Le maintien de la conformité aux règles de la norme PCI-DSS 4.0 peut sembler décourageant au début. Dans cet article, nous allons détailler certains des changements les plus importants introduits par le nouveau cadre et partager les meilleures pratiques pour vous faciliter la tâche.
Clause de non-responsabilité
Ce document ne doit être utilisé qu'à des fins d'orientation et ne doit pas être considéré comme un avis définitif. Nous vous invitons à consulter un évaluateur de sécurité qualifié (QSA) PCI-DSS pour obtenir des éclaircissements.
Paiements en ligne
D'une manière générale, vous pouvez maintenir la conformité à la norme PCI en procédant comme suit :
- En utilisant l'une des intégrations de paiement recommandées par Mollie pour transmettre en toute sécurité les informations de paiement directement à Mollie.
- Veiller à ce que vos pages de paiement soient sécurisées par Transport Layer Sécurité (TLS) et utilisent le protocole HTTPS.
De nombreuses autres exigences font partie du cadre PCI-DSS.
Veuillez noter que Mollie ne peut pas vous donner de conseils précis pour votre propre conformité PCI, car nous ne disposons pas de tous les détails de votre installation. Cartes Il n'existe pas de conseil unique en matière de conformité PCI. Si vous stockez ou traitez des données de cartes, il se peut que vous soyez soumis à des exigences PCI. En fonction de votre intégration et de votre configuration, vous serez tenu de respecter les exigences PCI-DSS applicables.
Paiements hors ligne
Les clients de Nos clients qui utilisent des terminaux POS ont également certaines responsabilités en ce qui concerne la sécurité de leurs systèmes et la protection à la fois du matériel des terminaux et des données sensibles qui y sont traitées.
Accepter et installer la mise à jour du logiciel envoyée aux terminaux
Mollie attend des Marchands qu'ils acceptent les mises à jour de logiciels et les correctifs de vulnérabilité lorsqu'ils sont transmis aux terminaux, et qu'ils ne reportent pas inutilement ces mises à jour.
Sécurité des réseaux
Vous devez vous assurer que votre infrastructure réseau est sécurisée par des pare-feu et des systèmes de détection d'intrusion (le cas échéant). En outre, vous êtes responsable de la Sécurité de vos systèmes d'intégration avec Mollie afin de les protéger contre toute altération.
Mesures de sécurité physique
Vous devez mettre en œuvre des mesures de sécurité physique pour protéger les dispositifs POS contre le vol, la falsification ou l'accès non autorisé. Il peut s'agir d'installer des caméras de sécurité, d'utiliser des casiers et de restreindre l'accès aux zones où se trouvent les appareils POS.
Formation des employés
Vous devez dispenser régulièrement une formation à la Sécurité à vos employés qui manipulent et utilisent les dispositifs POS. La formation doit porter sur des sujets tels que le phishing, l'écrémage et la sensibilisation à la substitution, comme indiqué dans les lignes directrices ci-dessous.
Vérifier l'identité des personnes tierces ou des demandes de connexion à distance
Avant d'autoriser l'accès à vos appareils pour les modifier ou les dépanner, vous devez d'abord vérifier l'identité de toute personne tierce (prétendant être du personnel de réparation ou de maintenance) qui se présente en personne sur votre lieu de travail ou tente de se connecter à distance avec vous ou votre terminal en ligne.
Maintenir une liste actualisée des appareils
Lorsque vous recevez votre appareil POS de Marchand, vérifiez votre Dashboard Mollie ou votre Facture pour valider que vous avez reçu le bon appareil avant de l'utiliser. Vous pouvez faire le suivi de vos appareils dans votre propre inventaire, par exemple dans une feuille de calcul, ou utiliser le Dashboard Mollie pour les commerçants.
Inspection périodique du dispositif
Comme l'exige la norme PCI-DSS, vous devez inspecter périodiquement vos dispositifs POS pour vous assurer qu'ils sont protégés contre les manipulations et les substitutions non autorisées.
Nous avons préparé une liste de contrôle type pour l'inspection des appareils afin de vous faciliter l'inspection périodique des appareils. N'hésitez pas à télécharger ce document en utilisant le lien ci-dessous :