StandardsInternational (applies to all merchants)En vigueur PCI DSS v4.0 — March 31, 2024

PCI DSS

Payment Card Industry Data Security Standard (PCI DSS v4.0)

La norme de sécurité obligatoire pour chaque entreprise canadienne acceptant des cartes

Effectuer une évaluation PCI DSS ← Tous les cadres

Aperçu

PCI DSS est une norme de sécurité technique et opérationnelle obligatoire pour toute organisation qui stocke, traite ou transmet des données de carte de paiement. Tout marchand canadien — d'une startup de commerce électronique à un détaillant national — doit se conformer à PCI DSS. La non-conformité peut entraîner des amendes, des frais de transaction accrus et la perte des privilèges d'acceptation de cartes.

Autorité

PCI Security Standards Council

Territoire

International (applies to all merchants)

Date d'entrée en vigueur

PCI DSS v4.0 — March 31, 2024

Applicabilité

Qui doit se conformer à PCI DSS?

Tout marchand ou prestataire de services qui stocke, traite ou transmet des données de titulaire de carte — quelle que soit sa taille. Les marchands canadiens sont assujettis à PCI DSS par leurs accords avec leur processeur de paiement. Les entreprises de commerce électronique, restaurants, détaillants et plateformes SaaS avec paiements intégrés doivent toutes se conformer.

Portée de la conformité

Votre organisation collecte des renseignements personnels

Vous exercez vos activités dans le territoire applicable

Des activités commerciales sont impliquées

Vous utilisez ou communiquez des données personnelles

Vous n'êtes pas certain que PCI DSS s'applique? Effectuez une évaluation gratuite →

Obligations

Principales obligations en vertu de PCI DSS

Sécurité du réseau

Installez et maintenez des pare-feux, segmentez votre environnement de données de titulaire de carte des autres réseaux et changez les mots de passe par défaut des fournisseurs.

Protéger les données du titulaire de carte

Chiffrez les données du titulaire de carte au repos et en transit. Ne stockez jamais le CVV complet ou la piste magnétique après l'autorisation.

Gestion des vulnérabilités

Maintenez un logiciel anti-maliciel, corrigez régulièrement tous les systèmes et effectuez des analyses trimestrielles des vulnérabilités.

Contrôle d'accès

Restreignez l'accès aux données du titulaire de carte selon le besoin d'en connaître. Attribuez des identifiants uniques à chaque personne ayant accès à un ordinateur.

Surveillance et tests

Journalisez tous les accès aux ressources réseau et aux données du titulaire de carte. Effectuez des tests de pénétration annuels sur votre EDC.

Politique de sécurité de l'information

Maintenez une politique de sécurité répondant à toutes les exigences PCI DSS. Révisez-la annuellement et communiquez-la à tout le personnel.

Application

Pénalités et application de la loi

Pénalité maximale

$5,000–$100,000/month until compliant (from card brands)

Appliqué par : Visa, Mastercard, Amex (through acquirer agreements)

Cas notable

Heartland Payment Systems was fined $145M after a breach affecting 130M cards — the largest at the time

Comment Canuckt vous protège des pénalités :

Analyse des écarts PCI DSS-LPRPDE montrant comment vos obligations de protection des données de paiement se chevauchent avec la loi canadienne sur la vie privée

Outil d'inventaire de l'environnement de données du titulaire de carte (EDC) pour délimiter vos exigences de conformité PCI DSS

Modèle de réponse aux atteintes satisfaisant à la fois la réponse aux incidents PCI DSS et les exigences de notification d'atteinte de la LPRPDE

Questionnaire fournisseur pour les processeurs de paiement et les fournisseurs de services de paiement tiers

Connexes

Cadres qui se recoupent souvent avec PCI DSS

Standards

ISO 27001

The international gold standard for information security

Privacy

PIPEDA

Canada's federal private-sector privacy law

Financial

FINTRAC

Canada's AML/CFT compliance framework

Effectuez une analyse des écarts PCI DSS gratuitement

Répondez à 47 questions, obtenez un rapport d'écarts noté, et voyez exactement ce que vous devez faire pour vous conformer à PCI DSS — en moins de 3 heures. Gratuit pour toujours.

Commencer l'évaluation gratuite

Sans carte de crédit

Résultats en quelques heures

Données hébergées au Canada