• La banque a reçu le coffret de certification PCI-DSS v3.2.1
• Pour assurer la sécurité des cartes de paiement
• Une procédure qui répond aux exigences de Gim-Uemoa
Le 10 décembre 2022, Wendkuni Bank International devenait la première banque nationale à recevoir la certification PCI DSS v3.2.1. C’était au cours d’une soirée festive à Ouagadougou, en présence de Jeanne Marie Christine Tani/ Ilboudo, Administrateur Directrice générale de Wendkuni Bank International, et d’Ali El Azzouzi, Directeur général de Data Protect.
La banque d’Apollinaire Compaoré a déboursé 600 millions pour se conformer aux normes de cette certification, afin de s’assurer de garantir la protection des données des cartes de paiement de ses clients. La banque voulait ainsi répondre aux exigences de GIM-UEMOA, qui a imposé à tous ses membres, la conformité aux normes magnétiques en matière de sécurité.
C’est quoi la certification PCI DSS ?
La certification PCI DSS (Payment Card Industry Data Security Standard) assure aux organismes bancaires et aux utilisateurs de services en ligne, un haut niveau de sécurité. Les acteurs manipulant ces données confidentielles répondent à des exigences de sécurité spécifiques définies par cette certification.
Pour Mme Toni, « c’est une grande satisfaction et une fierté vis-à-vis de la clientèle. Cette certification est une norme internationale et permet aux utilisateurs de cartes de pouvoir faire leurs opérations et leurs transactions en toute sécurité ». En effet, cette certification va éviter les vols de données bancaires, à travers un jeu de normes contraignantes mais complètes, et renforcer la protection des utilisateurs, des intermédiaires. C’est également un standard devenu obligatoire à suivre dans de nombreux cas, pour pouvoir traiter avec Visa, Mastercard, JCB, Discover, American Express, et virtuellement, tous les émetteurs de cartes bancaires.
Pour Ali El Azzouzi, Directeur général de Data Protect, « Wendkuni Bank International a fait beaucoup d’effort pour mériter ce coffret, car il y avait beaucoup d’engagements et je suis fière de remettre cette certification qui va leur permettre de se lancer dans des produits innovateurs dont la clientèle a vraiment besoin».
Débutée depuis fin septembre 2019, par un audit, la procédure vers la certification a été jalonnée de plusieurs étapes à franchir. Ainsi, après l’audit initial, s’en est suivie une phase de remédiation. La banque a ensuite réalisé un audit à distance, du 4 au 8 octobre 2021, et cela leur a permis de faire des corrections résiduelles.
L’audit de certification s’est déroulé du 18 au 22 juillet 2022, à l’issue duquel Wendkuni Bank International a été déclarée admise à la certification PCI-DSS v3.2.1 depuis le 19 août 2022, faisant d’elle la première banque de la place à être certifiée à la conformité PCI-DSS. Cette certification PCI DSS a été possible grâce à l’appui de GIM-UEMOA et de la société Data Protect.
Stéphanie BONKOUNGOU (Stagiaire)
Encadré 1
Qui délivre la certification PCI DSS ?
La norme PCI DSS est établie par les cinq principaux réseaux cartes (Visa, MasterCard, American Express, Discover Card et JCB) et est gérée par le Conseil des normes de sécurité PCI (forum international ouvert pour l’amélioration, la diffusion et la mise en œuvre de normes de sécurité pour la protection des données de …
Encadré 2
L’importance du PCI-DSS
Bien que PCI-DSS ne soit pas une norme de jure, légalement requise dans le cadre de traitement de données monétiques, c’est une norme de facto, puisque c’est un prérequis demandé virtuellement par toutes les marques de cartes de paiement. Cependant, il est important de noter que les données de titulaire de carte sont considérées par certains Etats comme des données personnelles, et tombent donc sous le coup du RGPD (Règlement général sur la protection des données). Cette notion n’est pas clairement expliquée dans le texte de loi, mais toutes données permettant d’identifier une personne, telles que des numéros d’identification uniques, sont considérées comme des données personnelles. Additionnellement, certains Etats américains font directement référence au standard PCI-DSS dans leurs textes de loi, en faisant de facto un standard obligatoire. Qui plus est, les émetteurs de cartes de crédit peuvent décider de refuser de servir un commerçant ou prestataire de services ne se conformant pas au standard. Toutes ces considérations font que PCI-DSS, bien que non obligatoire, est à la fois une marque de confiance et de sérieux, et un aspect primordial de la sécurité des systèmes en réseau.