Norme & certification PCI DSS : tout ce qu’il faut savoir sur la conformité

PCI DSS est l’abréviation de « Payment Card Industry Data Security Standard ». Cet acronyme désigne une série de normes de sécurité destinées à protéger les données des cartes de paiement, lutter contre la fraude et à réduire le risque de fuite des données. Le PCI DSS a été lancé en 2006 par le PCI Security Standards Council (PCI SSC), un comité indépendant composé de Mastercard, Visa, American Express, JCB et Discover.

La norme PCI DSS repose sur six principes clés :

• Développer et maintenir un réseau sécurisé

• Protéger les données des titulaires de carte

• Maintenir un programme de gestion des vulnérabilités

• Mettre en place des mesures rigoureuses de contrôle d’accès

• Surveiller et tester régulièrement les réseaux

• Maintenir une politique de sécurité des informations

Les exigences de conformité du PCI DSS

Les exigences du PCI DSS qui s’appliquent à votre activité dépendent essentiellement de votre niveau de conformité (voir ci-dessous) et de votre type d’intégration. Au total, il existe 12 exigences de conformité :

1. Installer et configurer un pare-feu pour protéger les données des titulaires de carte

2. Ne jamais utiliser les mots de passe et autres paramètres de sécurité par défaut définis par le fournisseur

3. Protéger les données stockées des titulaires de carte

4. Chiffrer la transmission des données des titulaires de carte sur les réseaux publics ouverts

5. Protéger les systèmes contre les logiciels malveillants et mettre à jour régulièrement des logiciels ou programmes anti-virus

6. Développer et maintenir des systèmes et des applications sécurisés

7. Limiter l’accès aux données des titulaires de carte uniquement en fonction des besoins de l'entreprise

8. Attribuer un identifiant unique à chaque personne disposant d’un accès informatique

9. Restreindre l’accès physique aux données des titulaires de carte

10. Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte

11. Tester régulièrement les processus et les systèmes de sécurité

12. Maintenir une politique et un programme de sensibilisation à la sécurité des informations pour l’ensemble du personnel

À qui s’applique la conformité PCI DSS ?

Bien que le PCI DSS ne fasse pas partie de la législation, il s’agit d’une norme appliquée à travers le monde entier. Les entreprises qui ne respectent pas ces critères s’exposent à de lourdes pénalités et à des sanctions conséquentes infligées par les réseaux de cartes. Si, en revanche, vous pouvez prouver que vous avez pris toutes les mesures nécessaires pour vous conformer à la norme PCI DSS, il est probable que les réseaux de cartes réduisent considérablement, voire annulent, les amendes relatives au PCI.

Niveaux de conformité PCI

Votre périmètre champ PCI dépendra du niveau de conformité qui vous est attribué sur la base de votre volume annuel de transactions par cartes. Il existe quatre niveaux :

• Niveau 1 : C’est le niveau le plus élevé. Il s’applique à votre activité si : - vous traitez plus de 6 millions de transactions Visa ou Mastercard, ou plus de 2,5 millions de transactions American Express ; - vous avez subi une fuite de données ; - un réseau de cartes vous a classé au Niveau 1.

• Niveau 2 : Vous traitez entre 1 et 6 millions de transactions par an.

• Niveau 3 : Vous traitez entre 20 000 et 1 million de transactions en ligne, ou moins d’un million de transactions par an.

• Niveau 4 : Vous traitez moins de 20 000 transactions en ligne, ou moins d’un million de transactions par an.

Pour assurer votre conformité, vous devez impérativement répondre aux exigences qui s’appliquent à votre niveau de conformité. Vous devez ensuite obtenir une certification PCI DSS, notamment en remplissant le formulaire “Questionnaire d'auto-évaluation A” ou “Self-Assessment Questionnaire A” (SAQ A).

Comme son nom l’indique, il s’agit d’un outil qui vous aide à auto-évaluer les exigences que vous devez mettre en œuvre. Les fondamentaux de cette évaluation reposent sur trois bonnes pratiques en matière de sécurité :

• Ne jamais utiliser de noms d’utilisateurs et mots de passe prédéfinis, et ne jamais utiliser les paramètres d’usine des appareils et services utilisés.

• Utiliser des mots de passe forts et des identifiants utilisateurs uniques. Mots de passe d'au moins 7 caractères (numériques, alphabétiques et caractères spéciaux).

• Installer les nouveaux correctifs logiciels dès qu’ils sont disponibles.

Les 7 étapes pour se conformer à la norme PCI DSS

Voici une explication détaillée de la marche à suivre pour assurer votre conformité et obtenir la certification PCI DSS :

1. Cartographie du flux des données des titulaires de carte : Créez un schéma précis du flux des données des titulaires de carte. Votre diagramme doit inclure l’ensemble des applications, systèmes et individus qui manipulent les données liées aux cartes de crédit, y compris les prestataires de service. Cette opération est généralement réalisée avec l’aide de votre service informatique.

2. Définition de la portée de votre environnement : Pour définir la portée de votre environnement, vous devez identifier tous les individus, processus et technologies qui interagissent ou qui peuvent avoir un impact sur la sécurité des données des titulaires de carte. De plus amples informations sont disponibles ici.

3. Réalisation d’une évaluation : Évaluez votre niveau de conformité PCI actuel en utilisant le Questionnaire d’auto-évaluation A (SAQ-A). La personne chargée de cette évaluation devra posséder de bonnes connaissances de votre environnement.

4. Apport des modifications nécessaires : Vous découvrirez peut-être que votre activité présente des lacunes par rapport à un ou plusieurs critères. Si c’est le cas, prenez le temps de mettre en place les mesures de sécurité nécessaires.

5. Réalisation du Questionnaire d’auto-évaluation A : Ce questionnaire doit être rempli et signé par un professionnel habilité à valider tous les aspects liés à la sécurité de votre activité. Il pourrait s’agir de votre Responsable de la sécurité ou de votre DSI.

6. Soumission de ces documents à votre prestataire de solutions de paiement : Une fois ces formulaires remplis, envoyez-les à votre prestataire de solutions de paiement (comme Adyen).

7. Mise en place d’un suivi régulier : Vous devez surveiller votre conformité à tout moment, tout au long de l’année. En effet, la conformité à la norme PCI DSS est un processus continu et non un événement ponctuel.

Remarque : votre page de paiement présente peut-être des failles

Si un hacker parvient à accéder à votre site internet sans votre autorisation, cette personne pourrait également trouver le moyen de duper vos acheteurs. Le hacker pourrait, par exemple, créer un contenu parallèle au niveau de vos composants ou ajouter une iFrame à la structure existante. Dans ces scénarios, le paiement peut quand même être effectué, mais une copie des données du titulaire de la carte est envoyée au hacker. Pour réduire considérablement les risques associés à cette intégration, il est vivement conseillé de respecter les exigences présentées dans le Questionnaire d’auto-évaluation A.

La dernière version de PCI DSS a été introduite en mars 2022. Les 12 exigences fondamentales de PCI DSS restent fondamentalement les mêmes. Mais la version 4.0 comprend également un élargissement des exigences à certains aspects de la sécurité et des technologies, comme les téléphones mobiles et les tablettes, les paiements sans contact, l'adoption du cloud, les nouvelles pratiques de développement de logiciels et la dépendance accrue vis-à-vis de services tiers.

Pour appuyer l’élaboration de cette version 4.0, le PCI Security Standards Council s’est fixé quatre objectifs :

• Veiller à ce que la norme PCI DSS continue de répondre aux besoins du secteur des paiements en matière de sécurité.

• Améliorer la souplesse et la compatibilité avec d'autres méthodologies mises en place pour optimiser la sécurité.

• Encourager les entreprises à traiter la sécurité comme un processus permanent.

• Renforcer les méthodes et les processus de validation.

L’objectif de la norme PCI DSS 4.0 est d’offrir une protection intégrale des données et de définir la marche à suivre pour les entreprises. Cette version permet également d’adapter la norme aux dernières évolutions en matière de sécurité, en élargissant notamment ses exigences dans de nouveaux domaines, et en offrant aux entreprises une feuille de route plus claire.

Comme à notre habitude, nous gardons une longueur d’avance en anticipant les futures évolutions des normes de conformité du monde entier et nous travaillons en étroite collaboration avec toutes les parties concernées pour garantir à chacun des paiements simples et sécurisés sur tous les canaux.

Avertissement : Cet article est strictement destiné à des fins d’information et ne doit pas être considéré comme une recommandation définitive. Assurez-vous de consulter systématiquement votre acquéreur, les directives du PCI SSC (Payment Card Industry Data Security Standards) ou un évaluateur qualifié en matière de sécurité (QSA) pour obtenir des clarifications. Cet article s’adresse essentiellement aux entreprises qui traitent moins de 6 millions de transactions.