PCI DSS : comment répondre à la demande de l’IATA
À la suite de la matinée d’information organisée le 15 février par l’APST avec HSBC , les EDV le SETO sur la norme PCI DSS, vous trouverez en téléchargement le support de travail HSBC et Gallit pour vous accompagner dans votre démarche de certification.
Quelles sont les mesures imposées ?
L’IATA impose la certification PCI DSS à tous ses membres :
• Compagnies aériennes,
• Entreprises sous-traitantes et partenaires, agences de voyages
• Les agences de voyages accréditées dont la certification est exigée pour la certification de la compagnie aérienne elle-même. L’échéance est fixée au 1er mars 2018 (déjà repoussée depuis juin 2017).
Les réseaux de cartes bancaires internationaux exigent l’application de la norme PCI DSS à tous les acteurs du paiement par carte afin de :
•limiter la fraude via la compromission massive de données,
•définir une approche commune dans l’application des règles de sécurité. La mise en oeuvre de PCI DSS auprès des commerçants est assurée par les banques membres de ces réseaux.
Le règlement européen 2016/679 sur la protection des données personnelles, General Data Protection Regulation (GDPR), entre en vigueur le 25 mai 2018 :
• Les données personnelles sensibles couvertes par le standard PCI DSS font partie du périmètre de la GDPR
• Le non-respect du règlement européen expose à des pénalités pouvant aller jusqu’à 4% du chiffre d’affaires mondial plafonné à 20M€, en cas de compromission
• Arrêt des systèmes d’information jusqu’à la mise en conformité
• La mise en conformité à PCI DSS permet de contribuer fortement au respect de ce nouveau règlement en capitalisant sur les investissements consentis
Télécharger le document
Présentation de la mise en conformité PCI DSS pour les professionnels du tourisme
Quels sont les risques ?
Le non-respect de l’exigence de certification PCI DSS imposée par l’IATA a les conséquences suivantes :
1. Le retrait, à partir du 1er mars 2018, de l’accréditation IATA des agences de voyages non certifiées PCI DSS leur interdisant ainsi l’utilisation du code commerçant de la compagnie aérienne ce qui entraîne :
• Une augmentation du tarif des transactions carte (prise en charge des commissions)
•Une dépréciation d’image auprès des compagnies aériennes et auprès des clients professionnels et grand public
2. Un risque juridique pour la non-protection des données personnelles
• Un risque financier en cas d’infraction à la nouvelle réglementation européenne sur la protection des données personnelles (GDPR) applicable à partir du 25 mai 2018
• Pénalités de 4% du chiffre d’affaires du commerçant appliqué en cas d’une infraction avérée.
3. Ceci s’ajoutant aux inconvénients bancaires de l’absence de conformité à PCI DSS :
• Des pénalités réclamées par la banque, aggravées en cas de compromission.
Que faut-il retenir ?
– Les réseaux de cartes bancaires internationaux exigent l’application de la norme PCI DSS à tous les acteurs du paiement par carte afin de limiter la fraude via la compromission massive de données.
– IATA va imposer la certification PCI DSS à tous ses membres, compagnies aériennes, entreprises sous-traitantes et partenaires ainsi qu’aux agences de voyages à compter du 01 mars 2018.
– Pour se mettre en conformité, les entreprises doivent s’auto-évaluer grâce à un questionnaire d’évaluation PCI DSS adapté au profil commerçant et à son infrastructure technique.
– Les questionnaires d’auto-evaluation (SAQ) sont disponibles à cette adresse : https://fr.pcisecuritystandards.org/minisite/env2/
– Il vous appartiendra de rédiger l’attestation de conformité PCI DSS (AOC) et de le communiquer aux différents partenaires (ex: IATA) et à la banque acquéreur.
– La certification PCI DSS doit être renouvelée tous les ans.
Pour tout complément d’information, vous pouvez également télécharger :
- HSBC_BROCHURE_FRAUDE 122017
- Comment sécuriser l’information de l’entreprise
- Ingénierie sociale et cybercriminalité : lutter contre la fraude bancaire est l’affaire de tous
Pour toute question envoyer un mail à info@apst.travel