Le 1er mars s’en vient vite, très vite! C’est à cette date que, partout dans le monde, des agences devront se conformer aux normes du Conseil des normes de sécurité PCI. Si certains voient encore approcher la date butoir avec nonchalance, d’autres sont presque en mode panique. Qui a raison?

Jean Collette, président de l’AAVQ, souligne avoir reçu plusieurs appels de membres préoccupés par la question. « À certains égards, ça me rappelle le bogue de l’an 2000, quand on pensait que tout cesserait de fonctionner après minuit », lance-t-il à la blague.

LIMITER LA FRAUDE

Cela dit, puisque l’objectif est de limiter la fraude, M. Collette (photo) convient qu’il faut prendre au sérieux la « norme de sécurité des données de l’industrie des cartes de paiement » – mieux connue sous le nom de PCI DSS (pour Payment Card Industry Data Security Standard).

Cette norme PCI DSS n’est pas une loi, ni un règlement. Elle n’émane pas des gouvernements, ni de l’OPC, ni de l’IATA. Ce sont les Visa, MasterCard, American Express et d’autres réseaux de cartes bancaires internationaux qui l’ont établie.

VOUS FAITES PARTIE DE LA CHAÎNE !

Du coup, la norme PCI DSS ne concerne pas spécifiquement les entreprises de l’industrie du voyage. « Elle concerne autant l’agence de voyages que le poissonnier du coin », lance Richard Villeneuve de Voyage en Direct (photo ci-dessous).

En effet, la norme PCI DSS postule que TOUS les commerçants acceptant ou manipulant des cartes de paiement sont concernés par l’objectif de limiter l’utilisation frauduleuse des instruments de paiement. Ça comprend évidemment les agences de voyages – surtout que leur industrie n’est pas épargnée par ce type de crime en plein esor, tant s’en faut!

« L’objectif de la norme PCI DSS, c’est de sécuriser la chaîne au grand complet, du début à la fin, du petit détaillant au grand fournisseur », indique Jean Collette.

Or, n’en doutez pas : vous faites partie de la chaîne! Même si vous n’êtes pas marchand. Même si vous n’êtes pas IATA. Pour ne pas être concerné par la norme PCI DSS, il faudrait que vous ne soyez toujours payé qu’en comptant ou par chèque. Existe-t-il encore quelqu’un qui fait ça?

QUE SE PASSE-T-IL LE 1er MARS?

La norme PCI DSS n’est pas nouvelle : elle a été mise en place en 2006. Alors, pourquoi tout ce brouhaha autour de la date du 1er mars 2018?

C’est parce qu’à partir de cette date, conformément aux résolutions 818g et 812 de l’IATA, toute agence agréée IATA acceptant les paiements par carte de crédit devra être conforme à la norme PCI DSS et devra pouvoir le démontrer.

« On présume que IATA elle-même a dû se faire demander par le réseau de paiement d’être conforme la norme PCI DSS. Pour conserver son accréditation, l’Association n’a pas d’autre choix que de s’assurer ensuite que ses marchands le sont également conformes. C’est sans doute pourquoi IATA leur a fixé une date butoir », avance l’experte en conformité de paiement Annie Chouinard, de Proconform. (photo)

Parenthèse : on peut facilement prévoir que d’autres organisations – comme les institutions financières qui traitent des transactions de carte de paiement pour des marchands – exigent pareillement que les agences démontrent leur conformité avec le PCI DSS. En ce sens, TOUTES les agences, qu’elles soient IATA ou non, ont intérêt à prendre rapidement les mesures pour adhérer au PCI DSS

AUTO-ÉVALUATION

Comment les agences concernées doivent-elles démontrer leur conformité PCI DSS? « Des questionnaires d’auto-évaluation sont disponibles sur le site du  Conseil des normes de sécurité PCI », indique Jean Collette.

Questionnaires d’auto-évaluation et attestation de conformité

« Il faut savoir qu’il y a quatre niveaux de PCI, établis selon le volume de transactions annuelles, et que l’auto-évaluation varie, notamment, en fonction de ce niveau », dit le président de l’AAVQ.

Le niveau 1 correspond aux marchands qui déclarent plus de 6 000 000 de transactions par année; le niveau 2, de 1 000 000 à 6 000 000; le niveau 3, de 20 000 à 1 000 000; et le niveau 4, moins de 20 000 transactions annuelles. Selon M. Collette, la très grande majorité, sinon la totalité des détaillants sont du niveau 4. « Même les grands discompteurs sont à ce niveau, car si leurs transactions sont très nombreuses, ils les font généralement en utilisant un numéro de marchand qui n’est pas le leur, mais celui de fournisseurs », avance-t-il.

L’auto-évaluation (appelée SAQ) consiste en une sorte de check-list démontrant que toutes les précautions sont prises, que les bonnes mesures sont en place, et que les pratiques appropriées sont appliquées, indique M. Collette. « L’idée générale, c’est de ne jamais conserver nulle part aucune trace des numéros de carte de crédit, pas même sur des notes manuscrites, pour éliminer tout risque que ces informations puissent tomber entre les mauvaises mains. »

Photo ©Conseil des normes de sécurité PCI

À cet égard, le long questionnaire d’auto-évaluation vérifie tous les détails, à toutes les étapes, pour chacun des niveaux. Il faut que le marchand puisse cocher vis-à-vis de chaque énoncé de la liste de contrôle pour confirmer qu’il correspond bien à sa pratique.

« Par exemple, on ne laisse pas traîner des dossiers à la vue de tous; on les range dans des classeurs et ces classeurs sont verrouillés; on oblitère systématiquement les numéros de carte de paiement; le personnel a suivi une formation adéquate, etc.», illustre Jean Collette.

Une fois ce long questionnaire d’auto-évaluation complété, il faut transmettre le document à l’IATA ou à l’«acquéreur» qui en fait la demande (on désigne ainsi l’institution financière qui traite des transactions de carte de paiement pour des marchands). La conformité devra ensuite être reconfirmée chaque année.

ACCOMPAGNEMENT DISPONIBLE

Se soumettre à ce questionnaire d’auto-évaluation est un exercice « qui peut sembler assez laborieux », admet M. Collette. Puisque tout est public et disponible sur le site de du Conseil des normes de sécurité PCI, les agences peuvent le faire par elle-même. Mais elles peuvent aussi choisir de se faire accompagner.

Photo ©Conseil des normes de sécurité PCI

« C’est un peu comme un rapport d’impôt. Rien n’oblige à faire affaire avec un fiscaliste, mais ça facilite les choses et ça réduit de beaucoup le risque d’erreurs », mentionne Richard Villeneuve, dont le réseau a choisi le service clé en main de Proconform (et son experte en conformité de paiement Annie Chouinard) pour épargner à ses membres le souci de se retrouver dans tout ça. Plusieurs autres entreprises, dont Accel PCI, Ubitrak, Travelport, etc., proposent aussi aux commerçants des produits et services (payants) pour les accompagner dans leur mise en conformité à la norme PCI DSS et dans le maintien de celle-ci.

Mentionnons aussi que si le processus d’auto-évaluation convient pour les niveaux 2, 3 et 4 du PCI, il ne suffit pas pour les très grands joueurs du niveau 1 qui doivent aussi subir un audit.

LE RISQUE DE NE PAS SE CONFORMER

Quant aux agences IATA qui n’auraient pas démontré leur conformité PCI DSS au 1er mars 2018, on ne les mettra pas en prison! Elles s’exposent d’abord à recevoir une notification de non-conformité, et éventuellement à des amendes si elles ne remédient pas à la situation. Éventuellement, leur accréditation pourrait être menacée.

Photo ©Conseil des normes de sécurité PCI

Et les agences non-IATA qui ne seraient pas conformes en date du 1er mars? « Si une fraude survient, qu’on soit IATA ou non, ou qu’on soit le poissonnier du coin, si tu n’est pas conforme à la norme PCI DSS, ton niveau de responsabilité dans cette fraude augmente aux yeux des réseaux de paiement. C’est déjà le cas aujourd’hui, avant le 1er mars, et ce sera le cas après cette date », explique Annie Chouinard.

« Mais ça, bien des gens l’ignorent. En conséquence, ces gens ne gèrent pas le risque et, si advient une fraude, il se pourrait que cette fraude leur coûte beaucoup plus cher. On parle d’amende, mais aussi du risque d’être débranché par les compagnies de paiement! De tels cas se sont déjà produits au Québec. Je l’ai vu chez de grosses institutions. Si on le fait avec de gros joueurs, on n’hésitera pas à le faire avec des petits », conclut Mme Chouinard.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici