|
|
|
*Les passerelles de paiement sont une catégorie de fournisseur de service qui stocke, traite ou communique les données du titulaire de carte dans le cadre d’une transaction de paiement. Elles permettent en particulier les transactions de paiement (p. ex., autorisation ou règlement) entre les marchands et les entités de traitement (points d’extrémités VisaNet). Les marchands peuvent transmettre leurs transactions de paiement directement à un point d’extrémité ou indirectement à une passerelle de paiement.
|
|
Fondement de la conformité SICLes exigences en matière de validation de la conformité concernent tous les niveaux de fournisseurs de service. Ce rocessus exige l’utilisation d’un évaluateur qualifié en matière de sécurité (SA) (Qualified Security Assessor) ou d’un fournisseur approuvé de services de balayage (ASV) (Approved Scanning Vendor) :
*Inscrit signifie qu’un questionnaire annuel de PCI et des balayages de sécurité de PCI ont été complétés par un évaluateur QSA Procédures et documents de validationLes fournisseurs de service doivent valider leur conformité en soumettant les documents requis à Visa. La validation de la conformité du fournisseur de service se déroule de la façon suivante, et ce, à ses frais : Le Le Questionnaire annuel de PCI doit être rempli et un audit annuel de la sécurité de PCI sur place (Annual On- Site PCI Data Security Assessment ) doit être effectué par les fournisseurs de service des niveaux 1 et 2 conformément aux Procédures d’audit de sécurité PCI DSS et les résultats doivent être transmis à l’acquéreur. Les fournisseurs de service des niveaux 1, 2 et 3 doivent utiliser les services d’un évaluateur QSA pour remplir le rapport de conformité. Les procédures d’audit de sécurité PCI DSS doivent être utilisées comme gabarit pour créer le rapport de conformité. Bien que les acquéreurs soient responsables de la sécurité des données des titulaires de carte Visa peu importe où ces données résident , la portée de la validation de la conformité SIC pour les fournisseurs de service niveaux 1 et 2 se concentre sur tout système ou toute composante de système lié au traitement, au stockage ou à la communication des données sur les titulaires de carte Visa, et sur tout système connexe . La portée de la validation SIC est décrite dans les Procédures d’audit de sécurité PCI DSS. Les balayages de sécurité PCI sont un outil automatisé utilisé pour détecter les vulnérabilités des systèmes. L’outil effectue un balayage non invasif des réseaux d’examen distants et des applications Web sur une adresse de protocole Internet (IP) en contact externe fournie par le fournisseur de service. Les fournisseurs de service des niveaux 1, 2 et 3 doivent s’assurer que des balayages de sécurité PCI sont exécutés sur leurs systèmes périphériques en contact avec Internet par un fournisseur approuvé de services de balayage. Un client utilisant un fournisseur de service ou un acquéreur dont le marchand utilise un fournisseur de service qui ne se conforme pas au programme SIC, devrait prier ce dernier de consulter le site www.visa.ca pour obtenir des renseignements sur la façon de devenir un fournisseur de service conforme au programme.
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||
© 2010 Visa. Tous droits réservés.
*Visa fait cette affirmation en s'appuyant sur le nombre de cartes d'usage général émises,le nombre de transactions effectuées et le volume total des achats à l'échelle mondiale.
