Matrice de responsabilité PCI- À venir
Moneris, l’une des principales entreprises qui fournit des solutions de traitement des paiements, propose une gamme complète de produits, notamment des appareils intelligents, des appareils de paiement, des paiements en ligne et des bornes libre-service. À Moneris, notre engagement à maintenir le plus haut niveau de sécurité se manifeste par notre adhésion aux exigences de la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) v4.0, tant pour nos produits que pour notre infrastructure sous-jacente.
Matrice de responsabilite
-
Moneris, l’une des principales entreprises qui fournit des solutions de traitement des paiements, propose une gamme complète de produits, notamment des appareils intelligents, des appareils de paiement, des paiements en ligne et des bornes libre-service. À Moneris, notre engagement à maintenir le plus haut niveau de sécurité se manifeste par notre adhésion aux exigences de la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) v4.0, tant pour nos produits que pour notre infrastructure sous-jacente.
Nous comprenons la diversité des besoins de nos commerçants, et c’est pourquoi nous proposons une gamme de solutions de paiement. Nos appareils intégrés, par exemple, permettent aux commerçants de mieux gérer leurs appareils. Il est cependant important de noter qu’à l’exception des appareils autonomes et semi-intégrés, Moneris n’a pas le plein contrôle sur la sécurité du système d’exploitation, des logiciels ou des applications déployés par ses commerçants.
Conformément à la norme PCI DSS, à Moneris, il incombe à nos commerçants de veiller au respect des exigences relatives aux systèmes d’exploitation, aux logiciels et aux applications déployés par eux. Bien que Moneris doive respecter la norme PCI DSS et fournir une attestation de conformité, le présent document donne un aperçu des responsabilités précises des commerçants qui utilisent les solutions de Moneris.
Il est essentiel que les commerçants comprennent que certaines exigences relèvent uniquement de la responsabilité de Moneris, tandis que d’autres relèvent uniquement d’eux. En outre, il existe des responsabilités partagées qui nécessitent une collaboration entre les deux parties. Les commerçants qui utilisent les produits de Moneris dans leur environnement de données des titulaires de carte doivent déployer leurs services conformément à la norme PCI DSS.
Afin de bien respecter les normes de la PCI, nous recommandons vivement aux commerçants de se référer à la matrice des responsabilités du présent document. Cette matrice constitue un outil précieux lors des audits relatifs aux normes PCI, car elle permet aux commerçants de respecter efficacement leurs obligations et de maintenir un environnement sécurisé pour les données des titulaires de carte.
Objectif :
Ce document décrit les responsabilités à l’égard de la norme PCI DSS v4.0 entre Moneris, en tant qu’entreprise de services, et ses commerçants. Les conseils contenus dans ce document ne s’appliquent qu’aux commerçants et non aux fournisseurs de services qui tirent profit des solutions de Moneris. Veuillez communiquer avec votre personne-ressource de Moneris si vous avez besoin d’aide.
Portée et approche :
Aperçu de la matrice des responsabilités des fournisseurs de service tiers :
Conformément à l’exigence 12.9.2 de la norme PCI DSS v4.0, Moneris, en tant qu’entreprise de services, est tenu de répondre aux demandes de renseignements de ses commerçants afin de satisfaire aux exigences 12.8.4 et 12.8.5. Il s’agit notamment de fournir les renseignements suivants à la demande du commerçant :
• les renseignements sur l’état de la conformité à la norme PCI DSS pour tout service effectué par le fournisseur de service tiers pour le compte des commerçants (Exigence 12.8.4);
• les renseignements relatifs aux responsabilités respectives du fournisseur de service tiers et du commerçant en ce qui concerne les exigences de la norme PCI DSS, y compris les responsabilités partagées (Exigence 12.8.5).
Ce document explique les exigences de la norme PCI DSS qui relèvent de la responsabilité de Moneris en tant qu’entreprise qui fournit des services tiers et celles qui relèvent de la responsabilité du commerçant, y compris les responsabilités partagées (Exigence 12.8.5).
Pour déterminer les responsabilités entre Moneris et ses commerçants, les différents types d’appareils et de solutions de paiement de Moneris ont été classés selon leurs fonctionnalités et leur utilisation. Ce classement a permis de définir la portée des appareils et des solutions. La portée de la matrice RACI des fournisseurs de service tiers englobe les responsabilités à l’égard de la norme PCI DSS entre Moneris et ses commerçants, qui sont classées selon les sept (7) types d’appareils et de solutions de paiement de Moneris décrits ci-dessous.
1. Appareils autonomes – connexion commutée : appareils de paiement qui utilisent une connexion réseau commutée. L’application utilisée dans ces appareils est conçue et gérée par Moneris. L’application de Moneris gère les données du titulaire de carte et la communication avec le serveur de Moneris, tandis que le commerçant n’envoie que le montant de la transaction et d’autres paramètres à l’appareil. Cela réduit la portée et la responsabilité du commerçant en matière de conformité aux normes de la PCI, puisqu’il n’a pas à s’occuper de l’interface du serveur de paiement ou du chiffrement des données du titulaire de carte. Pour déterminer les responsabilités des commerçants quant aux appareils autonomes avec connexion commutée, à Moneris, nous nous sommes appuyés sur les critères d’admissibilité des commerçants du questionnaire d’auto-évaluation B (SAQ B). Pour en savoir plus, veuillez consulter l’Annexe.
Produits concernés : appareils Moneris iCT250, Moneris VX 520, Moneris VX 820 et Moneris iWL220
2. Appareils autonomes : appareils de paiement et appareils intelligents avec connexion sans fil ou liaison de réseau IP. L’application utilisée dans ces appareils est conçue et gérée par Moneris. L’application Moneris gère les données du titulaire de carte et la communication avec le serveur Moneris, tandis que le commerçant n’envoie que le montant de la transaction et d’autres paramètres à l’appareil. Cela réduit la portée et la responsabilité du commerçant en matière de conformité à la norme PCI, puisqu’il n’a pas à s’occuper de l’interface du serveur de paiement ou du chiffrement des données du titulaire de carte. Pour déterminer les responsabilités des commerçants quant aux appareils autonomes, nous nous sommes appuyés sur les directives trouvées dans les critères d’admissibilité des commerçants du questionnaire d’auto-évaluation B-IP (SAQ B-IP). Pour en savoir plus, veuillez consulter l’Annexe.
Produits concernés : terminal Moneris Go Plus, terminal Moneris Go, application Moneris Go sur iPhone, appareil V400m doté de l’application Moneris Core, appareil V400c doté de l’application Moneris Core, terminal Desk/5000 doté de l’application Moneris Core, terminal Move/5000 doté de l’application Moneris Core, ainsi qu’appareils Moneris iCT250, Moneris VX 520, Moneris VX 820, Moneris iWL220 et Moneris iWL255
3. Appareils semi-intégrés : ces dispositifs utilisent une application de Moneris qui s’exécute sur un appareil tels qu’un clavier NIP ou un téléphone cellulaire. L’application de Moneris gère les données du titulaire de carte et la communication avec le serveur de Moneris, tandis que le commerçant n’envoie que le montant de la transaction et d’autres paramètres à l’appareil. Cela réduit la portée et la responsabilité du commerçant en matière de conformité à la norme PCI, puisqu’il n’a pas à s’occuper de l’interface du serveur de paiement ou du chiffrement des données du titulaire de carte. Pour déterminer les responsabilités des commerçants pour les appareils semi-intégrés, nous nous sommes appuyés sur les directives trouvées dans les critères d’admissibilité des commerçants du questionnaire d’auto-évaluation B-IP (SAQ B-IP). Pour en savoir plus, veuillez consulter l’Annexe.
Remarque : Les bornes Moneris sont considérées comme une solution semi-intégrée. Cependant, ces appareils ne font pas partie de la portée puisque Moneris ne gère pas le logiciel des bornes et ne fournit que les appareils aux commerçants.
Produits concernés : clavier NIP Moneris Go, Moneris Go Slim, Moneris Go sans surveillance, terminal Moneris Go Plus, terminal Moneris Go, appareil V400m doté de l’application Moneris Core, appareil V400c doté de l’application Moneris Core, terminal Desk/5000 doté de l’application Moneris Core, terminal Move/5000 doté de l’application Moneris Core, ainsi qu’appareils Moneris iCT250, Moneris VX 520, Moneris VX 820, Moneris iWL220, Moneris iWL255, et clavier NIP iPP320 avec l’application POSPAD, clavier NIP P400 avec l’application POSPAD, clavier NIP e355 avec l’application POSPAD, clavier NIP iCMP avec l’application POSPAD, appareil UX301 avec Direct Connect, appareil UX410 avec Direct Connect et appareil UX300 avec Direct Connect
4. Appareils de chiffrement point à point (P2PE) : il s’agit d’appareils approuvés par le Conseil des normes de sécurité de l’industrie des paiements (PCI SSC) que Moneris fournit à ses commerçants. Les appareils P2PE permettent de réduire la portée des normes PCI pour les commerçants. Pour déterminer les responsabilités des commerçants concernant les appareils P2PE, nous nous sommes appuyés sur les directives trouvées dans les critères d’admissibilité des commerçants du questionnaire d’auto-évaluation P2PE (SAQ P2PE). Pour en savoir plus, veuillez consulter l’Annexe.
Produits concernés : clavier NIP P400 avec l’application POSPAD, Moneris Go Slim et terminal Moneris Go Plus
5. Plateformes et passerelles de paiement : les plateformes et les passerelles de paiement sont des solutions de Moneris qui permettent aux commerçants d’accepter les paiements en ligne de leurs clients par le biais d’une connexion sécurisée et chiffrée. Pour déterminer les responsabilités des commerçants quant aux plateformes et aux passerelles de paiement, nous nous sommes appuyés sur les critères d’admissibilité des commerçants du SAQ D. Pour en savoir plus, veuillez consulter l’Annexe.
Produits concernés : IPGate, Passerelle Moneris, Passerelle pour le transport en commun, passerelle de terminal et plateforme infonuagique de Moneris
6. Solutions hébergées pour le titulaire de carte : les solutions hébergées pour le titulaire de carte, y compris Moneris Checkout, sont des solutions hébergées de commerce électronique (iFrame avec JavaScript) qui recueillent les données du titulaire de carte et les envoient à Passerelle Moneris pour traiter les transactions. Cette solution est une option d’intégration permettant aux commerçants de traiter les transactions de commerce électronique à partir de leur site Web. Pour déterminer les responsabilités du commerçant pour cette solution hébergée, nous nous sommes appuyés sur les critères d’admissibilité des commerçants du SAQ A-EP. Pour en savoir plus, veuillez consulter l’Annexe.
Produits concernés : Moneris Checkout et page de paiement hébergée
7. Solutions hébergées pour le commerçant : il s’agit de solutions hébergées par Moneris qui permettent aux commerçants de traiter les paiements en ligne à l’aide de leur propre ordinateur et navigateur Web, aussi appelé terminal virtuel. Elles sont généralement utilisées pour le commerce électronique et les transactions avec carte absente (par exemple les commandes téléphoniques, les commandes postales ou les transactions périodiques). Pour déterminer les responsabilités du commerçant pour les solutions hébergées, nous nous sommes appuyés sur les critères d’admissibilité des commerçants du SAQ C-VT. Pour en savoir plus, veuillez consulter l’Annexe.
Produits concernés : terminal virtuel, portail Moneris Go, Marchand Direct et centre de ressources pour commerçants (CRC)
8. Appareils intégrés du commerçant : il s’agit d’appareils pour lesquels le logiciel du point de vente du commerçant, la caisse enregistreuse électronique, est responsable de la création et de l’envoi des messages de paiement au serveur de traitement de Moneris. Le commerçant intègre également un appareil permettant de saisir les données du titulaire de carte et de les retourner à la caisse enregistreuse électronique. Le commerçant est ainsi en mesure de mieux gérer et de personnaliser le processus de paiement. Il a cependant plus de responsabilités quant à la sécurisation des données du titulaire de carte dans son environnement. Pour déterminer les responsabilités du commerçant quant aux appareils intégrés du commerçant, nous nous sommes appuyés sur les critères d’admissibilité des commerçants du SAQ C. Pour en savoir plus, veuillez consulter l’Annexe.
-
-
Détermination des critères d’admissibilité des commerçants pour les appareils autonomes (connexion commutée) (SAQ-B)
Pour déterminer les responsabilités des commerçants quant aux appareils autonomes avec connexion commutée, à Moneris, nous nous sommes appuyés sur le questionnaire d’auto-évaluation B (SAQ B), qui ne comprend que les exigences de la norme PCI DSS. Les commerçants admissibles au questionnaire SAQ B peuvent être soit des commerçants ayant pignon sur rue (carte présente), soit des commerçants qui effectuent des transactions liées à des commandes postales ou téléphoniques (carte non présente), et ils ne stockent pas de données de compte sur un système informatique.
Les commerçants admissibles au questionnaire SAQ B confirment que, pour ce canal de paiement :
– Le commerçant n’utilise qu’un périphérique d’impression ou des appareils autonomes à connexion commutée (connectés au serveur du fournisseur de services de paiement du commerçant par une ligne téléphonique) pour recueillir les renseignements de la carte de paiement du client;
– Les appareils autonomes à connexion commutée ne sont pas connectés à d’autres systèmes au sein de l’environnement du commerçant;
– Les appareils autonomes à connexion commutée ne sont pas connectés à Internet;
– Le commerçant ne stocke pas de données de compte sous forme électronique;
– Les données de compte que le commerçant pourrait conserver sont sur papier (par exemple, des rapports ou des reçus imprimés), et ces documents ne sont pas reçus électroniquement.
Ce questionnaire d’auto-évaluation ne comprend que les exigences qui s’appliquent à un type précis d’environnement pour le commerçant, comme défini dans les critères d’admissibilité ci-dessus. Si des exigences de la norme PCI DSS applicables à l’environnement de données des titulaires de carte ne sont pas abordées dans ce questionnaire d’auto-évaluation, cela peut indiquer qu’il n’est pas adapté à l’environnement du commerçant.
Détermination des critères d’admissibilité des commerçants pour les appareils autonomes (sans fil/par adresse IP) et les appareils semi-intégrés (SAQ B-IP)
Pour déterminer les responsabilités des commerçants quant aux appareils semi-intégrés, à Moneris, nous nous sommes appuyés sur les directives trouvées dans les critères d’admissibilité des commerçants du questionnaire d’auto-évaluation B-IP (SAQ B-IP) pour les appareils autonomes (sans fil/par adresse IP) et les appareils semi-intégrés. Ce questionnaire d’auto-évaluation ne comprend que les exigences de la norme PCI DSS applicables aux commerçants qui traitent des données de compte comme indiqué ci-dessous.
Les commerçants admissibles au questionnaire SAQ B-IP confirment que, pour ce canal de paiement :
– Le commerçant utilise un appareil autonome de point d’interaction approuvé par l’industrie des cartes de paiement et conforme à la norme PTS (à l’exception des lecteurs de carte à puce et des lecteurs de carte à puce pour NIP), connecté par adresse IP au serveur du fournisseur de services de paiement pour recueillir les renseignements de la carte de paiement du client;
– Les appareils autonomes de point d’interaction à connexion IP sont certifiés par le programme PTS POI en plus d’être mentionnés sur le site Web du Conseil des normes de sécurité PCI (à l’exception des lecteurs de carte à puce et des lecteurs de carte à puce pour NIP);
– Les appareils autonomes de point d’interaction à connexion IP conformes à la norme PTS ne sont connectés à aucun autre système au sein de l’environnement du commerçant (p. ex. en segmentant le réseau pour isoler les appareils de point d’interaction des autres systèmes);
– Seuls les appareils de point d’interaction conformes à la norme PTS peuvent transmettre des données de compte, et ce, uniquement au fournisseur de services de paiement;
– L’appareil de point d’interaction conforme à la norme PTS ne dépend pas d’autres appareils (p. ex. ordinateur, téléphone mobile, tablette) pour se connecter au serveur du fournisseur de services de paiement;
– Le commerçant ne stocke pas de données de compte sous forme électronique;
– Les données de compte que le commerçant pourrait conserver sont sur papier (par exemple, des rapports ou des reçus imprimés), et ces documents ne sont pas reçus électroniquement.
Ce questionnaire d’auto-évaluation ne comprend que les exigences qui s’appliquent à un type précis d’environnement pour le commerçant, comme défini dans les critères d’admissibilité ci-dessus. Si des exigences de la norme PCI DSS applicables à l’environnement de données des titulaires de carte ne sont pas abordées dans ce questionnaire d’auto-évaluation, cela peut indiquer qu’il n’est pas adapté à l’environnement du commerçant.
Détermination des critères d’admissibilité des commerçants pour les appareils intégrés (SAQ C)
Pour déterminer les responsabilités des commerçants pour les appareils intégrés, à Moneris, nous nous sommes appuyés sur les directives trouvées dans les critères d’admissibilité des commerçants du questionnaire d’auto-évaluation C (SAQ C) pour les appareils autonomes (sans fil/par adresse IP) et les appareils intégrés. Ce questionnaire d’auto-évaluation ne comprend que les exigences de la norme PCI DSS applicables aux commerçants qui traitent des données de compte comme indiqué ci-dessous.
Les commerçants admissibles au questionnaire SAQ C confirment que, pour ce canal de paiement :
– Le commerçant dispose d’un système d’application de paiement et d’une connexion Internet sur le même appareil ou le même réseau local (LAN);
– Le système d’application de paiement n’est connecté à aucun autre système au sein de l’environnement du commerçant (p. ex. en segmentant le réseau pour isoler le système d’application de paiement ou l’appareil avec connexion Internet des autres systèmes);
– L’emplacement physique de l’environnement du point de vente n’est pas rattaché à d’autres locaux ou emplacements, et le réseau local est réservé à un commerce unique;
– Le commerçant ne stocke pas de données de compte sous forme électronique;
– Les données de compte que le commerçant pourrait conserver sont sur papier (par exemple, des rapports ou des reçus imprimés), et ces documents ne sont pas reçus électroniquement.
Ce questionnaire d’auto-évaluation ne comprend que les exigences qui s’appliquent à un type précis d’environnement pour le commerçant, comme défini dans les critères d’admissibilité ci-dessus. Si des exigences de la norme PCI DSS applicables à l’environnement de données des titulaires de carte ne sont pas abordées dans ce questionnaire d’auto-évaluation, cela peut indiquer qu’il n’est pas adapté à l’environnement du commerçant.
Détermination des critères d’admissibilité des commerçants pour les appareils de chiffrement point à point (P2PE) (SAQ P2PE)
Pour déterminer les responsabilités des commerçants quant aux appareils de chiffrement point à point (P2PE), à Moneris, nous nous sommes appuyés sur les directives trouvées dans les critères d’admissibilité des commerçants du questionnaire d’auto-évaluation pour les appareils de chiffrement point à point (SAQ P2PE). Ce questionnaire d’auto-évaluation ne comprend que les exigences de la norme PCI DSS applicables aux commerçants qui traitent des données de compte par l’intermédiaire d’une solution P2PE certifiée par le Conseil PCI. Les commerçants admissibles au questionnaire SAQ P2PE n’ont pas accès à des données de compte en texte clair sur aucun système informatique et saisissent uniquement des données de compte par l’intermédiaire d’appareils de paiement d’une solution P2PE certifiée par le Conseil PCI. Les commerçants admissibles au questionnaire SAQ P2PE peuvent être soit des commerçants ayant pignon sur rue (carte présente), soit des commerçants qui effectuent des transactions liées à des commandes postales ou téléphoniques (carte non présente). Par exemple, un commerçant qui effectuent des transactions liées à des commandes postales ou téléphoniques pourrait être admissible au questionnaire SAQ P2PE s’il reçoit des données de compte sur papier ou par téléphone et les saisit directement dans le terminal de paiement seulement d’une solution P2PE certifiée par le Conseil PCI.
Les commerçants admissibles au questionnaire SAQ P2PE confirment que, pour ce canal de paiement :
– Tous les paiements sont traités par l’intermédiaire d’une solution P2PE certifiée par le Conseil PCI;
– Les seuls systèmes au sein de l’environnement du commerçant qui stockent, traitent ou transmettent des données de compte sont les appareils de paiement d’une solution P2PE certifiée par le Conseil PCI;
– Le commerçant ne reçoit pas, ne transmet pas et ne stocke pas des données de compte par voie électronique;
– Les données de compte que le commerçant pourrait conserver sont sur papier (par exemple, des rapports ou des reçus imprimés), et ces documents ne sont pas reçus électroniquement;
– Le commerçant a mis en œuvre tous les contrôles prévus dans le manuel d’instructions de la solution P2PE fourni par le fournisseur de solution P2PE.
Ce questionnaire d’auto-évaluation ne comprend que les exigences qui s’appliquent à un type précis d’environnement pour le commerçant, comme défini dans les critères d’admissibilité ci-dessus. Si des exigences de la norme PCI DSS applicables à l’environnement de données des titulaires de carte ne sont pas abordées dans ce questionnaire d’auto-évaluation, cela peut indiquer qu’il n’est pas adapté à l’environnement du commerçant.
Détermination des critères d’admissibilité des commerçants pour les passerelles de paiement (SAQ D)
Pour déterminer les responsabilités des commerçants quant aux passerelles de paiement, à Moneris, nous nous sommes appuyés sur les critères d’admissibilité des commerçants du questionnaire d’auto-évaluation D. Le questionnaire SAQ D s’applique aux commerçants qui peuvent remplir un questionnaire d’auto-évaluation, mais qui ne répondent pas aux critères des autres questionnaires SAQ. Ce questionnaire d’auto-évaluation ne comprend que les exigences de la norme PCI DSS applicables aux commerçants qui traitent des données de compte comme indiqué ci-dessous.
Les exemples d’environnements auxquels le questionnaire SAQ D peut s’appliquer comprennent notamment :
– Les commerçants en ligne qui acceptent des données de compte sur leur site Web;
– Les commerçants qui stockent des données de compte sous forme électronique;
– Les commerçants qui ne stockent pas de données de compte électroniquement et qui ne répondent pas aux critères des autres questionnaires SAQ;
– Les commerçants dont l’environnement peut répondre aux critères d’un autre questionnaire SAQ, mais qui doivent répondre à des exigences supplémentaires de la norme PCI DSS applicables à leur environnement.
Détermination des critères d’admissibilité des commerçants pour les solutions hébergées (Moneris Checkout) (SAQ A-EP)
Pour déterminer les responsabilités du commerçant quant aux solutions hébergées, à Moneris, nous nous sommes appuyés sur les critères d’admissibilité des commerçants du questionnaire SAQ A-EP. Le questionnaire SAQ A-EP ne comprend que les exigences de la norme PCI DSS applicables aux commerçants en ligne qui disposent d’un ou de plusieurs sites Web qui ne reçoivent pas de données de compte, mais qui compromettent la sécurité de la transaction de paiement ou l’intégrité de la page qui accepte les données de compte du client. Les commerçants admissibles au questionnaire SAQ A-EP sont des commerçants en ligne qui externalisent partiellement leur canal de paiement de commerce en ligne à des tiers certifiés et conformes à la norme PCI DSS et qui ne stockent, ne traitent ou ne transmettent pas électroniquement de données de compte dans leurs systèmes ou emplacements. Ce questionnaire d’auto-évaluation ne comprend que les exigences de la norme PCI DSS applicables aux commerçants qui traitent des données de compte comme indiqué ci-dessous.
Les commerçants admissibles au questionnaire SAQ A-EP confirment que, pour ce canal de paiement :
– Le commerçant n’accepte que des transactions de commerce électronique;
– Le traitement des données de compte, à l’exception de la page de paiement, est entièrement confié à un fournisseur de service tiers ou à un fournisseur de services de paiement conforme à la norme PCI DSS;
– Le site Web de commerce électronique du commerçant ne reçoit pas de données de compte, mais contrôle la manière dont les clients, ou leurs données de compte, sont redirigés vers un fournisseur de service tiers ou un fournisseur de services de paiement conforme à la norme PCI DSS;
– Si le site Web du commerçant est hébergé par un fournisseur de service tiers, ce dernier respecte toutes les exigences de la norme PCI DSS applicables (y compris l’annexe A de la norme PCI DSS si le fournisseur de service tiers est un fournisseur d’hébergement à locataires multiples);
– Chaque élément de la ou des pages de paiement transmis au navigateur du client provient soit du site Web du commerçant, soit d’un fournisseur de service tiers conforme à la norme PCI DSS;
– Le commerçant ne stocke pas, ne traite pas et ne transmet pas électroniquement des données de compte dans ses systèmes ou ses emplacements, mais confie entièrement à un ou à plusieurs fournisseurs de service tiers la gestion de toutes ces fonctions;
– Le commerçant a examiné les formulaires d’attestation de conformité à la norme PCI DSS de ses fournisseurs de services tiers et a confirmé qu’ils sont conformes à la norme PCI DSS pour les services auxquels il a recours;
– Les données de compte que le commerçant pourrait conserver sont sur papier (par exemple, des rapports ou des reçus imprimés), et ces documents ne sont pas reçus électroniquement.
Ce questionnaire d’auto-évaluation ne comprend que les exigences qui s’appliquent à un type précis d’environnement pour le commerçant, comme défini dans les critères d’admissibilité ci-dessus. Si des exigences de la norme PCI DSS applicables à l’environnement de données des titulaires de carte ne sont abordées dans ce questionnaire d’auto-évaluation, cela peut indiquer qu’il n’est pas adapté à l’environnement du commerçant.
Détermination des critères d’admissibilité des commerçants pour les solutions hébergées (appareils virtuels) (SAQ C-VT)Légende de la matrice des responsabilités des fournisseurs de service tiers
Pour déterminer les responsabilités du commerçant quant aux solutions hébergées (appareils virtuels), à Moneris, nous nous sommes appuyés sur les critères d’admissibilité des commerçants du questionnaire SAQ C-VT. Le questionnaire SAQ C-VT ne comprend que les exigences de la norme PCI DSS applicables aux commerçants qui traitent des données de compte uniquement au moyen de solutions de terminaux de paiement virtuels de tiers sur un appareil informatique isolé connecté à Internet. Un terminal de paiement virtuel est une solution tierce utilisée pour soumettre les transactions par carte de paiement à un site Web d’un fournisseur de service tiers conforme à la norme PCI DSS aux fins d’autorisation. Cette solution permet au commerçant de saisir manuellement des données de compte à partir d’un appareil informatique isolé par l’intermédiaire d’un navigateur Web connecté de manière sécurisée. Contrairement aux appareils physiques, les appareils de paiement virtuels ne lisent pas les données directement à partir d’une carte de paiement. Cette option du questionnaire d’auto-évaluation vise uniquement les commerçants qui saisissent manuellement les transactions une à la fois, à l’aide d’un clavier, dans un terminal de paiement virtuel qui se trouve sur Internet. Les commerçants admissibles au questionnaire SAQ C-VT peuvent être soit des commerçants ayant pignon sur rue (carte présente), soit des commerçants qui effectuent des transactions liées à des commandes postales ou téléphoniques (carte non présente), et ils ne stockent pas de données de compte sur un système informatique. Ce questionnaire d’auto-évaluation ne comprend que les exigences de la norme PCI DSS applicables aux commerçants qui traitent des données de compte comme indiqué ci-dessous.
Les commerçants admissibles au questionnaire SAQ C-VT confirment que, pour ce canal de paiement :
– Le traitement des paiements se fait uniquement par l’intermédiaire d’un terminal de paiement virtuel auquel on accède par un navigateur Web connecté à Internet;
– La solution de terminal de paiement virtuel est fournie et hébergée par un fournisseur de services tiers conforme à la norme PCI DSS;
– La solution de terminal de paiement virtuel conforme à la norme PCI DSS n’est accessible qu’au moyen d’un appareil informatique isolé en un seul lieu et non connecté à d’autres emplacements ou systèmes;
– L’appareil informatique n’est pas muni d’un logiciel permettant de stocker des données de compte (par exemple, il n’y a aucun logiciel de traitement par lots ou de transaction différée);
– L’appareil informatique n’est pas muni de périphériques utilisés pour enregistrer ou stocker des données de compte (par exemple, il n’y a aucun lecteur de carte);
– Le commerçant ne reçoit pas, ne transmet pas et ne stocke pas de données de compte par voie électronique au moyen d’autres canaux (par exemple, par l’intermédiaire d’un réseau interne ou d’Internet);
– Les données de compte que le commerçant pourrait conserver sont sur papier (par exemple, des rapports ou des reçus imprimés), et ces documents ne sont pas reçus électroniquement.
Ce questionnaire d’auto-évaluation ne comprend que les exigences qui s’appliquent à un type précis d’environnement pour le commerçant, comme défini dans les critères d’admissibilité ci-dessus. Si des exigences de la norme PCI DSS applicables à l’environnement de données des titulaires de carte ne sont pas abordées dans ce questionnaire d’auto-évaluation, cela peut indiquer qu’il n’est pas adapté à l’environnement du commerçant.
Les responsabilités liées aux exigences de la norme PCI DSS qui ont été attribuées dans le cadre des responsabilités des fournisseurs de service tiers sont définies comme suit :
1. Moneris : Moneris, en tant qu’entreprise qui fournit des services tiers, est entièrement responsable du respect de l’exigence de la norme PCI DSS concernée.
2. Moneris : Le commerçant est entièrement responsable du respect de l’exigence de la norme PCI DSS concernée.
3. S. O. : La responsabilité ne s’applique ni à Moneris ni au commerçant.
