Règlement 126 - Conformité aux normes de l'industrie des cartes de paiement

Adoption : Le 15 janvier 2020

Date d'entrée en vigueur : Le 1 février 2020
Instance d'approbation: Comité d'administration 2410.1

Services responsables : Ressources financières et Technologies de l’information


1. OBJET

1.1 Le présent règlement a pour but :

a) de confirmer l’engagement de l’Université à assurer un traitement des paiements par carte (au sens de l’article 2 ci-dessous) qui soit fiable et sécurisé;

b) d’assurer la conformité de l’Université à la norme de sécurité des données de l’industrie des cartes de paiement (la norme « PCI DSS ») établie par les membres fondateurs du Conseil des normes de sécurité PCI (le « PCI SSC ») et publiée sur le site Web du PCI SSC (en anglais seulement);

c) de présenter les instances universitaires responsables de cette conformité.

2. DÉFINITIONS ET INTERPRÉTATION

2.1 Aux fins du présent règlement et de toute méthode ou norme établie par l’Université en vertu de celui-ci, les mots et expressions qui suivent ont le sens indiqué.

a) « données de titulaire de carte » – Données permettant d’identifier la personne responsable d’une carte de crédit ou de débit, par exemple le numéro de compte, la date d’expiration, le type de carte, le nom, l’adresse et le code de validation (numéro à trois ou quatre chiffres imprimé au recto ou au verso d’une carte de paiement, appelé CAV, CVC, CVV ou CSC selon la marque). Dans le présent règlement et dans toute méthode ou norme connexe de l’Université, les termes « données de titulaires de carte » et « données de carte de paiement » sont interchangeables.

b) « carte de paiement » – Toute carte de paiement ou tout autre dispositif de paiement délivré par une institution financière, comme une banque ou l’un des membres fondateurs du PCI SSC (American Express, Visa International Inc., MasterCard Worldwide et Discover Financial Services) à un client ou une cliente, qui permet à cette personne d’accéder aux fonds de son compte bancaire ou de recourir à un compte de crédit, de faire des paiements par transfert électronique de fonds et d’utiliser des guichets automatiques bancaires. La carte uOttawa
remise par le Service de la carte uOttawa de l’Université n’est pas une carte de paiement.

c) « traitement des paiements par carte » – Utilisation d’une application ou d’un appareil pour traiter une transaction par carte effectuée afin de payer l’Université.

2.2 Le glossaire des termes, abréviations et acronymes de la norme PCI DSS publié par le PCI SSC servira à l’interprétation du présent règlement et de toute méthode ou norme connexe de l’Université.

2.3 Le présent règlement se lit en parallèle avec les règlements de l’Université ci-dessous et les méthodes connexes :

Règlement 36 – Approvisionnement en biens et services
Règlement 90 – Accès à l’information et protection des renseignements personnels
Règlement 116 – Utilisation et sécurité des biens de technologies de l’information
Règlement 117 – Classification et manutention de l’information
Règlement 118 – Utilisation du courrier électronique (courriel)

3. PORTÉE ET APPLICATION

3.1 Le présent règlement s’applique à l’ensemble du personnel de l’Université, de ses sous-traitants et des tiers agissant en son nom ou à sa demande qui acceptent des paiements par carte et qui stockent, traitent ou transmettent des données de titulaires de carte. Il s’applique aussi au traitement de tout paiement par carte et aux supports, moyens de télécommunication, serveurs, postes de travail et réseaux informatiques servant au stockage, au traitement ou à la transmission de données de titulaires de carte.

3.2 Le présent règlement ne s’applique pas à la carte uOttawa remise par le Service de la carte uOttawa.

4. ÉNONCÉ DE PRINCIPES

4.1 L’Université est résolue à prévenir autant que possible la fraude par carte de paiement, le piratage informatique et les autres menaces pour la sécurité, ainsi qu’à réduire le risque d’accès non autorisé aux données de titulaires de carte.

4.2 Tous les membres du personnel de l’Université, ses sous-traitants et les tiers agissant en son nom ou à sa demande qui acceptent des paiements par carte et qui jouent un rôle dans le traitement des paiements par carte et l’utilisation de technologies à cette fin doivent respecter la norme PCI DSS, notamment les exigences suivantes :

a) Adopter et gérer une configuration de pare-feu pour protéger les données de titulaires de carte.

b) Modifier les mots de passe système et les autres paramètres de sécurité par défaut définis par le fournisseur.

c) Protéger les données de titulaires de carte stockées.

d) Chiffrer la transmission des données de titulaires de carte sur les réseaux publics ouverts.

e) Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels antivirus.

f) Développer et tenir à jour des applications et des systèmes sécurisés.

g) Restreindre l’accès aux données de titulaires de carte aux personnes qui doivent les connaître pour des raisons valables dans le cadre de leur travail.

h) Attribuer un identifiant unique à chaque personne ayant accès aux composants du système.

i) Restreindre l’accès physique aux données de titulaires de carte ou aux systèmes contenant ces données.

j) Assurer le suivi et la surveillance de tous les accès aux données de titulaires de carte et aux ressources réseau.

k) Tester régulièrement les processus et les systèmes de sécurité.

l) Maintenir en vigueur une politique sur la sécurité de l’information qui s’applique à l’ensemble du personnel.

4.3 L’Université offrira une formation sur la conformité à la norme PCI DSS aux membres du personnel qui jouent un rôle dans le traitement des paiements par carte.

4.4 Tous les sous-traitants de l’Université et les tiers agissant en son nom ou à sa demande qui acceptent des paiements par carte ou qui jouent un rôle dans le traitement des paiements par carte et l’utilisation de technologies à cette fin doivent offrir une formation sur la conformité à la norme PCI DSS à leur propre personnel et aux autres personnes qui relèvent d’eux.

5. RESPONSABILITÉS

5.1 Les cas de non-conformité au présent règlement doivent être signalés au vice-rectorat associé aux ressources financières et au dirigeant principal ou à la dirigeante principale de l’information, qui en informeront ensuite le vice-rectorat aux finances et à l’administration. Le vice-rectorat associé aux ressources financières et le dirigeant principal ou la dirigeante principale de l’information (selon le cas) examineront le dossier et recommanderont au vice-rectorat aux finances et à l’administration des mesures à prendre dans les circonstances.

5.2 Le vice-rectorat associé aux ressources financières et le dirigeant principal ou la dirigeante principale de l’information sont conjointement responsables de ce qui suit :

a) Mettre en oeuvre et réviser régulièrement le présent règlement, et recommander toute modification nécessaire au vice-rectorat aux ressources.

b) Établir des méthodes ou des normes à soumettre à l’approbation du vice-rectorat aux finances et à l’administration, et les tenir à jour.

c) Publier le présent règlement et les autres règlements, méthodes et normes connexes de l’Université, les tenir à jour et les faire connaître.

d) Sensibiliser la communauté universitaire à la norme PCI DSS et veiller à ce qu’elle bénéficie de formations sur le sujet.

e) Exécuter toute autre tâche que le vice-rectorat aux finances et à l’administration juge nécessaire pour appliquer le présent règlement et les autres règlements, méthodes et normes connexes de l’Université.

6. RÉVISION, MODIFICATION ET MISE EN OEUVRE

6.1 Le vice-rectorat associé aux ressources financières et le dirigeant principal ou la dirigeante principale de l’information doivent réviser périodiquement le présent règlement et recommander au vice-rectorat aux finances et à l’administration toute modification qu’il convient d’apporter audit règlement ou à toute méthode adoptée en vertu de celui-ci. Le règlement sera révisé au besoin pour qu’il demeure conforme aux lois et règlements applicables ainsi qu’aux bonnes pratiques opérationnelles.

6.2 Toute modification du présent règlement, exception faite de celles qui sont énoncées au paragraphe 6.3 ci-dessous, nécessite l’approbation du rectorat.

6.3 Le vice-rectorat aux finances et à l’administration peut modifier le présent règlement afin de mettre à jour :

a) la désignation, le titre ou l’identité de responsables, d’administrations ou de départements et leurs coordonnées à l’Université;

b) la désignation ou le nom des ministères ou des organismes gouvernementaux;

c) le titre de lois, de règlements, de politiques ou de méthodes et leurs références.

6.4 Le vice-rectorat aux finances et à l’administration peut établir, modifier ou abroger des méthodes ou y faire des exceptions aux fins de la mise en oeuvre efficace du présent règlement, pourvu que ces méthodes ou exceptions soient compatibles avec les dispositions du règlement.

Haut de page