De plus en plus de sites marchands conservent l'information non cryptée de cartes de crédit. Appliquer un protocole de sécurité rigoureux évite les amendes et garantit la sécurité des clients.

La sécurité dans les entreprises couvre pratiquement tous les domaines et, comme la technologie de la sécurité est en constante évolution, les sites marchands risquent de perdre de vue des pratiques importantes. Les données de paiement des clients en sont un exemple type. Selon une étude de SecuriyMetrics, il s'avère que, en 2011, 71% des sites marchands interrogés ont enregistré des données non cryptées de cartes de payement dans leur système informatique, une augmentation de 8 % par rapport à 2010. Le CEO Brad Caldwell, spécialiste de la sécurité des données des sites marchands, accorde une grande importance à ce problème de données: « Nous pensons que cette constatation change la donne pour l'industrie de la sécurité et aidera à centrer les priorités sur le pire problème que doivent affronter les sites marchands aujourd'hui. Après tout, les criminels ne peuvent dérober les données de cartes dont les sites marchands ne disposent pas. »

Conserver des données de payement non sécurisées est illégal, mais les entreprises n'en sont pas toujours conscientes

Les entreprises qui stockent des données non cryptées de cartes de crédit  violent les exigences du Payment Card Industry Data Security Standard (PCI DSS) mais le font peut-être à cause d'erreurs dans leurs applications de paiement ou du traitement impropre par leurs employés. Les entreprises doivent veiller à six grands domaines : mettre en place et entretenir un réseau convenable, protéger les données du détenteur de la carte, entretenir un programme de gestion de la vulnérabilité, mettre en place des mesures contraignantes de contrôle d'accès, surveiller  et tester régulièrement le réseau et mettre en place une politique de sécurité de l'information. Une bonne gestion doit être intégrée dans les protocoles de sécurité des entreprises et l'information des sites marchands est le premier pas de la gestion de la sécurité. Étant donné que toute compagnie qui utilise, visualise ou enregistre une information sur les cartes de crédit doit respecter le PCI DSS, il s'agit d'un engagement important.

Le PANscan de SecurityMetric’s permet aux non techniciens de s'attaquer à un problème technique

En téléchargement libre, PANscan recherche les données de payement sur les réseaux de l'entreprise et a été utilisé par SecurityMetrics pour documenter leur étude. Bien qu'il y ait de nombreuses façons de vérifier si des données en contravention avec le DSS sont présentes, le produit PANscan permet à des marchands non techniciens de s'assurer que leur système est sûr. « PANscan permet aux marchands de découvrir très vite s'ils ont un problème et de prendre les actions nécessaires à leur protection », déclare Brad Caldwell.