Versions Compared

Old Version 1

changes.mady.by.user bnp-admin

Saved on

compared with

New Version Current

changes.mady.by.user bnp-admin

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Français

Info

PCI DSS est la norme de sécurité des données de l'industrie des cartes de paiement et contient un ensemble de règles pour le traitement sécurisé des transactions par carte de crédit. En principe, toutes les parties impliquées dans un paiement par carte de crédit (par exemple, les commerçants et les PSP sont soumis à ces règles dès qu'ils traitent, transfèrent ou enregistrent des données de carte de crédit.



Il existe 12 exigences de base définies par la norme PCI DSS:

  1. Installer et maintenir une configuration de pare-feu pour protéger les données des porteurs de cartes
  2. N'utilisez pas les paramètres par défaut fournis par le fournisseur pour les mots de passe du système et autres paramètres de sécurité
  3. Protéger les données de détenteur de carte stockées
  4. Chiffrer la transmission des données des titulaires de cartes à travers les réseaux publics ouverts
  5. Utilisez et mettez régulièrement à jour les logiciels ou programmes antivirus
  6. Développer et maintenir des systèmes et applications sécurisés
  7. Restreindre l'accès aux données des porteurs de cartes selon les besoins de l'activité
  8. Attribuer un identifiant unique à chaque personne ayant accès à l'ordinateur
  9. Restreindre l'accès physique aux données des porteurs de cartes
  10. Suivre et surveiller tout accès aux ressources réseau et aux données des titulaires de cartes
  11. Testez régulièrement les systèmes et processus de sécurité
  12. Maintenir une politique qui traite de la sécurité des informations pour les employés et les sous-traitants

L'ensemble complet des règles PCI DSS est publié ici: https://www.pcisecuritystandards.org/document_library

La conformité à ces règles est vérifiée dans le cadre d'une certification PCI DSS. 

Des preuves sont fournies:

  • soit par le biais de questionnaires que vous devez remplir (SAQ - questionnaire d'auto-évaluation).
    • Les questionnaires sont divisés en différentes classes selon la manière dont vous traitez les données des cartes de crédit (SAQ A, SAQ A-EP, ... jusqu'à SAQ D).
  • soit via un audit PCI DSS


Info

La plateforme technique d'Axepta BNP Paribas est auditée et certifiée annuellement selon le niveau 1 PCI DSS - le niveau PCI DSS le plus strict.


Info

La plateforme Axepta BNP Paribas vous aide à réduire votre exposition PCI DSS lorsque vous utilisez la Page de paiement hébergée ou le formulaire de carte sécurisé (paySSL).

Dans ces configurations, vous ne manipulez pas directement les données de carte, ce qui permet généralement de s’orienter vers une évaluation de type SAQ A, sous réserve que toutes les exigences applicables soient respectées.

Par ailleurs, le PCNr (pseudo-numéro de carte) n’est pas considéré comme une donnée de carte au sens de PCI DSS : il s’agit d’un jeton qui référence une carte réelle sans permettre d’en déduire le numéro d’origine. En conséquence, il n’est pas soumis aux contrôles PCI DSS, tant qu’il ne peut pas être reconverti en PAN.




English

Info

...

PCI DSS stands for Payment Card Industry Data Security Standard and contains a set of rules for secure processing credit card transactions. In principle, all those involved in a credit card payment (e.g. merchants and PSPs) are subject to these rules as soon as they process, transfer or save credit card data.

...

...


PCI DSS

...

stands for Payment Card Industry Data Security Standard and contains a set of rules for secure processing credit card transactions. In principle, all those involved in a credit card payment (e.g. merchants and PSPs) are subject to these rules as soon as they process, transfer or save credit card data.

There are 12 basic requirements defined by PCI DSS Standard: 

  1. Install and maintain a firewall configuration to protect cardholder data
  2. Do not use vendor-supplied defaults for system passwords and other security parameters
  3. Protect stored cardholder data
  4. Encrypt transmission of cardholder data across open, public networks
  5. Use and regularly update anti-virus software or programs
  6. Develop and maintain secure systems and applications
  7. Restrict access to cardholder data by business need-to-know
  8. Assign a unique ID to each person with computer access
  9. Restrict physical access to cardholder data
  10. Track and monitor all access to network resources and cardholder data
  11. Regularly test security systems and processes
  12. Maintain a policy that addresses information security for employees and contractors

The complete PCI DSS ruleset is pubslihed here: https://www.pcisecuritystandards.org/document_library

The compliance with these rules is checked as part of a PCI DSS certification.

...

 

Evidence is provided

  • either by means of questionnaires which you must fill out. These questionnaires are referred to

...

  • as  SAQ (self-assessment questionnaire).
    • The questionnaires are divided into different classes depending on how you process credit card data (SAQ A, SAQ A-EP, ... up to SAQ D).
  • Instead of the questionnaire, a personal PCI DSS audit may also be required

...

Multiexcerpt include
SpaceWithExcerptEN
MultiExcerptNamePartner-Name
PageWithExcerptWording

...

Multiexcerpt include
SpaceWithExcerptEN
MultiExcerptNamePlatform-Name
PageWithExcerptWording

...


Info

The technical platform of BNP Paribas is annually audited and certified according to PCI DSS Level 1 - the most strict PCI DSS level. 


However, BNP and Axepta Platform are annually audited and certified according to PCI DSS Level 1 - the most strict PCI DSS level. 

Info
titleEase your PCI DSS certification

(info) 

Multiexcerpt include
SpaceWithExcerptEN
MultiExcerptNamePlatform-Name
PageWithExcerptWording

Axepta Platform supports you in adhering to these rules by relieving you of the direct processing of credit card data, if you use the "Hosted Payment Page" or the Credit Card Form

...

. In the simplest form, then a proof according to SAQ A is possible.

The PcNr (pseudo card number) is not subject to the PCI DSS rules, because it is not a credit card, but only a token that references a credit card

...

PCI DSS steht für Payment Card Industry Data Security Standard und enthält ein Regelwerk zur sicheren Abwicklung von Kreditkartentransaktionen. Grundsätzlich unterliegen alle Beteiligten an einer Kreditkartenzahlung (also beispielsweise Händler und PSP) diesen Regeln, sobald sie Kreditkartendaten verarbeiten, übertragen oder speichern.

Hier eine kleine Übersicht über die grundlegenden 12 Anforderungen aus dem  PCI DSS Standard: 

  1. Installation und Pflege einer Firewall, um die Kartendaten zu schützen
  2. Ersetzen von Standard-Zugangsdaten oder anderen Standard-Werten in Sicherheitseinrichtungen
  3. Schutz gespeicherter Kartendaten
  4. Verschlüsselte Übertragung von Kartendaten über öffentliche Netzwerke
  5. Installation und regelmäßige Aktualisierung von Anti-Viren-Software oder Programmen
  6. Entwicklung und Pflege von sicheren Systemen und Applikationen
  7. Zugriffsbeschränkungen auf Kartendaten "Need-to-Know"-Prinzip
  8. Jeder Computer-Zugang muss eindeutig einer Person (nicht Gruppe) zugeordnet werden können
  9. Physikalische Zugriffsbeschränkungen auf Kartendaten 
  10. Verfolgung und Beobachtung aller Zugriffe auf Netzwerk-Ressourcen und Kartendaten
  11. Regelmäßige Tests der Sicherheitssysteme und -prozesse
  12. Sicherheitsrichtlinien für Mitarbeiter und Dienstleister

Das vollständige PCI-DSS-Regelwerk ist hier veröffentlicht: https://www.pcisecuritystandards.org/document_library

Die Einhaltung dieser Regeln wird im Rahmen einer PCI-DSS-Zertifizierung überprüft. Ihr Acquirer ist für die Überprüfung Ihrer PCI-DSS-Zertifizierung verantwortlich.

Der Nachweis erfolgt

  • entweder über Fragebögen, welche von Ihnen auszufüllen sind. Diese Fragebögen werden als SBF (Selbstbeurteilungsfragebogen) bzw. als SAQ (Self-Assessment Questionnaire) bezeichnet. Die Fragebögen werden abhängig von der Art, wie Sie Kreditkartendaten verarbeiten, in verschiedene Klassen eingeteilt (SAQ A, SAQ A-EP, ... bis hin zu SAQ D).
  • Alternativ zum Fragebogen kann auch ein persönliches PCI DSS Audit erforderlich sein. Diese Entscheidung obliegt dem Acquirer bzw. dem PCI-DSS-Prüfer (QSA).

Multiexcerpt include
SpaceWithExcerptDE
MultiExcerptNamePartner-Name
PageWithExcerptDE:Wording
 und 
Multiexcerpt include
SpaceWithExcerptDE
MultiExcerptNamePlatform-Name
PageWithExcerptDE:Wording
 werden jedes Jahr erneut gemäß PCI DSS Level 1 zertifiziert - dem strengsten PCI DSS level. 

...

titleVereinfachen Sie Ihre PCI DSS Zertifizierung

(info) 

Multiexcerpt include
SpaceWithExcerptDE
MultiExcerptNamePlatform-Name
PageWithExcerptDE:Wording
 unterstützt Sie bei der Einhaltung dieser Regeln, indem es Ihnen die direkte Verarbeitung der Kreditkartendaten abnimmt, wenn Sie die "Hosted Payment Page" oder das Kreditkartenformular (PaySSL) verwenden. In der einfachsten Form ist dann der Nachweis gemäß SAQ A möglich.

...

.