Le stockage des numéros de carte bancaire : un enjeu majeur !
serge
Quelques soient les sources d’information (éditeurs de logiciels, moteurs de recherche ou experts en nouvelles technologies) le constat est très clair. Jamais, les systèmes informatiques des particuliers comme des entreprises n’ont été autant exposés au risque de piratage ou de compromission.
Avec la démocratisation du E-commerce et la migration de la VAD classique sur Internet, c’est bien sur de nouvelles opportunités commerciales qui émergent. Mais c’est aussi de nouveaux enjeux à relever. Et parmi ceux-ci, la sécurisation des données sensibles est particulièrement à l’ordre du jour.
On entend par données sensibles, toutes les informations stockées sur support informatique, qui se rapportent à vos clients et tout particulièrement ceux détenteurs d’une carte bancaire ( Nom, adresse, N° de carte bancaire, date de validité etc…).
Dans ce contexte, les acteurs majeurs des paiements par carte bancaire, dont Visa et Mastercard, ont mis en œuvre un programme d’information et de sensibilisation des commerçants à ces risques, nommé PCI DSS. Mais le droit français n’est pas en reste puisque le délibération n° 03-034 du 19 juin 2003 de la CNIL porte l’adoption d’une recommandation relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance.
Ce programme rappelle l’interdiction de stockage de certaines informations tel que le CVV2 et la nécessité de prendre au niveau de son entreprise un ensemble de dispositif permettant une mise en sécurité de votre informatique (firewall, anti-virus…).
Des outils d’auto-diagnostic sont, à ce titre, proposés afin que chacun puisse effectuer, à son rythme, son propre audit. Ils sont notamment disponibles ici.
Il est important de noter qu’en cas de compromission de données sensibles, il est impératif de prendre contact avec votre interlocuteur bancaire dans les meilleurs délais. Il faut également savoir, que toute irrégularité quant à la gestion de ces données est susceptible d’être sanctionné par des pénalités financières conséquentes.
Dans la mesure, ou le stockage de données relatives aux cartes bancaires n’est pas indispensable à votre activité, je ne peux que vous conseiller de prendre contact avec votre banque ou un PSP (Payment service Provider) qui vous conseillera une alternative conforme à votre activité et à la réglementation.
Publié dans Sécurité et Réseau | E-commerce & VAD
|
|
Samedi 20 septembre 2008 à 20:18
A la suite d’un contrôle au sein d’un hôtel, la CNIL a rappelé le 29/05/2007 les règles encadrant le traitement des données bancaires des clients. Ces données doivent faire l’objet de mesures de sécurité particulières et leur conservation doit être limitée dans le temps. Ces rappels concernent aussi un grand nombre de professionnels disposant de fichiers clients.
Le contrôle sur place de la CNIL avait pour objet de vérifier le respect par un hôtel de ses obligations en matière de la gestion de ses fichiers « clientèle ».
Parmi les manquements relevés, il a été constaté : l’absence d’une politique d’effacement des données collectées (certaines données étaient conservées depuis près de quinze ans), des mesures de sécurité insuffisantes au regard de la nature des données enregistrées (numéros de carte bancaire notamment) et un défaut d’information des clients sur les conditions de traitement de leurs données et des droits qui leur sont reconnus par la loi (droit d’accès par exemple).
La Commission insiste sur la nécessité d’effacer les données bancaires une fois la transaction réalisée, c’est-à-dire après le paiement effectif. Cette exigence est destinée à limiter les cas d’utilisation frauduleuse de numéros de cartes bancaires. Seul le consentement exprès du client, préalablement informé de l’objectif poursuivi (faciliter le paiement par les clients réguliers de l’hôtel) peut justifier que les données soient conservées plus longtemps.
En outre, toutes les mesures garantissant la sécurité et la confidentialité des informations doivent être prises : à savoir, protéger par des mots de passe l’accès aux fichiers « clientèle » et aux logiciels, chiffrer les données bancaires stockées et sécuriser les accès et les liaisons aux sites de gestion de réservations en ligne (login, mots de passe, protocole sécurisé).
La commission a déjà été amenée à se prononcer sur les modalités de stockage et d’utilisation du numéro de carte bancaire dans le secteur de la vente à distance (cf. recommandation n°03-034 du 19 juin 2003 http://www.cnil.fr/index.php?id=1357 ).
Enfin, la CNIL précise que les clients doivent être informés par des formulaires de réservation en ligne, par les factures ou par voie d’affichage, de l’identité du responsable des traitements, de leurs finalités, des destinataires des données, du caractère obligatoire ou facultatif des réponses et des modalités d’exercice des droits d’accès, de rectification et d’opposition.
A l’issue du contrôle, la CNIL a pris contact avec la société éditrice du logiciel hôtelier, qui l’a modifié de manière à chiffrer les données clientèles et bancaires. Cette société a également informé l’ensemble de ses clients sur leurs obligations légales en matière de protection des données personnelles.
Petit résumé :
- Il n’est pas interdit de collecter et stocker des n° de CB,
- Il faut par contre protéger les données (cf normes PCI-DSS),
- Il faut informer le client que sa carte va être conservée de façon limitée dans le temps (+ politique d’accès CNIL…),
- Il faut que le commerçant définisse une durée de traitement liée au stockage des données CB (durée d’un abonnement, J+1 mois après le passage dans l’hôtel,….),
Sur le volet PCI-DSS, le mieux pour le commerçant est d’externaliser le stockage auprès d’un Opérateur de Paiement certifié par VISA & MASTERCARD.
PAYBOX SERVICES est très mature sur le sujet en ayant accompagné déjà plusieurs commerçants sur le chantier de l’externalisation multicanal, tout en gardant la souplesse de traitement existante, et en ajoutant également une couche d’aide à la décision dans le cadre de lutte contre la fraude.
Frederic LOOS
PAYBOX SERVICES
www.paybox.com