Start of menu
Close Menu

Normes de sécurité des données

 

La compromission de données devient de plus en plus sophistiquée. C’est pourquoi toute entreprise qui stocke, traite ou transmet des renseignements sur les titulaires doit prendre toutes les précautions possibles pour assurer sa protection et celle de ses clients.

Pour en savoir plus, consultez les Lignes directrices opérationnelles sur la sécurité des données.

La mise en œuvre des normes de sécurité SCP par le respect des Lignes directrices opérationnelles sur la sécurité des données assure un haut niveau de confiance à votre entreprise et à votre clientèle.
Fière membre du PCI Security Standards Council, American Express a joué un rôle important dans l’adoption des normes SCP par l’industrie. Ces normes dictent les étapes à suivre pour contrer un des plus grands fléaux de l’industrie – celui qui touche la sécurité des titulaires.

Afficher les Normes de sécurité des données du secteur des cartes de paiement.

En cas de brèche de sécurité

Obligations en matière de gestion des incidents touchant les données
Le marchand doit signaler tout incident touchant les données à American Express sans tarder et au plus tard dans les vingt-quatre (24) heures qui suivent le moment où il découvre qu’il y a eu incident.

Pour signaler un incident touchant les données à American Express, veuillez communiquer avec le Programme d’intervention de l’entreprise en cas d’incident d’American Express, par téléphone au
1-602-537-3021 (accessible 24 heures sur 24, 7 jours sur 7) ou par courriel à EIRP@aexp.com.

Le marchand doit désigner une personne à joindre pour les incidents touchant les données.
Veuillez consulter l’article 2 des Lignes directrices opérationnelles sur la sécurité des données pour obtenir des renseignements détaillés sur les obligations en matière de gestion des incidents touchant les données

Niveaux des marchands

 

C’est le nombre d’opérations portées à la Carte American Express présentées par tous les points de vente se rapportant à l’entité supérieure du marchand qui détermine essentiellement le niveau du compte du marchand. Il existe trois niveaux de marchands, comme l’indique le tableau suivant.

Table

* Les marchands de niveau 3 n’ont pas à présenter de document de validation; ils doivent cependant se conformer à toutes les autres dispositions des Lignes directrices opérationnelles sur la sécurité des données. Consultez les Lignes directrices opérationnelles sur la sécurité des données.

En cas de brèche de sécurité

Obligations en matière de gestion des incidents touchant les données
Le marchand doit signaler tout incident touchant les données à American Express sans tarder et au plus tard dans les vingt-quatre (24) heures qui suivent le moment où il découvre qu’il y a eu incident.
Pour signaler un incident touchant les données à American Express, veuillez communiquer avec le Programme d’intervention de l’entreprise en cas d’incident d’American Express, par téléphone au
1-602-537-3021 (accessible 24 heures sur 24, 7 jours sur 7) ou par courriel à EIRP@aexp.com.

Le marchand doit désigner une personne à joindre pour les incidents touchant les données.
Veuillez consulter l’article 2 des Lignes directrices opérationnelles sur la sécurité des données pour obtenir des renseignements détaillés sur les obligations en matière de gestion des incidents touchant les données.

Exigences de conformité

 

Exigences de conformité pour les marchands
Tous les marchands doivent se conformer aux
Lignes directrices opérationnelles sur la sécurité des données d’American Express et aux
Normes de sécurité des données du secteur des cartes de paiement. De plus, certains marchands pourraient devoir prendre des mesures additionnelles pour assurer la sécurité des données.

La première étape consiste à déterminer votre niveau et les documents que vous devez présenter. Si vous ne l’avez pas encore fait, consultez le tableau des niveaux des marchands pour savoir dans quelle catégorie votre établissement se situe. Selon les exigences pour votre entreprise, nous pourrions vous demander un ou les documents suivants :

Document de validation de la vérification annuelle de la sécurité sur les lieux
La vérification annuelle de la sécurité sur les lieux est un examen détaillé mené chez le marchand qui porte sur le matériel, les systèmes et les réseaux (et leurs composants) servant au stockage, au traitement ou à la transmission des renseignements sur les titulaires.

Questionnaire d’autoévaluation annuelle
L’autoévaluation annuelle est un processus où le questionnaire d’autoévaluation fourni avec les normes
(« QAÉ ») SCP est utilisé par le marchand pour vérifier la conformité de ses systèmes, de son matériel et de ses réseaux (et leurs composants) qui servent à stocker, à traiter et à transmettre des renseignements sur les titulaires.

Document de validation de l’exercice trimestriel de balayage du réseau
L’exercice trimestriel de balayage du réseau sert à vérifier à distance si le réseau informatique et les serveurs Web du marchand reliés à Internet sont vulnérables ou s’ils présentent des faiblesses. Le balayage doit être exécuté par un fournisseur de services de balayage autorisé (« FSBA »).

Après vous être conformé aux exigences en matière de production de documents de validation, l’étape 2 consiste à envoyer ces documents à Trustwave de l’une des manières décrites à l’article 4 des Lignes directrices opérationnelles sur la sécurité des données.

Frais de non-validation et résiliation de la convention
American Express a le droit d’imposer des frais de non-validation au marchand et de résilier la convention si le marchand ne répond pas aux présentes exigences ou si le marchand ne transmet pas à American Express les documents de validation exigés dans les délais prescrits.

Avis
AMERICAN EXPRESS SE DÉGAGE PAR LES PRÉSENTES DE TOUTES DÉCLARATIONS, GARANTIES ET RESPONSABILITÉS RELATIVES AUX PRÉSENTES LIGNES DIRECTRICES OPÉRATIONNELLES SUR LA SÉCURITÉ DES DONNÉES, AUX NORMES SCP ET À LA DÉSIGNATION ET AU RENDEMENT DES ÉSQ, DES FSBA, OU DES ENQUÉTEURS JUDICAIRES DE LA PCI (OU N'IMPORTE QUEL DES DEUX), QUE CELLES-CI SOIENT EXPLICITES, IMPLICITES, STATUTAIRES OU AUTRES, Y COMPRIS TOUTE GARANTIE RELATIVE À LA QUALITÉ MARCHANDE OU À L’ADAPTATION À UNE FIN PARTICULIÈRE.

En cas de brèche de sécurité

Obligations en matière de gestion des incidents touchant les données
Le marchand doit signaler tout incident touchant les données à American Express sans tarder et au plus tard dans les vingt-quatre (24) heures qui suivent le moment où il découvre qu’il y a eu incident.
Pour signaler un incident touchant les données à American Express, veuillez communiquer avec le Programme d’intervention de l’entreprise en cas d’incident d’American Express, par téléphone au
1-602-537-3021 (accessible 24 heures sur 24, 7 jours sur 7) ou par courriel à EIRP@aexp.com.

Le marchand doit désigner une personne à joindre pour les incidents touchant les données.
Veuillez consulter l’article 2 des Lignes directrices opérationnelles sur la sécurité des données pour obtenir des renseignements détaillés sur les obligations en matière de gestion des incidents touchant les données.