Blogs
Norme & certification PCI DSS : tout ce qu’il faut savoir sur la conformité
Qu’est-ce que la norme PCI DSS ? À qui s’applique la certification ? Retrouvez tout ce que vous devez savoir sur la conformité PCI DSS dans cet article.
Le volume de données bancaires traitées chaque jour reflète la croissance démographique au niveau mondial. Plus de 90 % des données présentes à travers le monde ont été générées au cours des dernières années. Et cette tendance ne cesse de s’intensifier.
Selon le PCI SSC (PCI Security Standards Council), le coût moyen d’une fuite de données s’élève à 3,8 millions de dollars. À lui seul, ce chiffre est une bonne raison de tout mettre en œuvre pour éviter ce type de problèmes. Même si respecter tous les critères de conformité qui s’appliquent peut parfois sembler décourageant, une mauvaise gestion des données des cartes de paiement peut avoir de graves conséquences.
Dans cet article, nous allons explorer ce que nous avons appris au cours des dernières années en aidant les entreprises à se conformer à la norme PCI DSS. Et nous reviendrons sur les mesures que vous pouvez prendre pour sécuriser votre entreprise et assurer sa pérennité.
Qu’est-ce que la conformité PCI DSS ?
PCI DSS est l’abréviation de « Payment Card Industry Data Security Standard ». Cet acronyme désigne une série de normes de sécurité destinées à protéger les données des cartes de paiement, lutter contre la fraude et à réduire le risque de fuite des données. Le PCI DSS a été lancé en 2006 par le PCI Security Standards Council (PCI SSC), un comité indépendant composé de Mastercard, Visa, American Express, JCB et Discover.
La norme PCI DSS repose sur six principes clés :
Développer et maintenir un réseau sécurisé
Protéger les données des titulaires de carte
Maintenir un programme de gestion des vulnérabilités
Mettre en place des mesures rigoureuses de contrôle d’accès
Surveiller et tester régulièrement les réseaux
Maintenir une politique de sécurité des informations
Les exigences de conformité du PCI DSS
Les exigences du PCI DSS qui s’appliquent à votre activité dépendent essentiellement de votre niveau de conformité (voir ci-dessous) et de votre type d’intégration. Au total, il existe 12 exigences de conformité :
Installer et configurer un pare-feu pour protéger les données des titulaires de carte
Ne jamais utiliser les mots de passe et autres paramètres de sécurité par défaut définis par le fournisseur
Protéger les données stockées des titulaires de carte
Chiffrer la transmission des données des titulaires de carte sur les réseaux publics ouverts
Protéger les systèmes contre les logiciels malveillants et mettre à jour régulièrement des logiciels ou programmes anti-virus
Développer et maintenir des systèmes et des applications sécurisés
Limiter l’accès aux données des titulaires de carte uniquement en fonction des besoins de l'entreprise
Attribuer un identifiant unique à chaque personne disposant d’un accès informatique
Restreindre l’accès physique aux données des titulaires de carte
Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte
Tester régulièrement les processus et les systèmes de sécurité
Maintenir une politique et un programme de sensibilisation à la sécurité des informations pour l’ensemble du personnel
À qui s’applique la conformité PCI DSS ?
Bien que le PCI DSS ne fasse pas partie de la législation, il s’agit d’une norme appliquée à travers le monde entier. Les entreprises qui ne respectent pas ces critères s’exposent à de lourdes pénalités et à des sanctions conséquentes infligées par les réseaux de cartes. Si, en revanche, vous pouvez prouver que vous avez pris toutes les mesures nécessaires pour vous conformer à la norme PCI DSS, il est probable que les réseaux de cartes réduisent considérablement, voire annulent, les amendes relatives au PCI.
Niveaux de conformité PCI
Votre périmètre champ PCI dépendra du niveau de conformité qui vous est attribué sur la base de votre volume annuel de transactions par cartes. Il existe quatre niveaux :
Niveau 1 : C’est le niveau le plus élevé. Il s’applique à votre activité si : - vous traitez plus de 6 millions de transactions Visa ou Mastercard, ou plus de 2,5 millions de transactions American Express ; - vous avez subi une fuite de données ; - un réseau de cartes vous a classé au Niveau 1.
Niveau 2 : Vous traitez entre 1 et 6 millions de transactions par an.
Niveau 3 : Vous traitez entre 20 000 et 1 million de transactions en ligne, ou moins d’un million de transactions par an.
Niveau 4 : Vous traitez moins de 20 000 transactions en ligne, ou moins d’un million de transactions par an.
Comment se conformer à la norme PCI DSS et obtenir la certification ?
Pour assurer votre conformité, vous devez impérativement répondre aux exigences qui s’appliquent à votre niveau de conformité. Vous devez ensuite obtenir une certification PCI DSS, notamment en remplissant le formulaire “Questionnaire d'auto-évaluation A” ou “Self-Assessment Questionnaire A” (SAQ A).
Comme son nom l’indique, il s’agit d’un outil qui vous aide à auto-évaluer les exigences que vous devez mettre en œuvre. Les fondamentaux de cette évaluation reposent sur trois bonnes pratiques en matière de sécurité :
Ne jamais utiliser de noms d’utilisateurs et mots de passe prédéfinis, et ne jamais utiliser les paramètres d’usine des appareils et services utilisés.
Utiliser des mots de passe forts et des identifiants utilisateurs uniques. Mots de passe d'au moins 7 caractères (numériques, alphabétiques et caractères spéciaux).
Installer les nouveaux correctifs logiciels dès qu’ils sont disponibles.
Les 7 étapes pour se conformer à la norme PCI DSS
Voici une explication détaillée de la marche à suivre pour assurer votre conformité et obtenir la certification PCI DSS :
Cartographie du flux des données des titulaires de carte : Créez un schéma précis du flux des données des titulaires de carte. Votre diagramme doit inclure l’ensemble des applications, systèmes et individus qui manipulent les données liées aux cartes de crédit, y compris les prestataires de service. Cette opération est généralement réalisée avec l’aide de votre service informatique.
Définition de la portée de votre environnement : Pour définir la portée de votre environnement, vous devez identifier tous les individus, processus et technologies qui interagissent ou qui peuvent avoir un impact sur la sécurité des données des titulaires de carte. De plus amples informations sont disponibles ici.
Réalisation d’une évaluation : Évaluez votre niveau de conformité PCI actuel en utilisant le Questionnaire d’auto-évaluation A (SAQ-A). La personne chargée de cette évaluation devra posséder de bonnes connaissances de votre environnement.
Apport des modifications nécessaires : Vous découvrirez peut-être que votre activité présente des lacunes par rapport à un ou plusieurs critères. Si c’est le cas, prenez le temps de mettre en place les mesures de sécurité nécessaires.
Réalisation du Questionnaire d’auto-évaluation A : Ce questionnaire doit être rempli et signé par un professionnel habilité à valider tous les aspects liés à la sécurité de votre activité. Il pourrait s’agir de votre Responsable de la sécurité ou de votre DSI.
Soumission de ces documents à votre prestataire de solutions de paiement : Une fois ces formulaires remplis, envoyez-les à votre prestataire de solutions de paiement (comme Adyen).
Mise en place d’un suivi régulier : Vous devez surveiller votre conformité à tout moment, tout au long de l’année. En effet, la conformité à la norme PCI DSS est un processus continu et non un événement ponctuel.
Remarque : votre page de paiement présente peut-être des failles
Si un hacker parvient à accéder à votre site internet sans votre autorisation, cette personne pourrait également trouver le moyen de duper vos acheteurs. Le hacker pourrait, par exemple, créer un contenu parallèle au niveau de vos composants ou ajouter une iFrame à la structure existante. Dans ces scénarios, le paiement peut quand même être effectué, mais une copie des données du titulaire de la carte est envoyée au hacker. Pour réduire considérablement les risques associés à cette intégration, il est vivement conseillé de respecter les exigences présentées dans le Questionnaire d’auto-évaluation A.
PCI DSS 4.0
La dernière version de PCI DSS a été introduite en mars 2022. Les 12 exigences fondamentales de PCI DSS restent fondamentalement les mêmes. Mais la version 4.0 comprend également un élargissement des exigences à certains aspects de la sécurité et des technologies, comme les téléphones mobiles et les tablettes, les paiements sans contact, l'adoption du cloud, les nouvelles pratiques de développement de logiciels et la dépendance accrue vis-à-vis de services tiers.
Pour appuyer l’élaboration de cette version 4.0, le PCI Security Standards Council s’est fixé quatre objectifs :
Veiller à ce que la norme PCI DSS continue de répondre aux besoins du secteur des paiements en matière de sécurité.
Améliorer la souplesse et la compatibilité avec d'autres méthodologies mises en place pour optimiser la sécurité.
Encourager les entreprises à traiter la sécurité comme un processus permanent.
Renforcer les méthodes et les processus de validation.
L’objectif de la norme PCI DSS 4.0 est d’offrir une protection intégrale des données et de définir la marche à suivre pour les entreprises. Cette version permet également d’adapter la norme aux dernières évolutions en matière de sécurité, en élargissant notamment ses exigences dans de nouveaux domaines, et en offrant aux entreprises une feuille de route plus claire.
Comme à notre habitude, nous gardons une longueur d’avance en anticipant les futures évolutions des normes de conformité du monde entier et nous travaillons en étroite collaboration avec toutes les parties concernées pour garantir à chacun des paiements simples et sécurisés sur tous les canaux.
Avertissement : Cet article est strictement destiné à des fins d’information et ne doit pas être considéré comme une recommandation définitive. Assurez-vous de consulter systématiquement votre acquéreur, les directives du PCI SSC (Payment Card Industry Data Security Standards) ou un évaluateur qualifié en matière de sécurité (QSA) pour obtenir des clarifications. Cet article s’adresse essentiellement aux entreprises qui traitent moins de 6 millions de transactions.
Inscrivez-vous à la newsletter d'Adyen
Recevez nos actualités par mail
Je confirme avoir bien pris connaissance de la Politique de Confidentialité d'Adyen et accepte que mes données soient utilisées conformément à celle-ci.