La norme PCI-DSS expliquée à votre directeur général

Pourquoi s'y intéresser ? Bien que non obligatoire, la norme de sécurité PCI-DSS est incontournable pour ceux qui veulent gérer des transactions monétaires et sécuriser les paiements en ligne. Mais la démarche de certification reste assez complexe.

Les gains

1. Une sécurité rigoureuse. Créée en 2006 par Visa, Mastercard, American Express et JCB, la norme PCI-DSS exige le respect d'une procédure de sécurisation assez draconienne, allant du chiffrement des données numériques sensibles à la mise en place d'une politique de recrutement adaptée et de contrôle des salariés. S'y conformer apporte un niveau de garantie reconnu et rassurant pour les utilisateurs.2. Un enjeu marketing important. La sécurisation des transactions constitue un argument commercial incontestable. Les exemples de fraudes et de vols de coordonnées bancaires ? et leurs effets désastreux sur l'image des sociétés ? s'avèrent suffisamment nombreux pour ne pas en douter. Si la norme n'est réellement présente sur le territoire français que depuis deux ans, elle a déjà fait ses preuves outre-Atlantique.3. Une base de travail robuste. Même si l'entreprise ne souhaite pas s'y conformer, la norme PCI-DSS reste un recueil d'informations majeures dont il serait dommage de se priver. Mise à jour régulièrement, elle propose certaines recommandations telles que la sécurisation des accès sans-fil de type Wi-Fi ou la mise en place de procédures de suivi et de contrôle interne.

Les limites

1. Un investissement assez conséquent. Dans le cadre d'une démarche de certification, la procédure s'avère parfois lourde. Et ce, tant du point de vue humain que financier. Déléguer la gestion des transactions à un organisme déjà certifié ? comme la plupart des banques ? constitue une démarche judicieuse.2. Un niveau de sécurité perfectible. Certains responsables de la sécurité estiment que la norme PCI-DSS ne délivre des recommandations que sur un minimum requis. Ainsi, le groupe de distribution alimentaire Hannaford Brothers a reçu sa certification… seulement deux jours après s'être fait voler plus de quatre millions de coordonnées bancaires.