Iron Mountain obtient son attestation de conformité PCI. Votre fournisseur a-t-il son attestation de conformité PCI?

Les risques de fuite des données ou de vol d'identité des titulaires de carte de crédit sont très élevés. La norme de sécurité des données de l’industrie des cartes de paiement (Payment Card Industry [PCI] Data Security Standard [DSS]) a été établie pour favoriser l'application de pratiques sécuritaires de traitement de cartes de crédit, ce qui a incité les principaux émetteurs de cartes de crédit à harmoniser leur programme de sécurité individuel avec cette norme. La norme PCI a été conçue à partir du Cardholder Information Security Program (CISP) de Visa aux États-Unis. Elle énonce les exigences que doivent respecter toutes les entreprises qui stockent, traitent et transmettent des données de titulaires de carte.

Le programme PCI vise à inciter toutes les entreprises à assurer une excellente protection afin que les renseignements des titulaires de carte soient toujours en sécurité, peu importe où ils sont conservés.

Les exigences de conformité portent sur six grandes mesures :

  • Mettre en place et gérer un réseau sécurisé.
  • Protéger les données des titulaires de carte.
  • Disposer d’un programme de gestion de la vulnérabilité.
  • Mettre en œuvre des mesures de contrôle d’accès efficaces.
  • Surveiller et tester régulièrement les réseaux.
  • Disposer d’une politique en matière de sécurité de l’information.

Les entreprises doivent non seulement remplir ces exigences, mais également s'assurer que les autres entreprises avec lesquelles elles font affaire respectent aussi la norme PCI, sans quoi elles s'exposent à de lourdes pénalités. Les émetteurs de cartes de crédit peuvent imposer aux contrevenants de très fortes amendes, pouvant atteindre 500 000 $ par incident, et leur retirer leur privilège de traitement de cartes de crédit. Des dispositions exigeant la conformité à la norme PCI devraient aussi être incluses dans les contrats convenus avec des tiers.

Nous occupons une place prépondérante dans notre secteur d'activité au chapitre de la protection des renseignements de notre clientèle. Pour en témoigner, nous avons retenu les services d'un vérificateur indépendant apte à s'assurer que nos politiques, systèmes et technologies sont conformes à la norme PCI Data Security Standard et à le certifier.

La conformité d'Iron Mountain dans le cadre de ce programme a été jugée de niveau 1. Nous avons été soumis récemment à une vérification sur place qui a confirmé que nos activités de gestion de documents, de protection de données et de déchiquetage sont conformes à la norme de sécurité des données PCI de l’industrie des cartes de paiement pour 2009. Iron Mountain est fière de figurer parmi la liste Visa des fournisseurs de services dont la conformité a été validée.

Cet engagement est maintenant appuyé par notre nomination au conseil des normes de sécurité de la PCI, un groupe exclusif d'entreprises qui contribuent à modeler les normes de la PCI. En qualité de membre du conseil, Iron Mountain a l'occasion de mettre à profit tout le savoir-faire et l'expérience acquis pour mieux protéger les données des titulaires de carte de crédit, assurant ainsi la sécurité de milliers de clients dans un large éventail de secteurs.

Pour consulter la liste des fournisseurs de services dont la conformité est attestée ou pour obtenir de plus amples renseignements au sujet de la norme PCI Data Security Standard : Site Web de Visa aux États-Unis