La certification PCI est le processus suivi par une entreprise pour vérifier qu’elle est conforme aux normes de sécurité des données de l’industrie des cartes de paiement (connues sous le nom de PCI DSS). Ces normes sont établies par les principales sociétés de cartes de crédit et sont conçues pour aider à réduire le vol d’informations sur les cartes de crédit. En général, les entreprises qui utilisent, stockent ou partagent des informations de carte de crédit de quelque manière que ce soit sont tenues d’obtenir la certification PCI.
Les exigences pour obtenir la certification PCI varient souvent en fonction du niveau de marchand auquel une entreprise est classée. Le nombre de transactions par carte de crédit qu’une entreprise effectue en moyenne chaque année détermine généralement cela. En général, une entreprise peut être qualifiée de marchand de niveau un, deux, trois ou quatre, une entreprise de niveau un traitant généralement plusieurs millions de transactions par an et une entreprise de niveau quatre traitant généralement moins d’un million. Les entreprises qui ont déjà été impliquées dans des stratagèmes de vol de cartes de crédit peuvent être automatiquement étiquetées comme commerçants de niveau un, quel que soit le nombre de transactions qu’elles traitent généralement.
Les entreprises ayant le niveau de commerçant le plus élevé doivent souvent effectuer des tests plus rigoureux pour obtenir la certification PCI. Par exemple, les entreprises de niveau un doivent souvent se soumettre à des tests rigoureux des réseaux informatiques et des systèmes de sécurité sur une base continue. La certification PCI pour ces entreprises n’est généralement délivrée que pour une période de trois mois, après quoi des tests supplémentaires doivent être effectués pour conserver la certification. Cependant, les plus petites entreprises de niveau quatre, telles que celles qui n’effectuent que quelques centaines de transactions par carte de crédit par an, peuvent souvent obtenir la certification PCI simplement en effectuant une auto-évaluation. Si seule une telle évaluation doit être effectuée, la certification de l’entreprise durera généralement une année complète.
Bien que le processus d’obtention de la certification PCI puisse varier, les mêmes principes de base s’appliquent généralement à tous les niveaux de marchands. Il s’agit généralement d’avoir un réseau informatique sécurisé, de protéger les informations de carte de crédit qui sont stockées ou transmises par voie électronique, de tester régulièrement les réseaux informatiques pour s’assurer qu’ils ne risquent pas d’être piratés, d’avoir un système pour contrôler qui a accès aux informations de carte de crédit, et tester régulièrement les processus précédemment mis en place pour protéger les informations de carte de crédit. Au sein de chacune de ces catégories générales, il existe souvent des exigences plus spécifiques, mais elles visent toutes généralement à répondre à ces six grands principes.
La certification PCI est généralement requise pour toute entreprise qui utilise, stocke ou partage des informations de carte de crédit et/ou certaines informations de carte de débit. Les cartes de débit qui sont généralement incluses dans cette exigence sont celles qui sont affiliées aux principales sociétés de cartes de crédit. Le défaut d’obtenir la certification PCI peut entraîner des amendes émises par les sociétés de cartes de crédit. De plus, ne pas être en conformité peut exposer une entreprise à un risque accru de vol de données de carte de crédit, ce qui peut être très coûteux.