PCI DSS est inefficace, et il serait souhaitable que toute l’infrastructure de traitement des payements par carte de crédit soit enfin sécurisée. Ainsi commence l’article de Robert Westervelt de Security News, qui rapporte les conclusions d’une enquête conduite par une branche du DHS ( Departement of Homeland Security). La Présidente du comité d’étude va même jusqu’à dire “ les industriels du payement par carte ainsi que les banques émettrices doivent se décider à investir pour améliorer leur infrastructure, ici, aux USA ». Et dans les décisions salvatrices, deux moyens techniques sont recommandés : le chiffrement des données contenues sur la carte d’une part, et d’autre part l’adoption de la carte à puce, technologie encore inconnue Outre Atlantique.
A ces retards technologiques s’ajoutent certains freins comportementaux. Ainsi, explique l’un des interviewés, si les recommandations incitent les commerçants à ne conserver que le moins longtemps possible les données liées à un achat, les banques émettrices font, de leur côté, pression sur ces mêmes commerçants pour que lesdites données soient conservées pour servir de preuves en cas de litige. « En gros, rétorque le Président de la Fédération des commerçants US, PCI DSS n’est jamais qu’une série de mesures conçue pour et par les banques, afin de les désengager de tout risque en cas de problème.
Sans surprise, les défenseurs du parti des banques invoquent les surcoûts provoqués par une obligation du chiffrement des données, contrainte technique qui frapperait en premier lieu les commerçants les moins riches. La situation semble donc s’orienter vers une voie sans issue, qui risque fort de s’achever par un sabordage pur et simple de la norme PCI-DSS. Soit le Gouvernement Fédéral Américains parvient à imposer, par voie de décret, une série de mesures « a minima », dont le premier effet serait de déposséder la PCI (Payment Card Industry) de toute forme de pouvoir, soit cette même PCI campe sur ses positions, tente de conserver les choses en l’état, et coupe définitivement les ponts avec l’industrie bancaire européenne qui, jusqu’à présent, acceptait PCI-DSS en traînant des pieds.
1 commentaire