Twitter Facebook Google Plus Linkedin email Imprimer Pdf

|||

Adfinitas choisit Bull pour sa certification PCI DSS

Publié le 18 juin 2013 par Pierre Picard

Créée en 1997, l’agence de marketing relationnel adfinitas est spécialisée dans la collecte de fonds privés pour le caritatif et l’humanitaire.

Présente en Allemagne, en France aux Pays-Bas et au Royaume-Uni, adfinitas bénéficie d’une expertise internationale et novatrice dédiée aux associations et fondations à but non-lucratif. Elle a notamment étendu ses compétences à la collecte de dons en ligne sur Internet permettant un paiement simple, rapide et sécurisé, sans passer par un site tiers.

Cependant, la crainte du grand public vis-à-vis du paiement par carte bancaire sur Internet constitue souvent un frein au don en ligne. Le donateur peut redouter qu’un hacker s’empare de son numéro de carte saisi sur Internet, et s’en serve pour procéder à des paiements frauduleux.

Fin 2011, adfinitas, désireuse d’anticiper les réticences éventuelles de ses clients et des donateurs vis-à-vis du paiement en ligne a lancé un projet de mise en conformité de son infrastructure « Don en ligne » selon les normes PCI DSS[1]. Antoine Martel, Directeur du département Internet d’adfinitas, revient sur la genèse du projet et les raisons ayant motivé le choix de Bull comme Qualified Security Assessor (QSA) PCI DSS.

Quels étaient les défis à relever au regard du don en ligne ?

Le don en ligne représente seulement 5 % des dons, mais devrait atteindre plus de 25 % dans les 5 ans, pour dépasser les 50 % dans les 10 ans à venir. L’enjeu est donc de taille et nous nous devons d’être irréprochables en matière de sécurité.

Nous avons développé avec iRaiser, éditeur SaaS 100 % spécialisé pour les acteurs du non-marchand, une suite logicielle complète et exhaustive pour faciliter le quotidien des associations. iRaiser s’engage sur la sécurité des données bancaires saisies par les donateurs avec son application « Don en ligne », en limitant par exemple au strict minimum le recueil et la conservation des données cartes. Plusieurs dizaines de millions d’euros sont collectés chaque année via cette application. Cependant, pour nous développer sur les marchés européens et passer de 50 clients essentiellement français à plus de 500 répartis entre l’Allemagne, la Belgique, l’Espagne, la France, l’Italie, le Luxembourg, les Pays-Bas, le Portugal, le Royaume-Uni, la Suisse… nous devions aller plus loin.

Aussi, pour apporter à nos clients du secteur humanitaire la confiance que ceux-ci doivent à leurs donateurs, et en anticipant toute exigence réglementaire ou bancaire, nous avons décidé de nous engager dans la certification PCI DSS, garantissant ainsi que toutes les dispositions nécessaires sont prises pour protéger les donateurs.

Comment se passe la sécurisation de l’application « Don en ligne » ?

La démarche proposée par Bull repose sur trois étapes successives :

  1. Pré-audit ou analyse des écarts : au cours de cette étape, les consultants de Bull établissent un premier diagnostic et évaluent notre niveau de maturité vis-à-vis du standard PCI DSS. Les 133 exigences du standard sont passées en revue, ce qui leur permet d’identifier les points de non-conformité, et donc les grands chantiers sur lesquels nous devons concentrer nos efforts pour atteindre le niveau exigé par PCI DSS.
  2. Mise en conformité : à partir de la feuille de route et du jalonnement établis par Bull pour ces chantiers, nous avançons progressivement en instaurant ou en améliorant les processus de gestion de la sécurité existants, ou en modifiant par exemple certains éléments de configuration de nos infrastructures.  A chaque étape essentielle de ces chantiers, les consultants Bull sont à notre disposition pour apporter leur éclairage sur nos questionnements ou pour approuver (ou non) des solutions que nous envisageons de mettre en œuvre en y adjoignant, le cas échéant, des précautions d’usage.
  3. Audit de certification PCI DSS : lorsque l’ensemble de l’environnement (technique, organisationnel et humain) par lequel transitent les données cartes bancaires sera totalement mis au niveau des exigences de PCI DSS, les consultants de Bull, en tant qu’auditeurs QSA, pourront vérifier et certifier sa conformité.

Etant donné que nous sommes une jeune société en pleine expansion, nous avions la possibilité d’attester de notre conformité PCI DSS au moyen d’un auto-questionnaire d’évaluation (« SAQ : Self-Assessment Questionnaire »), mais nous avons préféré opter pour une certification officielle suite à audit, avec attestation de conformité établie selon les règles de PCI SSC. Cette certification sera signée par les auditeurs QSA de Bull.

Pourquoi le choix de Bull pour votre certification PCI DSS ?

Bull étant certifié Qualified Security Assessor (QSA) par le PCI SSC[2], ses auditeurs QSA pouvaient à la fois nous accompagner sur la durée et procéder à notre certification, le tout dans le respect des exigences déontologiques de PCI DSS. En effet, les auditeurs QSA portant la responsabilité de ce qu’ils certifient comme conforme, toute complaisance est exclue. Au contraire, le fait d’être certifié par la société ayant assuré l’accompagnement, montre que celle-ci s’engage sur les préconisations qu’elle a émises et sur le niveau de sécurité associé !

Nous connaissions la notoriété du groupe Bull, ce qui était pour nous rassurant pour la préservation de la confidentialité des données sensibles qui nous allions lui confier, et pour la proximité de son accompagnement. De plus Bull a une ‘Business Line’ dédiée à la cybersécurité et aux systèmes critiques, qui comprend plus de 1000 experts. Parmi eux, ses consultants QSA PCI DSS ont des années d’expérience en audits de sécurité selon différents référentiels nationaux ou internationaux, et en tests d’intrusion.

Les exigences de PCI DSS couvrant des domaines aussi divers que l’organisation de la sécurité au sein de la société, la configuration et l’exploitation des systèmes et des infrastructures réseau, mais aussi la sécurité physique, la sensibilisation des personnels, il est essentiel d’avoir à ses côtés, lors d’une démarche de mise en conformité PCI DSS des experts compétents et expérimentés sur ces sujets.

Après la migration de notre infrastructure dans un environnement physique compatible avec les exigences de PCI DSS, nous entrons dans la deuxième phase de notre mise en conformité avec le renforcement de nos processus internes grâce à l’assistance de Bull. A l’issue de celle-ci, Bull procèdera à la certification de conformité de notre plate-forme « Don en ligne ».

Plus d’information >>> http://www.bull.com/fr/securite/

http://boost.bull.fr/ideas/cybersecurite/


[1] PCI DSS : le Payment Card Industry Data Security Standard est un standard de sécurité des données pour les cartes de paiement, qui aide les entreprises émettrices à protéger leurs données et à prévenir les fraudes.

[2] PCI SSC (PCI Security Standards Council) est l’organisme international qui a conçu le standard PCI DSS. PCI SSC a été créé par les principaux fournisseurs de cartes (American Express, Discover, JCB, MasterCard et Visa) afin d’améliorer la sécurité des données de paiement.

Comments are closed.