« Si on veut faire du gros business, il faut être PCI DSS »
Charles-Edouard Noyelle, Directeur des systèmes d’information – Vipp Interstis
Désormais, même un prestataire de centres d’appels basé sous de cieux exotiques comme ceux du… Cameroun, comme Vipp Interstis, peut garantir un niveau de sécurité optimal, validé par les éditeurs de cartes bancaires, pour les commandes effectuées par téléphone. L’astuce, car il y en a une, est de bénéficier de la mutualisation d’une partie des investissements nécessaires en utilisant une solution de paiement elle-même labellisée. Et de s’assurer de ne jamais, jamais conserver les données sur place.
Les opérations de paiement prises en charge par Vipp/Interstis sont-elles certifiées PCI DSS ?
Elles sont certifiées « PCI DSS compliant » car nous utilisons un prestataire qui est lui-même certifié PCI DSS. Un logiciel tiers gère le paiement via DTMF ou SVI, et l’enregistrement est brouillé pour que nos agents n’en aient pas connaissance. VIPP Interstis est certifié ainsi depuis un an. Nous avons évolué pour satisfaire les clauses d’un contrat précis, mais on en parlait depuis le début.
Quel est ce partenaire ?
Hermes Vocalcom est notre prestataire actuellement pour prendre les paiements par l’intermédiaire du SVI. Mais on regarde tout le marché : Nice Systems, notamment, propose une solution de gestion d’enregistrement qui prend en compte la norme PCI DSS.
La grosse problématique pour notre métier c’est la gestion des enregistrements : cela impose le zéro papier sur les plateaux, pour que les gens ne prennent pas note. Le principal est qu’ils n’aient pas connaissance du trio d’informations de paiement par CB – numéro de carte, date d’expiration, code CVV. Il est rigoureusement interdit de conserver au même endroit ces trois données. L’outil coupe donc la communication avec l’agent lorsque ces informations sont communiquées. Le téléconseiller n’entend même pas la DTMF (ndlr : tonalité de la frappe des touches sur le clavier téléphonique), la DTMF est brouillée dans les enregistrements. Mais il faut garder le client en ligne pour l’accompagner dans le process de commande.
une clause d’exclusion d’appels d’offres, qu’on rencontre depuis un ou deux ans
A quelles obligations êtes-vous soumis pour contrôler l’application de ces critères ?
Nous faisons des audits « à blanc » : c’est du déclaratif, mais c’est le même questionnaire. L’obligation d’avoir un audit indépendant régulier dépend du nombre de transactions s’il y a enregistrement. La norme, à ce niveau, devient très lourde – et elle est même de plus en plus complète : même l’accès au wifi, la vidéosurveillance, l’accès aux sites sont pris en compte… Les critères changent en permanence, notamment pour normes de cryptage. Il faut vraiment se tenir au courant.
Quel est l’intérêt, pour un outsourceur, de passer ce niveau 1 de la certification ?
C’est une clause d’exclusion d’appels d’offres, qu’on rencontre depuis un ou deux ans. Ca commence vraiment à se généraliser. C’est une notion de rapport de coût-production. Il y a une partie architecturale, une partie process, un schéma réseau, un schéma des flux à fournir. Si on veut faire du gros business, il faut être PCI DSS, si on héberge des données bancaires, il faut être audité. Certains clients vont demander à héberger les données bancaires. Ce sont alors les clients qui sont audités, et responsables vis-à-vis de leurs assurances – mais les propres prestataires de ces clients peuvent aussi nous auditer. Il faut alors mettre en avant le respect des critères du volet 4, qui concerne la gestion des flux sortants, l’analyse et le cryptage.