Umbrella Midoffice et Umbrella Profiles sont certifiés PCI/DSS (niveau 1)

Umbrella traite les données des cartes de crédit. La norme PCI/DSS est obligatoire pour les entreprises qui enregistrent, traitent ou transmettent des données de cartes de crédit. Dans le cadre de la certification, Umbrella se soumet régulièrement à un audit indépendant qui examine différents domaines de l'activité de l'entreprise. Dans ce contexte, des exigences sont posées auxquelles Umbrella doit répondre pour obtenir la certification. Des entretiens sont menés avec des responsables, la documentation est passée au crible, les relations avec les partenaires sont examinées, le matériel, les logiciels, les bases de données, l'architecture du réseau et l'exécution régulière des processus de sécurité sont contrôlés. En outre, Umnbrella est régulièrement soumise à des tests dits de pénétration. Cela doit permettre de détecter à temps les points faibles et de prévenir les attaques.

Les domaines suivants sont contrôlés dans le cadre de l'audit indépendant :

1. Contexte global dans lequel les données de cartes de crédit sont enregistrées, traitées et transmises.
2. Exploitation d'un réseau sécurisé
3. Protection du stockage, du traitement et de la transmission des données de cartes de crédit
4. Mesures de sécurité contre les virus et les logiciels malveillants
5. Régulation de l'accès
6. Surveillance et vérification des logiciels et de l'infrastructure informatique
7. Formulation et communication d'une politique de sécurité de l'information au sein de l'entreprise.

Le résultat de l'enquête est un ROC(Report On Compliance) dans lequel est consigné de manière dédiée le statut d'Umbrella par rapport au catalogue d'exigences PCI/DSS. Les preuves sont des notes, des documents, des captures d'écran, des résultats de tests et des références qui ont été créés et rassemblés au cours de l'audit. Pour la certification PCI/DSS (niveau 1), des scans de vulnérabilité trimestriels et un audit annuel sur site sont prévus.

La certification PCI/DSS (niveau 1) est extrêmement complexe et coûteuse. Il n'est donc pas judicieux pour chaque entreprise de se soumettre à cet examen. Dans la mesure où les données des cartes de crédit peuvent être enregistrées et traitées dans Umbrella, vous avez la possibilité, en tant que client d'Umbrella, d'automatiser entièrement et en une seule main tous les domaines du paiement. Le stockage des données de carte de crédit vous évite de devoir demander les données de carte de crédit à chaque processus nécessitant des informations de carte de crédit. Il s'agit là d'un travail manuel qui, lorsque le nombre de transactions augmente, nuit à l'évolutivité d'un processus. La certification PCI/DSS est donc une pierre angulaire de la croissance dans le cadre de votre environnement de processus.

Il existe une multitude de cas où cet obstacle se présente. Une agence de voyage devrait demander les données de la carte de crédit à son client pour chaque calcul et paiement des frais de transaction. Seul le stockage des données de la carte de crédit du client de l'entreprise dans le mid-office permet un traitement entièrement automatisé de l'ensemble du processus de frais de transaction. Pour les agences de voyages de vacances, le stockage des données de la carte de crédit simplifie l'exécution du paiement du solde. Ce processus ne peut donc être entièrement automatisé qu'à partir du moment où il faut sinon contacter le client pour obtenir les données de la carte de crédit pour le paiement du solde.