentification critiques, la PCI DSS a pour objectif la promotion de paiements sécuritaires à l’échelle mondiale.
| Objectifs | Exigences en matière de PCI DSS |
|---|---|
| Établir et gérer des systèmes et des réseaux sécurisés | - Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes - Ne pas utiliser des mots de passe système et autres paramètres de sécurité par défaut fournis par un fournisseur |
| Protéger les données des titulaires de cartes | - Protéger les données stockées des titulaires de cartes - Crypter la transmission des données des titulaires de cartes vers des réseaux ouverts et publics |
| Gérer un programme de gestion des vulnérabilités | - Protéger tous les systèmes contre les maliciels et mettre à jour régulièrement les programmes ou les logiciels antivirus - Développer et gérer des systèmes et des applications sécuritaires |
| Mettre en place des mesures de contrôle d’accès robustes | - Restreindre l’accès aux données des titulaires de cartes en fonction d’un besoin commercial de savoir - Identifier et authentifier l’accès aux composants du système - Restreindre l’accès physique aux données des titulaires de cartes |
| Surveiller et tester régulièrement les réseaux | - Faire le suivi de tous les accès aux réseaux et aux données des titulaires de cartes et les surveiller - Tester régulièrement les systèmes de sécurité et les processus |
Gérer une Politique de sécurité des renseignements |
- Gérer une politique qui prend en charge la sécurité des renseignements pour tout le personnel |
- Se conformer aux Normes de sécurité des données de la PCI
- Stocker seulement les données de titulaires de cartes requises pour le traitement des opérations de la carte American Express
- Utiliser seulement des dispositifs de paiement approuvés par la PCI
- Envoyer un rapport à American Express de votre état de conformité à la PCI DSS, selon les exigences
- Aviser American Express dans les 72 heures au sujet d’un incident touchant les données
- Adhérer aux obligations applicables de gestion d’un incident touchant les données résultant d’un tel incident
Pour afficher les informations de sécurité des données d’un autre pays, cliquez ici.
Veuillez suivre ces étapes si vous avez détecté un incident touchant les données dans votre entreprise.
Étape 1 :
Remplissez le formulaire Incident touchant les données du marchand – Avis initial et envoyez-le par courriel à l’adresse EIRP@aexp.com dans les 72 heures suivant la découverte de l’incident touchant les données.
Étape 2 :
Menez une enquête approfondie qui pourrait exiger les services d’un enquêteur judiciaire de la PCI (Payment Card Industry).
Étape 3 :
Fournissez-nous le plus rapidement possible les numéros des cartes American Express® compromises.
Étape 4 :
Collaborez avec nous pour résoudre tout problème résultant de cet incident.
Consultez la section 3 des Lignes directrices opérationnelles sur la sécurité des données pour obtenir plus de détails sur vos obligations de gestion en matière d’incidents touchant les données.
Avez-vous d’autres questions?
1 888 732-3750 ou +1 602 537-3021 (exige des frais à l’international)
Nous sommes là pour vous aider!
American Express offre des services de notification d’incident touchant les données1 pour vous aider à informer les titulaires de la carte American Express concernés par un incident touchant les données dans votre entreprise.2
Nous pouvons
- vous aider à communiquer avec les titulaires de la carte American Express concernés en collaborant avec vous et avec un fournisseur d’imprimerie qui peut envoyer vos avis3;
- vous mettre en contact avec des fournisseurs qui peuvent vous aider au sujet de plusieurs autres services, comme la gestion d’un centre d’appel et d’un centre de courrier de retour;
- vous mettre en contact avec une agence d’évaluation du crédit qui pourra vous aider à offrir aux titulaires de la carte American Express concernés des services de protection contre le vol d’identité.
Avez-vous d’autres questions? dataincidentservices@aexp.com.
Vous êtes tenu de nous aviser régulièrement au sujet de votre statut PCI DSS, que vous soyez conforme ou non. L’envoi de rapports en temps opportun, peu importe votre statut, peut permettre d’éviter des frais non remboursables de sécurité des données pour non-validation.
Les documents standards de validation de la PCI sont universels, vous pouvez donc utiliser le même document de validation pour envoyer un rapport à toutes les marques de paiement. Les exigences de production d’un rapport sur votre statut PCI DSS sont déterminées par le nombre d’opérations de carte American Express que vous traitez au cours d’une année donnée.
Ces exigences de production de rapport s’appliquent aux marchands et aux fournisseurs de services.
| Opérations annuelles avec la carte | 2,5 millions ou plus d’opérations avec la carte American Express (ou si vous avez été désigné par American Express comme étant de niveau 1) |
| Public cible | Marchands ou fournisseurs de services |
| La production de rapports est-elle requise ou facultative? | Requise |
| Évaluation requise | Évaluation annuelle sur place |
| Quelle est la documentation requise4 | Conformité d’attestation de conformité (ROC AOC) Autre documentation acceptable : Attestation du STEP d’American Express6 |
| Qui dirige l’évaluation? | Un évaluateur de sécurité qualifié ou autocertifié |
| Fréquence des rapports | Annuelle |
| Opérations annuelles avec la carte | 50 000 à 2,5 millions d’opérations avec la carte American Express |
| Public cible | Marchands ou fournisseurs de services |
| La production de rapports est-elle requise ou facultative? |
Requise |
| Évaluation requise | Autoévaluation annuelle Analyse de vulnérabilité du réseau externe |
| Quelle est la documentation requise4? | Questionnaires d’autoévaluation Attestation de rapport d’analyse du fournisseur d’analyse approuvé de la conformité de l’analyse (AOSC) Autre documentation acceptable :
|
| Qui dirige l’évaluation? | Questionnaire d’autoévaluation : Autocertifié Rapport d’analyse : Fournisseur d’analyse approuvé |
| Fréquence des rapports | Questionnaire d’autoévaluation : Annuel Rapport d’analyse : Tous les 90 jours |
| Opérations annuelles avec la carte | 10 000 à 50 000 opérations avec la carte American Express |
| Public cible | Marchands seulement |
| La production de rapports est-elle requise ou facultative? | Si elle est requise par American Express, sinon elle est facultative |
| Évaluation requise | Autoévaluation annuelle Analyse de vulnérabilité du réseau externe |
| Quelle est la documentation requise4? | Questionnaires d’autoévaluation Attestation de rapport d’analyse du fournisseur d’analyse approuvé de la conformité de l’analyse (AOSC) Autre documentation acceptable :
|
| Qui dirige l’évaluation? | Questionnaire d’autoévaluation : Autocertifié Rapport d’analyse : Fournisseur d’analyse approuvé |
| Fréquence des rapports | Questionnaire d’autoévaluation : Annuel Rapport d’analyse : Tous les 90 jours |
| Opérations annuelles avec la carte | Moins de 10 000 opérations avec la carte American Express |
| Public cible | Marchands seulement |
| La production de rapports est-elle requise ou facultative? | Si elle est requise par American Express, sinon elle est facultative |
| Évaluation requise | Autoévaluation annuelle |
| Quelle est la documentation requise4? | Questionnaires d’autoévaluation Attestation de rapport d’analyse du fournisseur d’analyse approuvé de la conformité de l’analyse (AOSC) Autre documentation acceptable :
|
| Qui dirige l’évaluation? | Questionnaire d’autoévaluation : Autocertifié Rapport d’analyse : Fournisseur d’analyse approuvé |
| Fréquence des rapports | Questionnaire d’autoévaluation : Annuel Rapport d’analyse : Tous les 90 jours |
Pour afficher plus de détails, veuillez consulter la section 4 des Lignes directrices opérationnelles sur la sécurité des données.
Qu’est-ce que le Programme d’amélioration des technologies de sécurité ou STEP?
Le Programme d’amélioration des technologies de sécurité (STEP ou Security Technology Enhancement Program)6 permet à American Express de reconnaître les marchands qui déploient des technologies de sécurité supplémentaires afin d’améliorer la sécurité des données de titulaires de cartes et des données d’authentification critiques.
Les marchands admissibles à ce programme (selon la détermination d’American Express)
- envoient seulement un formulaire d’attestation annuelle du STEP comme documentation annuelle de validation PCI;
- n’ont pas à envoyer d’autres documents PCI pendant l’année (ROC ou SAQ) ni d’analyse trimestrielle de vulnérabilité.
Affichez notre foire aux questions pour en apprendre davantage et savoir si vous êtes admissible.
Comment faire un rapport de votre statut de conformité à la PCI
SecureTrust, une division de Trustwave, est l’administrateur du Programme de conformité à la PCI d’American Express. Vous pouvez utiliser PCI Manager de SecureTrust™ pour téléverser ou créer vos documents de validation PCI DSS.
Ouvrez une session dans votre compte PCI Manager de SecureTrust à l’adresse : https://portal.securetrust.com
Suivez cette formation pour savoir comment produire un rapport de votre conformité à la PCI.
Si vous avez des questions au sujet de votre compte, de votre statut ou sur la manière d’utiliser PCI Manager de SecureTrust, ou si vous n’êtes plus la personne-ressource pour la sécurité des données de votre entreprise, veuillez communiquer avec SecureTrust à l’adresse americanexpresscompliance@securetrust.com ou composer le 1 866 659-9016 (accessible 24/7/365).
Consultez ces ressources utiles pour mieux protéger votre entreprise.
Apprenez les éléments de base de la PCI DSS
Améliorez votre compréhension des éléments de base sur la sécurité des données, des pare-feux à la technologie de puce.
Idées et informations
Visionnez des articles du secteur et des informations pour aider votre entreprise à protéger les données de paiement.
Suivez les normes de sécurité des données de la PCI
Accédez à de la documentation d’aide pour vous guider dans vos options de production de rapports de conformité à la PCI DSS.
La PCI DSS (Payment Card Industry Data Security Standards) ou Normes de sécurité des données de l’industrie des cartes de paiement est un ensemble de critères techniques et opérationnels du secteur des paiements qui vise à protéger l’environnement des données de cartes. La PCI DSS est développée et gérée par le Conseil sur les normes de sécurité de la PCI (PCI Security Standards Council). Visitez le site PCI Security Standards Council pour en apprendre davantage.
La conformité à la PCI DSS vous aide à protéger votre entreprise, vous-même et vos clients contre une compromission des données. Lorsque vous acceptez les cartes American Express, vous acceptez notre Convention d’acceptation de la carte American Express®, y compris les Lignes directrices opérationnelles sur la sécurité des données d’American Express, qui exigent la conformité à la PCI DSS.
Vous pourriez avoir à payer des frais de non-validation pour avoir négligé d’envoyer en temps opportun à American Express un rapport sur votre statut de conformité à la PCI DSS. Vous devez nous envoyer un rapport en temps opportun, peu importe votre statut. Veuillez noter que les frais s’appliquent parce que vous n’avez pas envoyé votre rapport, et non parce que vous n’êtes pas conforme.
Vous pourriez avoir à payer des frais non remboursables pour non-conformité en matière d’incident touchant les données.
Le montant maximum des frais de non-conformité est de 100 000 $ US.
Oui. Votre banque ou votre service de traitement envoie des rapports à Visa/MasterCard en votre nom, mais vous avez également une relation avec American Express. La documentation de validation de la PCI est universelle, vous pouvez donc nous envoyer un rapport en utilisant les mêmes documents que ceux utilisés pour les rapports destinés à votre banque ou à votre service de traitement.
Oui. L’impartition peut changer la portée de votre évaluation, mais vous devez quand même remplir une évaluation annuelle, produire un rapport annuel et, le cas échéant, des analyses trimestrielles de réseaux externes aux 90 jours.
Malheureusement, non. Nous n’avons pas accès à d’autres fournisseurs de sécurité. La bonne nouvelle est que la documentation de validation de la PCI est universelle. Vous pouvez télécharger et nous envoyer les mêmes documents que vous utilisez pour envoyer des rapports à votre banque ou à votre service de traitement.
1 Pour les marchands des États-Unis seulement
2 Seuls les clients détenteurs d’une carte American Express émise par American Express seront admissibles à la réception d’une notification par l’entremise de ce service. Ces services ne sont pas disponibles pour les clients utilisant des cartes American Express émises par d’autres institutions financières ni pour des titulaires de cartes autres que les cartes American Express.
3 Vous aurez la responsabilité de couvrir les frais associés aux services de ces tiers.
4 Les documents de validation PCI standards sont universels. Vous pouvez utiliser le même document de validation pour envoyer un rapport à toutes les marques de paiement.
5 Chaque marque de paiement définit les niveaux de manière différente.
6 Le Programme d’amélioration des technologies de sécurité est proposé aux marchands admissibles seulement. Les fournisseurs de services ne sont pas admissibles au STEP.
