Approche par les risques « made in » MasterCard

MasterCard a décidé de faire évoluer son approche par les risques en réponse aux exigences PCI DSS. L’objectif est d’offrir aux acquéreurs et aux commerçants une réponse à la conformité PCI DSS adaptée au business. MasterCard a donc amendé son programme SDP (Secure Data Protection) le 15 Septembre 2011 pour intégrer cette nouveauté. L’approche par les risques Mastercard est également une réponse au programme TIP (Technology Innovation Program) de VISA qui décline la stratégie EMV pour les Etats Unies.

MasterCard déclare que sa nouvelle approche par les risques n’est pas nécessairement d’accélérer le déploiement d’EMV aux Etats Unies mais de reconnaitre l’intérêt de la puce dans la réduction des risques de fraude. C’est donc entre autre pour cette raison que MasterCard acceptera plus de flexibilité dans la validation de la conformité PCI DSS de commerçants qui acceptent des transactions puces.

Les critères d’éligibilité de ce programme destinés aux commerçants non US sont les suivants :

• Le commerçant doit être reconnu par MasterCard comme niveau 1 ou 2 sur la base des critères du programme MasterCard SDP, 
• Le commerçant doit avoir mis en place l'acceptation de la puce EMV sur ces points de ventes,
• Le commerçant doit avoir certifié qu’aucune donnée sensible d'authentification de la carte n’est stockée (la piste ISO complète, CVC2, ou le bloc PIN) conformément au pré-requis PCI DSS 3.2, 
• Le commerçant doit avoir totalement séparé son environnent carte non présente de l'environnement carte présente, 
• Pour un commerçant de la zone MasterCard Europe, au moins 95% du total des  transactions annuelles (combinées MasterCard et Maestro) sur les points de ventes doivent provenir de cartes à puce EMV ou assimilés (le terminal pour sa part doit avoir un agrément EMV valide et à jour  et être capable de traiter des transactions à puce EMV) 
• Pour un commerçant hors de la zone MasterCard Europe et hors des Etats Unis, au moins 75% du total des  transactions annuelles (combinées MasterCard et Maestro) sur les points de ventes doivent provenir de cartes à puce EMV ou assimilés,
• Le commerçant ne doit pas avoir été impliqué dans une compromission dans les 12 derniers mois. MasterCard peut renoncer à ce critère si le commerçant peut valider qu'il était pleinement conforme aux exigences PCI DSS au moment de la compromission,
• Le commerçant doit établir et tester annuellement un plan de réponse aux incidents qui décrit les mesures à prendre en cas de compromission suspectée.

A noter que le programme VISA TIP prend en compte les paiements sans contact dans ses critères d'éligibilité alors que MasterCard se concentre uniquement sur la puce EMV. Visa et MasterCard diffèrent sur le niveau de validation dans le cadre de leurs programmes respectifs, cependant MasterCard a déclaré que la réalisation des jalons 1 à 4 de l'approche standard PCI DSS constituera la base de ses critères de validation de la conformité PCI DSS.
  
Cependant lorsqu’on parle de mesures, MasterCard à la différence de VISA ne supprime l'exigence annuelle de validation de la conformité PCI DSS. Un commerçant de niveau 1 par exemple doit nécessairement valider sa conformité PCI DSS avec un QSA la première année et un questionnaire d’auto-évaluation (SAQ) les années suivantes selon MasterCard.