La norme PCI-DSS est un standard international qui permet d’assurer aux clients d’une banque que leurs données et leurs cartes de paiement sont bien protégées. Après les certifications AML 30000 et ISO 9001, la filiale congolaise du groupe BGFI obtient un précieux sésame qui devrait renforcer un peu plus la confiance de ses clients.
Et de trois. Après l’AML 30000 (Anti-Money Laundering), en 2020, et l’ISO 9001, en janvier 2023, la BGFIBank RDC vient d’obtenir la certification PCI-DSS (Payment Card Industry-Data Security Standard), délivrée par DATA Protect, une entreprise spécialisée en sécurité de l’information bancaire. Une triple certification qui démontre la volonté de la banque congolaise de lutter contre le blanchiment d’argent, le financement du terrorisme, la prolifération des armes de destruction massive, et, à présent, d’œuvrer pour la protection des données des porteurs de cartes bancaires.
Un « message fort » envoyé aux clients de la banque
D’après l’administrateur directeur général de la banque, Francesco de Musso, cette certification, « bien particulière », permettra d’envoyer un « message fort » à la clientèle de BGFIBank RDC. Présent lors de la cérémonie de certification, qui s’est tenue le vendredi 21 juillet au siège de la banque, à Kinshasa, la capitale de la République démocratique du Congo, M. de Musso a souligné l’importance accordée par la filiale du groupe BGFI à la protection des données de ses clients. De quoi, selon lui, rassurer les Congolaises et les Congolais.
Également présent lors de la cérémonie, le certificateur de DATA Protect, Ali El-Azzouzi, a mentionné le fait que « peu de banques africaines sont certifiées PCI-DSS ». « Pendant plus de deux ans, toute l’équipe [de la banque] s’est mobilisée pour faire aboutir ce projet. Aujourd’hui, cette certification va rassurer les clients et tout ce qui tourne autour de la banque », a-t-il indiqué. Une avancée qui n’aurait pas été permise sans les « infrastructures » ni le « processus monétique » de BGFIBank RDC, qui répondent aux normes « les plus strictes et les mieux sécurisées du marché », ainsi qu’à sa « conformité au standard international ».
PCI-DSS est effectivement une norme établie par les systèmes internationaux de paiement (comme Visa, Mastercard, etc.), en matière de fiabilité, d’assurance et de sécurité des supports, données et processus monétiques. « Cette certification vient renforcer la confiance qui existe déjà entre BGFIBank RDC et ses clients, souligne le pure player « Zoom Eco ». Il s’agit de respecter les normes et les exigences internationales, et de garantir une protection maximale de leurs données et de leurs cartes de paiement ». Une certification qui confirme donc la volonté de la banque congolaise d’œuvrer non seulement pour ses clients, mais également pour ses collaborateurs et partenaires.
Un standard international devenu obligatoire dans de nombreux cas
Car la norme de sécurité des données de l’industrie des cartes de paiement (le nom français de l’acronyme PCI-DSS) est un standard qui s’applique à tous les acteurs de la chaîne monétique, rappelle le groupe de télécommunications Sonema. « Quiconque traite, transmet et stocke des informations de cartes de paiement est [donc] concerné. » Soit deux catégories d’acteurs : le commerçant, qui peut être une entreprise ou un individu, pour peu qu’ils acceptent les paiements par carte ; le prestataire de service ou le fournisseur d’hébergement, donc toute entreprise qui stocke, traite ou transmet des informations de cartes de paiement au nom d’une autre entreprise.
Mais les bénéficiaires finaux restent les clients des banques. Car les normes PCI-DSS existent, in fine, pour éviter les vols de données bancaires. D’ailleurs, ce standard international est devenu obligatoire dans de nombreux cas, rappelle Sonema, pour pouvoir traiter, par exemple, avec Visa, Mastercard, JCB, Discover, American Express. Et, virtuellement, tous les émetteurs de cartes bancaires. A noter, également, que la norme PCI-DSS comprend douze sections, chacune ayant pour but de contribuer à la sécurité des données des titulaires de cartes.
Si la certification n’est pas une norme de jure, c’est-à-dire légalement requise, elle l’est de facto, dans les faits, puisque « c’est un prérequis demandé, virtuellement, par toutes les marques de cartes de paiement », explique encore Sonema. Sachant que dans certains États, les données de titulaires de cartes bancaires sont considérées comme des données personnelles, et sont donc comprises par le Règlement Général sur la Protection des Données, ou RGPD. En résumé, la norme PCI-DSS, si elle n’est pas obligatoire, est une marque de confiance sérieuse et « un aspect primordial de la sécurité des systèmes en réseau ».
