Qu'est-ce que les données du titulaire de carte ?

Les données du titulaire de la carte (CHD) sont des informations relatives à une carte de paiement protégées par la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Cela inclut le numéro de compte principal (PAN) complet, et éventuellement le nom du titulaire de la carte, la date d'expiration et le code de service.

Les CHD sont les informations disponibles après la fin de la transaction, qui comprennent le nom du titulaire de la carte, la date d'expiration de la carte et le numéro de compte principal (PAN). 

La protection des données de carte de crédit (CHD) est importante pour plusieurs raisons. La conformité client est cruciale, car elle permet de maintenir la confiance, de respecter les réglementations et d'éviter les pénalités financières. Le chiffrement et d'autres mesures de sécurité sont essentiels pour garantir la sécurité des données sensibles et réduire les dommages possibles d'une violation de données.

Les pertes financières peuvent survenir de plusieurs manières, notamment par le vol d'identité et les achats frauduleux. Limiter l'accès non autorisé aux données CHD sensibles est crucial, car cela peut minimiser le risque de pertes financières potentielles. Toute entreprise qui traite des données de carte de crédit doit maintenir la confiance de ses clients. La protection des données CHD est essentielle pour que les entreprises maintiennent la conformité et renforcent leur crédibilité en matière de sécurité des données.

La violation des données du titulaire de carte (CHD) peut avoir un impact significatif sur les consommateurs, les institutions financières et les détaillants. Les responsabilités financières, les amendes importantes, les frais juridiques, les coûts d'indemnisation, les atteintes à la réputation et la perte de confiance des clients sont autant de conséquences possibles des violations.

Pour réduire ces risques, l'adhésion à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est essentielle. Des pénalités financières supplémentaires et des atteintes à la réputation peuvent découler du non-respect de cette norme. 

Les données d'authentification sensibles (SAD) et les données du titulaire de carte (CHD) sont deux catégories de données essentielles au traitement des paiements. Les données CHD contiennent des données telles que le numéro de compte principal (PAN), le nom du titulaire de la carte et la date d'expiration de la carte de paiement, qui peuvent être conservées après la confirmation d'une transaction.

Pour authentifier les titulaires de carte, les SAD comprennent des composants tels que le code PIN, les données de piste de la bande magnétique ou de la puce EMV, et le code/valeur de vérification de la carte (CVC, CVV ou CID). Étant donné que les CHD et les SAD ont des exigences de sécurité différentes, il est essentiel de comprendre leurs différences. 

• Les commerçants sont autorisés à sauvegarder les CHD, mais s'ils le font, celles-ci doivent être chiffrées. Cependant, même si les SAD sont chiffrées, les entreprises ne sont pas autorisées à les stocker après autorisation. 
• Les commerçants peuvent conserver les CHD, car elles sont moins sensibles que les SAD.
• Les commerçants peuvent suivre les transactions des clients à l'aide des CHD.
• Les commerçants ne doivent pas conserver les SAD, car elles sont plus sensibles que les CHD.
• Les commerçants ne peuvent pas tracer les transactions des clients avec les SAD. 

Toutes les organisations participant aux transactions par carte, y compris les banques, les passerelles de paiement, les commerçants et les prestataires de services, doivent se conformer à la norme PCI DSS. Cela vaut pour toute entreprise, quelle que soit sa taille ou son volume de transactions, qui traite, stocke ou transmet des informations de carte de crédit. 

Afin de garantir la sécurité des données des titulaires de carte lors des transactions et du stockage, chaque organisation impliquée doit adhérer à ce processus. Les exigences contractuelles et les validations annuelles de conformité sont spécifiées dans les accords du réseau de cartes de crédit et exigées par les sociétés émettrices de cartes de crédit. 

Les processeurs tiers (TPSP) doivent également respecter la norme PCI DSS (Payment Card Industry Data Security Standard) pour le traitement des cartes de paiement. Les entreprises SaaS doivent gérer et surveiller la conformité PCI DSS de leurs TPSP au moins une fois tous les 12 mois. 

Les TPSP doivent démontrer leur conformité PCI DSS aux organisations SaaS pour la vérifier via un PCI DSS annuel audit de conformité ou plusieurs audits aléatoires du TPSP. Une entreprise SaaS devrait créer un plan pour suivre annuellement l'état de conformité PCI DSS des TPSP et garder une trace de toutes les exigences PCI DSS qui sont de la responsabilité du TPSP. 

En fin de compte, les organisations SaaS sont responsables de leur propre conformité PCI DSS. Elles doivent s'assurer que leurs TPSP sont conformes, car ils affectent la sécurité de l'environnement des données des titulaires de carte.

Les pénalités financières, l'atteinte à la réputation, la perte de confiance des clients et les occasions d'affaires manquées ne sont que quelques-unes des graves répercussions de la non-conformité à la norme PCI DSS.

De plus, les entreprises non conformes s'exposent à des répercussions juridiques, à des coûts de transaction plus élevés, à des normes d'audit plus strictes ou à la résiliation d'un partenariat bancaire. Dans les cas graves, la non-conformité peut entraîner la faillite.

Les sociétés émettrices de cartes de paiement peuvent imposer des amendes aux banques acquéreuses, répercutant les pénalités sur les commerçants. En particulier, le non-respect de la norme PCI DSS peut entraîner des amendes de 5 000 $ à 100 000 $ par mois jusqu'à ce que la conformité soit atteinte.

Les données du titulaire de carte ne peuvent être exemptées des exigences PCI DSS si le chiffrement est utilisé seul. Les systèmes qui gèrent Cryptage Le chiffrement et le déchiffrement sont sous l'autorité de PCI DSS, tout comme tout environnement contenant des données de titulaire de carte, même chiffrées. Cependant, les systèmes qui gèrent le chiffrement et le déchiffrement entrent dans le champ d'application de PCI DSS, mais pas les données chiffrées du titulaire de la carte. Dans les environnements où des données de titulaire de carte sont présentes, le chiffrement n'invalide pas l'exigence de PCI DSS.