Start of menu
Close Menu
Skip to content
Un fournisseur de services est une entreprise qui offre aux marchands et autres utilisateurs des services de traitement des opérations par Carte American Express. Il peut s’agit d’une société de traitement autorisée, d’un tiers offrant des services de traitement, d’un fournisseur de passerelle et de tout autre fournisseur de matériel point de vente, de logiciel ou de système ou autre service ou solution de traitement des paiements.

Le fournisseur de services, tout comme le marchand, doit accepter les
Lignes directrices opérationnelles sur la sécurité des données d’American Express et respecter les
Normes de sécurité des données du secteur des cartes de paiement.
La plupart des niveaux sont éstablis en fonction du volume d'opérations qui sont portés à la Carte American Express. Il existe trois niveaux de fournisseurs de services comme i'indique le tableau suivant.

data security image


*Les fournisseurs de services de niveau 3 n'ont pas à présenter de documents de validation, mais doivent cependant se conformer à tout les autres dispositions des Lignes directrices opérationnelles sur la sécurité des données. Consultez les Lignes directrices opérationnelles sur la sécurité des données d'American Express (PDF).



Exigences de conformité pour les fournisseurs de services
Tous les fournisseurs de services doivent se conformer aux
Lignes directrices opérationnelles sur la sécurité des données American Express et aux
Normes de sécurité des données du secteur des cartes de paiement.

Étape 1: La première étape consiste a déterminer votre niveau de fournisseur de services et vos exigences de conformité. Si vous ne l'avez pas encore fait, consultez le tableau des niveaux de fournisseurs de service afin de connaître dans quelle catégorie votre éstablissement se situe. Selon les exigences pour votre entreprise, nous pourrions vous demander un ou plusieurs documents suivants:
  • Document de validation de la vérification annuelle de la sécurité sur les lieux
    La vérification annuelle de la sécurité sur les lieux est un examen détaillé mené chez le fournisseur de services qui porte sur le matériel, les systèmes et les réseaux (et leurs composants) servant au stockage, au traitement ou à la transmission des renseignements sur les titulaires.
  • Questionnaire annuel d'autoévaluation
    L'autoévaluation annuelle est un processus utilisant le questionnaire d'autoévaluation (QAÉ) fourni avec les normes SCP et qui permet l'auto-examen des systèmes et les réseaux (et leurs composantes) servant au traitement, au stockage ou à la transmission des reseignements sur les titulaires. 
  • Document de validation de l?exercice trimestriel de balayage du réseau
    L'exercice trimestriel de balayage du réseau sert à vérifier à distance si le réseau informatique et les serveurs Web du fournisseur de services reliés à Internet sont vulnérables ou s'ils présentent des faiblesses. Le balayage doit être exécuté par un fournisseur de services de balayage autorisé ("FSBA").
Étape 2: Une fois les documents de validation remplis, il vous suffit de les envoyer  à Trustwave au moyen de l'une des méthodes énumérées à la section 4, Lignes directrices opérationnelles sur la sécurité des données.
  • Frais de non-validation et résiliation de la convention
    American Express a le droit d'imposer des frais de non-validation au fournisseur de services et de résilier la convention si le fournisseur de services ne répond pas aux présentes exigences ou s'il ne transmet pas à American Express les documents de validation exigés dans les délais prescrits.

    Avis
    AMERICAN EXPRESS SE DÉGAGE PAR LES PRÉSENTES DE TOUTES DÉCLARATIONS, GARANTIES ET RESPONSABILITÉS RELATIVES AUX PRÉSENTES LIGNES DIRECTRICES OPÉRATIONNELLES SUR LA SÉCURITÉ DES DONNÉES, AUX NORMES SCP ET À LA DÉSIGNATION ET AU RENDEMENT DES ÉSQ, DES FSBA OU DES PCI (OU N'IMPORTE LEQUEL D'ENTRE EAUX), QUE CELLES-CI SOIENT EXPLICITES, IMPLICITES, STATUTAIRES OU AUTRES, Y COMPRIS TOUTE GARANTIE RELATIVE À LA QUALITÉ MARCHANDE OU À L'ADAPTATION À UNE FIN PARTICULIÉRE.




Obligations en matière de gestion des incidents touchant les données

Le fournisseur de services doit signaler tout incident touchant les données à American Express sans tarder et au plus tard dans les vingt-quatre (24) heures qui suivent le moment où il découvre qu’il y a eu incident.

Pour signaler un incident touchant les données à American Express, veuillez communiquer avec le Programme d’intervention de l’entreprise en cas d’incident d’American Express, par téléphone au
1-602-537-3021 (accessible 24 heures sur 24, 7 jours sur 7) ou par courriel à EIRP@aexp.com. Les fournisseurs de services doivent désigner une personne à joindre pour les incidents touchant les données. Veuillez consulter l’article 2 des Lignes directrices opérationnelles sur la sécurité des données pour obtenir des renseignements détaillés sur les obligations en matière de gestion des incidents touchant les données.