HCL Commerce et PCI Data Security Standard

La solution Payment Card Industry (PCI) Data Security Standard (DSS), développée par les marques de paiement fondatrices de PCI Security Standards Council, notamment American Express, Discover Financial Services, JCB, MasterCard Worldwide, et Visa International, facilite l'adoption à l'échelle mondiale de mesures cohérentes de sécurité des données.

La norme PCI DSS Version 3.0 énumère 12 exigences que les détaillants, les commerçants en ligne, les processeurs de données de crédit et d'autres entreprises liées au paiement doivent mettre en œuvre pour aider à protéger les titulaires de cartes et leurs données. Les exigences comprennent les contrôles technologiques (tels que le chiffrement des données, le contrôle d'accès des utilisateurs et la surveillance des activités), ainsi que les procédures requises.

La plupart des exigences sont axées sur la sécurité sur site, mais certaines d'entre elles s'appliquent à la sécurisation de vos applications. Ce document d'aperçu technique vous aide à comprendre les exigences PCI, à déterminer les exigences qui s'appliquent à HCL Commerce, et à découvrir comment HCL Commerce met en œuvre les exigences applicables.

L'utilisation de HCL Commerce dans votre site de commerce électronique, même s'il est installé et configuré correctement, ne garantit pas que votre site est conforme à la norme PCI. Le présent document a pour objet de décrire la relation entre les exigences de HCL Commerce et de PCI Data Security Standard, et non pas pour l'ensemble d'un environnement opérationnel. La conformité PCI peut également imposer des exigences sur d'autres composants de votre site qui sont impliqués dans le stockage, le traitement ou la transmission des données des titulaires de carte, y compris les pare-feu, les routeurs, les serveurs Web, les systèmes d'exploitation, les bases de données de stockage et WebSphere Application Server. C'est-à-dire que, même si WebSphere Application Server est inclus dans HCL Commerce, il est considéré comme un élément distinct. La responsabilité de la conformité PCI incombe uniquement au commerçant.

Voici, pour votre référence, les grandes lignes de la norme.

Générer et conserver un réseau sécurisé

Exigence 1 : Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de carte.
Exigence 2 : N'utilisez pas les mots de passe système ni les autres paramètres de sécurité fournis par défaut par les éditeurs de logiciels

Protéger les données des titulaires de carte

Exigence 3 : Protéger les données stockées des titulaires de carte
Exigence 4 : Chiffrer la transmission des données des titulaires de carte sur les réseaux publics ouverts.

Maintenir un programme de gestion de la vulnérabilité.

Exigence 5 : Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels ou programmes antivirus.
Exigence 6 : Développer et maintenir des systèmes et des applications sécurisés.

Mettre en œuvre des mesures de contrôle d'accès strictes

Exigence 7 : Restreindre l'accès aux données des titulaires de carte en fonction de ce que l'entreprise doit savoir.
Exigence 8 : Identifier et authentifier l'accès aux composants du système.
Exigence 9 : Restreindre l'accès physique aux données des titulaires de carte.

Surveiller et tester régulièrement les réseaux

Exigence 10 : Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte.
Exigence 11 : Testez régulièrement les systèmes et processus de sécurité.

Conserver une stratégie de sécurité des informations.

Exigence 12 : Conservez une stratégie qui traite de la sécurité de l'information pour tout le personnel.

Où trouver des informations sur Payment Card Industry Data Security Standard

Payment Card Industry Data Security Standard : https://www.pcisecuritystandards.org/index.shtml
La norme complète se trouve à https://www.pcisecuritystandards.org/tech/download_the_pci_dss.htm
Programme SDP (Site Data Protection Program) : http://www.mastercard.com/us/merchant/security/sdp_program.html
Site du programme Visa CISP : http://usa.visa.com/business/accepting_visa/ops_risk_management/cisp.html

HCL Commerce et conformité PCI

La norme PCI Data Security Standard (DSS) traite bien plus que la sécurité de votre application HCL Commerce. Elle couvre les exigences de sécurité générales telles que la protection contre les virus et la restriction de l'accès physique aux données des titulaires de carte.

Il est important de reconnaître la portée des exigences et de savoir lesquelles sont liées à HCL Commerce.

Normes PCI Data Security Standards et leur lien avec HCL Commerce
Exigence	Relation
1 : Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de carte.	Lié uniquement à PCI DSS
2 : N'utilisez pas les mots de passe système ni les autres paramètres de sécurité fournis par défaut par les éditeurs de logiciels	Domaine d'intervention
3 : Protéger les données stockées du titulaire de la carte	Domaine d'intervention
4 : Chiffrer la transmission des données des titulaires de la carte sur les réseaux publics ouverts.	Domaine d'intervention
5 : Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels ou programmes antivirus.	Lié uniquement à PCI DSS
6 : Développer et maintenir des systèmes et des applications sécurisés.	Lié uniquement à PCI DSS
7 : Restreindre l'accès aux données des titulaires de la carte en fonction de ce que l'entreprise doit savoir.	Domaine d'intervention
8 : Identifier et authentifier l'accès aux composants du système.	Domaine d'intervention
9 : Restreindre l'accès physique aux données du titulaire de la carte.	Lié uniquement à PCI DSS
10 : Suivre et surveiller tous les accès aux ressources réseau et aux données du titulaire de la carte.	Domaine d'intervention
11: Testez régulièrement les systèmes et processus de sécurité.	Lié uniquement à PCI DSS
12: Conserver une politique qui traite de la sécurité de l'information pour tout le personnel.	Lié uniquement à PCI DSS

Différents types de solutions de paiement pour HCL Commerce

Il existe plusieurs façons de traiter les paiements dans la mise en œuvre d'un magasin HCL Commerce :

Les sous-systèmes Paiements HCL Commerce
API de paiement ou plug-ins personnalisés ou fournis par un tiers
Pages de paiement hébergées fournies par un tiers

Si vous n'utilisez pas le sous-système Paiements HCL Commerce, il vous incombe de vous assurer que l'API de paiement ou que la page de paiement hébergé est conforme à la norme PCI.

Si vous utilisez un plug-in du sous-système Paiements HCL Commerce autre que SimpleOffline ou si vous disposez d'un plug-in de paiement personnalisé via le sous-système Paiements HCL Commerce, il doit être certifié par votre évaluateur PCI. Le plug-in de paiement que vous utilisez doit être évalué lorsqu'il est connecté à la passerelle de paiement que vous utilisez.

Avis du PCI Security Standards Council : Conditions et modalités

L'acceptation d'une application de paiement donnée par le PCI Security Standards Council, LLC (PCI SSC) ne s'applique qu'à la version spécifique de cette application de paiement qui a été examinée par PA-QSA et acceptée par la suite par PCI SSC (la "Version acceptée"). Si un aspect d'une application de paiement ou d'une version de celle-ci est différent de celui qui a été examiné par PA-QSA et accepté par PCI SSC (même si la version ou l'application de paiement différente - la "Version alternative" - est conforme à la description de base du produit de la Version acceptée) alors la Version alternative ne doit pas être considérée comme acceptée par PCI SSC, ni promue comme acceptée par PCI SSC.

Aucun fournisseur ou autre tiers ne peut se référer à une application de paiement sous le nom de "PPI Approved" ou "PCI SSC Approved", et aucun fournisseur ou autre tiers ne peut autrement déclarer ou impliquer que PCI SSC a, en tout ou en partie, accepté ou approuvé tout aspect d'un fournisseur, de ses services ou de ses applications de paiement, sauf dans la mesure et sous réserve des conditions et restrictions expressément énoncées dans un accord écrit avec PCI SSC, ou dans une lettre d'acceptation PA-DSS fournie par PCI SSC. Toutes les autres références à l'approbation ou à l'acceptation par PCI SSC d'une application de paiement ou d'une version de celle-ci sont strictement et activement interdites par PCI SSC.

Lorsqu'elle est accordée, l'acceptation de PCI SSC est fournie pour assurer certaines caractéristiques de sécurité et opérationnelles importantes pour la réalisation des objectifs de PCI SSC. Cependant, une telle acceptation n'inclut ni n'implique en aucun cas une approbation ou garantie concernant le fournisseur d'application de paiement ou la fonctionnalité, la qualité ou la performance de l'application de paiement ou de tout autre produit ou service. PCI SSC ne garantit pas les produits ou services qui sont fournis par des tiers. L'acceptation de PCI SSC n'inclut ou n'implique en aucun cas, aucune garantie de produit de la part de PCI SSC, y compris, sans limitation, toute garantie implicite de qualité marchande, d'adéquation à l'usage ou de non-contrefaçon, toutes ces garanties étant expressément rejetées par PCI SSC. Tous les droits et recours concernant les produits et services qui ont été acceptés par PCI SSC sont fournis par la partie qui fournit ces produits ou services, et non par PCI SSC ou toute autre marque de paiement.