Un peu de contexte sur la sécurité des cartes de crédit
Uplifter prend la sécurité au sérieux et fait de son mieux pour protéger les informations de nos clubs et de leurs membres. À cette fin, spécifiquement en ce qui concerne ce que le Conseil des normes de sécurité PCI définit comme « Données du titulaire de carte », Uplifter a externalisé tout le traitement, le stockage et la transmission de ces données à un tiers de confiance, fournisseur de services certifié PCI Niveau 1 ; Beanstream (http://www.beanstream.com/about/security-and-pci-compliance/). Cela signifie qu'Uplifter travaille de concert avec Beanstream pour s'assurer que votre site Uplifter répond aux normes requises pour être conforme PCI.
Grands changements à la conformité PCI
En avril 2015, le Conseil des normes de sécurité PCI a publié une révision de sa norme de sécurité des données (PCI DSS Version 3.1). L'annonce des changements à la norme peut être trouvée ici.
Il est important de noter que PCI DSS ver 3.1 n'acceptera plus l'utilisation de formes anciennes et obsolètes de protocoles cryptographiques. En d'autres termes, la plupart des sites Web nécessitant des transmissions de données sécurisées, tels que les banques et Uplifter, ne seront plus accessibles sur les navigateurs Web anciens et obsolètes. *Consultez notre liste complète de navigateurs Web compatibles au bas de cet article.
Qu'est-ce que cela signifie ?
Un site Web peut transmettre des informations à l'ordinateur d'un utilisateur soit par une connexion non cryptée (« http:// ») soit par une connexion cryptée (« https:// »). Toute connexion donnée revient à envoyer des informations dans les deux sens sur la route ouverte. Les gens peuvent voir d'autres personnes voyager sur la route à distance, et il n'est pas entièrement impossible de s'approcher et de voir ce qu'il y a dans le véhicule. Une connexion cryptée revient à envoyer vos informations dans les deux sens dans la Batmobile, vitres teintées et tout. En utilisant le cryptage, les seules personnes qui peuvent entrer et voir ce qu'il y a dans la Batmobile sont les personnes qui l'ont envoyée en premier lieu ou qui la reçoivent à sa destination prévue - parce que la Batmobile ne peut pas être ouverte en route. À moins que vous ne soyez Batman... mais vous ne l'êtes pas.
De temps en temps, la Batmobile améliore sa sécurité, rendant de plus en plus difficile soit d'y entrer par effraction, soit de voir à travers avec une vision aux rayons X. Chaque amélioration s'appelle une version de protocole. Sur Internet, ces versions de protocole de cryptage portent des noms comme « SSL 2.0 », « SSL 3.0 », « TLS 1.0 » ou « TLS 1.2 » par exemple. Les méchants au cours des dernières années ont découvert comment percer à travers quelques-unes de ces versions (SSL 2.0, SSL 3.0, TLS 1.0). Tout le monde ne peut pas percer et voir, mais certains le peuvent. Et parce qu'il y a la possibilité de pouvoir percer, le Conseil de sécurité PCI a décidé que les personnes envoyant des informations de carte de crédit dans les deux sens sur Internet ne devraient pas utiliser les anciennes Batmobiles pour envoyer ces informations.
Alors, quelle différence cela fait-il pour moi quel protocole j'utilise ?
Pour voir ce qu'il y a dans la Batmobile, les portes ne peuvent être ouvertes que lorsqu'elle est dans votre garage. En raison de la taille des nouvelles Batmobiles, vous avez besoin d'un garage plus récent et plus grand où elle peut entrer. Si votre garage n'est pas assez grand, vous ne pourrez jamais garer la Batmobile pour voir ce qu'il y a à l'intérieur. Certains garages rénovent et améliorent pour pouvoir garer les Batmobiles tandis que d'autres laissent simplement les anciens tels quels et construisent simplement de nouveaux. Les garages sont vos navigateurs Web.
Avec la nouvelle norme, le Conseil des normes de sécurité PCI exige que tous les garages ou navigateurs Web n'acceptent que les nouvelles Batmobiles plus grandes d'ici juin 2016. Au fil du temps, les sites Web qui veulent être conformes PCI n'enverront que les nouvelles Batmobiles plus grandes qui sont au moins de version TLS 1.2. Si votre garage n'est pas assez grand, vous ne pourrez jamais voir Batman.
Quels garages n'accueilleront pas les Batmobiles sécurisées ?
Tous les nouveaux navigateurs communiqueront en utilisant le protocole TLS 1.2 plus moderne. Il est important que vous et vos membres mettiez à jour vos navigateurs pour vous assurer de pouvoir continuer à utiliser Uplifter. Nous voulons assurer votre sécurité, donc au cours des prochains temps, Uplifter et Beanstream n'autoriseront plus les anciens protocoles pour transférer des données. Cela signifie que si un membre tente de venir sur votre site Uplifter pour s'inscrire, il peut recevoir une erreur indiquant qu'il ne peut pas communiquer avec le site ou la page pour entrer les informations de carte de crédit produira également une erreur. De plus, si les pare-feu d'entreprise n'autorisent pas les nouveaux protocoles de données, certains réseaux de bureau afficheront également une erreur similaire lorsqu'ils tentent de communiquer avec Uplifter ou Beanstream.
Quand n'enverrez-vous que les nouvelles Batmobiles ?
Uplifter a terminé certains déploiements initiaux en mai, rendant les protocoles sécurisés offerts par défaut. Nous avons remarqué à l'époque qu'il y avait encore un certain nombre d'utilisateurs finaux qui ne pouvaient pas se connecter aux sites Uplifter soit parce que leurs navigateurs étaient obsolètes, soit parce que leurs réseaux d'entreprise empêchaient l'envoi d'informations sur les protocoles sécurisés. En raison de la réponse de certains de nos utilisateurs, nous avons choisi de retarder la désactivation de ces protocoles jusqu'après la ruée de la saison d'inscription afin de fournir à nos clubs suffisamment de temps pour communiquer à leurs membres concernant les changements à venir.
Uplifter a prévu de désactiver nos protocoles non sécurisés d'ici le 31 décembre 2015. Vous devez mettre à niveau vos garages (navigateurs) avant ces dates pour pouvoir vous connecter à votre site Uplifter ou effectuer un paiement par carte de crédit respectivement.
Que devrions-nous faire ?
Tous les administrateurs de votre club devraient mettre à jour leurs navigateurs Web pour utiliser un navigateur Web actuel et sécurisé. Si vous travaillez dans un endroit qui a des restrictions de pare-feu, renseignez-vous pour savoir si TLS 1.2 sera pris en charge avec votre navigation Web.
Envoyez un courriel à tous vos membres avant votre période d'inscription intense pour leur faire savoir que vous prenez la sécurité des données des membres au sérieux et que s'ils souhaitent s'inscrire à des programmes, ils devraient vérifier que leur navigateur est à jour et qu'ils peuvent accéder à votre site Web. Avant les déploiements de sécurité d'Uplifter, vous pouvez utiliser un site comme https://www.howsmyssl.com/ pour tester si votre navigateur sera compatible avec Uplifter et Beanstream et prêt pour PCI DSS 3.1
Compatibilité des navigateurs Web
Pour votre référence, voici trois listes qui décrivent quels navigateurs fonctionneront lorsque les changements seront effectués et lesquels ne fonctionneront pas. Cette liste a été compilée à partir de Wikipedia.
Les navigateurs qui prendront en charge TLS 1.2 par défaut incluent :
-Microsoft Internet Explorer 11 et supérieur
-Microsoft Internet Explorer Mobile (Windows Phone 8.1) 11 et supérieur
-Microsoft Edge
-Mozilla Firefox 27 et supérieur
-Google Chrome 30 et supérieur
-Google Android OS Browser Android 5.0 et supérieur
-Apple Safari 7 et supérieur
-Apple Safari Mobile 5 et supérieur sur iOS 5 et supérieur
Les navigateurs qui prendront en charge TLS 1.2 mais PAS par défaut :
-Microsoft Internet Explorer 8 - 10 sur Windows 7 ou Server 2008 R2
-Microsoft Internet Explorer Mobile (Windows Phone 8) 10
-Mozilla Firefox 24 - 26
-Google Android OS Browser Android 4.4
Les navigateurs qui NE prennent PAS en charge TLS 1.2 ET NE FONCTIONNERONT PAS AVEC UPLIFTER OU BEANSTREAM :
-Microsoft Internet Explorer 7 et inférieur et Microsoft Internet Explorer 8 sur Windows XP, Vista, Server 2003 ou Server 2008
-Microsoft Internet Explorer Mobile 7 & 9
-Mozilla Firefox 23 et inférieur
-Google Chrome 29 et inférieur
-Google Android OS Browser Android 4.3 et inférieur
-Apple Safari 6 et inférieur
-Apple Safari Mobile iOS 5 et inférieur sur iOS 4 et inférieur