Retrouvez l'actualité du Tourisme pour les professionnels du secteur tourisme avec l'Echo Touristique : agences de voyages, GDS, prestataires spécialisés, voyagistes

PCI DSS : « Pas de sanction au 1er mars pour les agences non encore certifiées »

Alors que les techniques de fraude sont de plus en plus redoutables, les professionnels doivent veiller à se mettre en conformité avec le PCI DSS pour sécuriser les transactions bancaires et respecter ainsi les exigences de IATA, mais aussi de leur banque.

Afin de sensibiliser les professionnels à la certification PCI DSS pour la sécurisation des transactions par carte bancaire, les Entreprises du Voyage (EdV), l’APST et le Seto ont organisé jeudi un atelier pour leurs adhérents. « Il est en effet de la responsabilité du commerçant de veiller à la protection des données cartes dans son environnement, et de rendre compte à sa banque de la mise en conformité PCI DSS, rappellent les EdV, l’APST et le Seto. Standard de sécurité initié par 5 réseaux (Amex, Discover, JCB, Visa et Mastercard), la certification a pour objectif est de limiter la fraude par compromission des données.

« Retenez qu’en cas de compromission, le commerçant peut subir une décrédibilisation de l’image de l’entreprise qui a laissé fuir les données, de lourdes conséquences financières (coût moyen par enregistrement compromis : 127€), des dommages collatéraux en se voyant clôturer la possibilité d’accepter le paiement par carte de crédit, ce qui entraîne un fort préjudice commercial. »

Mieux vaut ne pas tarder

« Contrairement aux rumeurs, ce n’est pas une demande émanant de IATA », insiste Jean-Marc Rozé, secrétaire général des EdV. Certes, IATA exige que l’ensemble des opérateurs soit en conformité pour le 1er mars 2018… mais sur le papier. En pratique, l’Association internationale du transport aérien met en place un projet en 4 phases pour ces nouveaux modes d’accréditation. La France est concernée par la dernière phase avec, pour échéance, juillet 2019. Au 1er mars prochain, les agences pas encore certifiées recevront une notification de non conformité, sans conséquences fâcheuses. Normalement. Car, rappelle Jean-Marc Rozé : « lATA adressera également ce courrier aux compagnies aériennes ; rien n’empêchera alors ces dernières de retirer leur agrément à une agence ». Il faut savoir que les banques elles-mêmes vont demander cette mise en conformité et ce, probablement avant 2019, et pourront  tout autant retirer la facilité d’accepter les cartes de paiement par le biais du TPE de l’agence si celle-ci ne garantit pas un environnement sécurisé. Autant de raisons de se mettre en conformité rapidement.

Cette auto-certification peut se faire seul, ou être accompagnée par une entreprise accréditée par PCI DSS. C’est le cas de Galitt, spécialisée dans les moyens de paiements, qui aide les agences à choisir le questionnaire d’évaluation le plus adapté à  leur infrastructure technique, à déterminer leur profil et leur classification. Cette dernière comprend quatre niveaux  selon le nombre de transactions annuelles. Si seul le niveau 1 (plus de 6 millions de transactions/an) requiert un audit annuel, le questionnaire d’auto-évaluation suffit pour les autres niveaux, mais doit être renouvelé tous les ans. Faute de quoi, l’agence sera déconnectée d’IATA.

 

Des techniques de fraude toujours plus pointues

En 2016, 8 entreprises sur 10 ont été confrontées à une tentative de fraude, et 10% d’entre elles en ont subi un préjudice supérieur à 100 000 €. Pour expliquer l’importance de cette certification, le département fraude d’HSBC a rappelé lors de l’atelier les principales formes « d’ingénierie sociale » – la terminologie officielle pour qualifier les pratiques de manipulation psychologique à des fins d’escroquerie. La fraude « au président », par exemple : une demande urgente et confidentielle de virement vers un compte à l’étranger par un usurpateur convaincant, ou le changement bancaire impliquant l’identité d’un fournisseur de l’entreprise. Autres techniques, le phishing (se faire passer pour une entreprise pour récupérer des informations confidentielles), le malware (virus introduit sur un ordinateur à l’insu de l’utilisateur) ou encore le ransomware (logiciel d’extorsion qui prend en otage des données en échange d’une rançon.

On assiste à une véritable professionnalisation de la fraude, d’où l’importance de la sensibilisation et des mesures en amont : renforcement des procédures de sécurité internes, audit des systèmes d’information, tests d’intrusion et de vigilance. En vue de limiter la casse par compromission massive de données de cartes bancaire, la certification PCI DSS est donc une nécessité. Et cette norme s’adresse à tous les acteurs acceptant ce type de paiement.

Les commentaires sont fermés.

Dans la même rubrique