PCI DSS

Cartes de paiement

La norme PCI DSS établie par le Conseil des normes de sécurité PCI sert à protéger les données des cartes de crédit des usagers.

La norme de sécurité sur les données de l’industrie des cartes de paiement (PCI DSS) établie par le Conseil des normes de sécurité PCI sert à protéger les données des cartes de paiement des usagers. Cette norme exige que toutes les organisations qui traitent, transmettent et conservent des renseignements relatifs aux cartes de paiement répondent à un ensemble de processus de contrôle des données, de sécurité informatique et physique, et d’exigences réglementaires qui permettent d’atténuer le risque de perte de données liées aux cartes de paiement

La conformité à cette norme est une obligation contractuelle pour l’Université d'Ottawa afin de garder son droit d’accepter les paiements par cartes. Le non-respect de la norme peut entraîner la perte du droit d’accepter les paiements par carte, des amendes onéreuses, une augmentation des exigences de validation pour la certification de l’Université ainsi qu’une atteinte possible à la réputation de l’établissement.

Mises à jour

Les Ressources financières et les Technologies de l'information ont créé une équipe de projet pour travailler avec les secteurs du campus afin de comprendre les changements nécessaires pour assurer la conformité de leurs applications de paiement en ligne à la norme PCI DSS et enfin les appuyer dans l’adoption et l’implantation d’un plan d’action pour les rendre conformes. Le début des travaux avec les unités est planifié à l’automne 2019.

D'autres mesures ont été mises en place par le passé et visaient plus particulièrement les terminaux de PDV et les employés qui utilisent ceux-ci pour le traitement des paiements : 

  • Remplacement des terminaux de PDV par des terminaux 3G;
  • Formation obligatoire pour tous les employés des unités du campus qui utilisent un terminal dans le cadre de leurs fonctions; et
  • Signature obligatoire de la déclaration de l'employé sur le respect des données des titulaires de cartes.

Responsabilités des secteurs

Il est obligatoire pour tous les secteurs de l'Université qui traitent, transmettent et conservent des renseignements relatifs aux cartes de paiement se conforment à la norme PCI DSS. Ils doivent veiller à la sécurité de leurs systèmes et de leur infrastructure de paiement et s'assurer que les employés qui ont accès à ses renseignements respectent la norme PCI DSS et suivent une formation en la matière.

Terminaux de PDV

L'information se trouvant sous cette section s'adresse aux employés qui traitent les paiement de biens et de services avec des terminaux de PDV.

Mesures de conformité pour les terminaux de PDV

L’Université d’Ottawa a mis en place les mesures ci-dessous pour contribuer à prévenir la fraude aux PDV par écrémage.

  • Vérification des terminaux des PDV
    Les responsables des numéros de marchand et leurs employés sont tenus de vérifier les terminaux pour s’assurer que ceux-ci n’ont pas été altérés. 
  • Formation obligatoire
    Tous les employés qui utilisent un terminal dans le cadre de leurs fonctions doivent suivre la formation obligatoire, qui traite de la vérification des terminaux et de leur environnement.
  • Formulaire de consentement
    Au terme de la formation, les employés devront signer électroniquement un formulaire de consentement aux mesures et aux règlements relatifs à la norme.
Étapes à suivre pour prévenir la fraude des terminaux de PDV

Les étapes à suivre pour prévenir la fraude de vos terminaux de PDV dépendent du rôle que vous jouez au sein du PDV. Les étapes détaillées sont présentées dans la formation en ligne obligatoire et sont adaptées à votre rôle. À tout moment, vous pouvez également référer au guide de consultation rapide « Vérifier votre terminal de PDV » qui se trouve dans les sections Liens rapides ou Guides, formation et formulaire de consentement de cette page.

Guides, formation et formulaire de consentement

Guides


Formation obligatoire

Tous les employés qui utilisent un terminal dans le cadre de leurs fonctions doivent suivre la formation obligatoire, qui traite de la vérification des terminaux et de leur environnement.


Formulaire de consentement

Au terme de la formation, les employés devront signer électroniquement un formulaire de consentement aux mesures et aux règlements relatifs à la norme.

 

En cas de soupçons
  • Déplacez soigneusement les terminaux de PDV dans un endroit sécurisé.
  • Ne touchez à rien d’autre, car il pourrait s’agir d’une scène de crime.
  • Communiquez avec le Service de protection de l’Université d’Ottawa au 613-562-5411.
Terminologie et ressources

Terminologie

Carte de paiement : Carte de débit ou de crédit

Conseil des normes de sécurité PCI : Organisation qui met en place les normes servant à protéger les données des cartes de paiement des usagers.

Données des titulaires de carte : Toute donnée personnelle qui permet de facilement identifier un titulaire de carte de paiement : numéro de compte, date d’expiration, nom, adresse, etc.

Responsable du numéro de marchand : Employé de l’Université responsable d’un point de vente.

Marchand ou point de vente (PDV) : Secteur de l’Université d’Ottawa qui a obtenu l’approbation des Ressources financières de l’Université d’Ottawa d’accepter les paiements par carte de débit ou de crédit pour la vente de biens ou de services.

Terminal de point de vente : Terminal utilisé comme caisse enregistreuse dans un magasin, et servant également au relevé des stocks, aux virements financiers et au contrôle du crédit.

Utilisateur de PDV (employé de PDV) : Employé qui travaille dans un point de vente de l’Université d’Ottawa.


Ressources

  • Pour en savoir plus sur la norme PCI DSS et les exigences de conformité, consultez le site PCI SSC; vous y trouverez de nombreuses ressources pour vous aider à prévenir la fraude.
Haut de page