11/04/2011

Le PCI DSS est-il une exigence légale en France ?

On me fait régulièrement la remarque que le standard PCI DSS n'est pas une exigence légale en France et qu'il n'est donc pas obligatoire pour l'entreprise de s'y soumettre.

Tout d'abord, dans les nombreux cas clients dans lesquels je suis amené à intervenir, l'exigence d'être PCI DSS provient d'un client/prospect important qui exige la conformité par une clause contractuelle. Même si ce n'est pas une exigence légale, les entreprises cherchent à être conformes pour gagner l'affaire.


La CNIL exige que :
  1. Les cryptogrammes visuels (CVV2) ne soient jamais stockés. Il s'agit de l'exigence PCI DSS #3.2.
  2. Les numéros de carte (PAN) doivent être chiffrés s'ils sont stockés dans la base de données. Il s'agit de l'exigence PCI DSS #3.4.
  3. Les données des titulaires de cartes doivent être conservées que le temps nécessaire. Il s'agit de l'exigence PCI DSS #3.1.
  4. La mise en place d'une politique de gestion stricte des habilitations du personnel ayant accès au numéro de carte bancaire. Il s'agit de l'exigence PCI DSS #7.1.
  5. L'utilisation exclusive de systèmes de paiement en ligne sécurisés. Il s'agit d'une façon de dire : soit vous utilisez une page de paiement d'un prestataire de paiement certifié ou soit vous sécurisez vos systèmes selon les meilleures pratiques en vigueur (c'est-à-dire isoler les systèmes, utiliser des logiciels de paiement certifiés PA DSS, appliquer les patchs de sécurité, développer selon l'OWASP, réaliser des audits de code, etc...Bref, le PCI DSS).
  6. Si les données de carte sont échangées avec un sous-traitant, l'entreprise doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité. Il s'agit de l'exigence PCI DSS #12.8.

Si l'on rajoute à cela l'article 34 de la loi Informatique et Libertés relative à la mise en œuvre de "toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement" sous peine d'une amende  allant jusqu'à 300.000 euros (code pénal, Article 226-17), nous pouvons considérer que les exigences indiquées dans le PCI DSS sont des exigences légales et qu'il pourra être reproché à l'entreprise de ne pas les avoir mises en oeuvre dans d'une plainte suite à un cas d'une intrusion où le pirate aurait réussi à voler des numéros de carte stockés dans des systèmes non sécurisés.

Dès lors, il nous est facile de conclure que même si la loi française ne parle pas du standard PCI DSS, ses exigences principales sont quant à elles bien obligatoires.

1 commentaire:

  1. Bonjour,
    Merci pour cet article.
    Idéalement, la CNIL devrait statuer une bonne fois pour toute, et donner une information de ce type au web marchand: "si vous voulez être OK avec nous, utilisez les standards PCI DSS"...

    Cela permettrait d'y voir plus clair dans la jungle des opérateurs de paiement.

    @+

    RépondreSupprimer