Qu’est-ce que la conformité PCI ?

La Norme de sécurité des données de l’industrie des cartes de paiement (PCI SSC) a été établie en 2006 par les principales marques de cartes (p. ex. Visa, Mastercard, American Express, Discover Financial Services, JCB International).

Toutes les entreprises qui acceptent, traitent, stockent ou transmettent des données de titulaires de carte doivent appliquer cette norme afin de maintenir un environnement sécurisé. Vos pratiques de gestion des cartes et votre environnement de traitement déterminent quelles exigences de la PCI SSC s’appliquent à votre entreprise.

Qu’est-ce que la validation PCI ?

Le Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI SSC) exige que tous les marchands se conforment à la norme PCI. Une validation annuelle (ou preuve) est exigée par les grandes marques de cartes et sert à documenter votre conformité. Les exigences de validation varient selon le nombre annuel de transactions par carte et peuvent nécessiter une auto‑évaluation ou un audit indépendant sur place.

Qui doit devenir conforme à la PCI ?

Toute organisation qui accepte, traite, stocke ou transmet des informations de paiement par carte doit se conformer à la PCI SSC.

La conformité PCI est‑elle exigée par la loi ?

Le gouvernement ne réglemente pas la PCI; toutefois, lorsque vous avez signé votre contrat d’acceptation des cartes — confirmant votre intention d’accepter les cartes de crédit et de débit dans votre entreprise — vous avez accepté de respecter les règles des marques de cartes. Si vous choisissez d’accepter Visa, Mastercard, JCB, American Express ou Discover, vous devez respecter la PCI SSC.

Que se passe‑t‑il si je ne deviens pas conforme à la PCI?

Si vous n’êtes pas conforme à la PCI, vous êtes plus vulnérable aux incidents de compromission de données et vous pourriez aussi être sanctionné par les fournisseurs de services aux marchands et/ou les ISO (organisations de vente indépendantes) ainsi que par les marques de cartes pour ne pas avoir validé votre conformité PCI.

Je ne traite que quelques cartes par année. Dois‑je quand même être conforme à la PCI ?

Oui. Même si vous ne traitez qu’une seule transaction par année, vous devez mettre en œuvre la PCI SSC dans votre environnement de traitement.

Qu’est‑ce qui est requis pour devenir conforme à la PCI?

Les étapes typiques pour qu’un marchand devienne conforme à la PCI SSC comprennent, sans s’y limiter :

• Déterminer votre type de validation PCI SSC (ce qui précise vos exigences).
• Traiter toutes les exigences figurant dans votre questionnaire d’auto‑évaluation (SAQ) (p. ex. analyses de vulnérabilités externes, tests d’intrusion, formation des employés).
• Attester annuellement de votre conformité.
• Effectuer et déclarer trimestriellement les résultats de toutes les analyses réalisées par un fournisseur d’analyses approuvé (ASV).

Quelle est la version la plus récente de la PCI SSC?

Le PCI SSC a récemment publié la PCI SSC version 4.0. Elle remplace la version 3.2.1 pour apporter des précisions aux exigences existantes. La version 4.0 prend plein effet à compter du 1er avril 2025.

Qu’est‑ce qui est requis pour devenir conforme à la PCI ?

En fin de compte, vous devez choisir le SAQ adapté à votre environnement de traitement, mais de façon générale :

• SAQ A : pour les marchands de commerce électronique / commande postale-téléphonique (carte non présente) qui ont entièrement externalisé toutes les fonctions liées aux données de titulaires de carte. Aucun stockage, traitement ou transmission électronique de données de titulaires de carte sur les systèmes ou les locaux du marchand.
• SAQ A‑EP : pour les marchands uniquement en ligne qui utilisent un fournisseur tiers pour gérer les informations de carte et dont le site ne traite pas les données de carte, mais peut influencer la sécurité de la transaction. Aucun stockage, traitement ou transmission électronique de données de titulaires de carte sur les systèmes ou les locaux du marchand.
• SAQ B : pour les marchands qui utilisent des appareils à empreinte (« imprinters ») et/ou des terminaux autonomes à numérotation sortante, sans stockage électronique de données de titulaires de carte. Non destiné au commerce électronique.
• SAQ B‑IP : pour les marchands qui utilisent uniquement des terminaux de paiement autonomes, homologués PTS, avec une connexion IP au processeur de paiements, et sans stockage électronique de données de titulaires de carte. Non destiné au commerce électronique.
• SAQ C‑VT : pour les marchands qui utilisent un terminal virtuel sur un seul ordinateur dédié exclusivement au traitement des cartes. Aucun stockage électronique de données de titulaires de carte. Non destiné au commerce électronique.
• SAQ C : pour tout marchand ayant une application de paiement connectée à Internet, sans stockage électronique de données de titulaires de carte.
• SAQ D – Marchands : pour les marchands qui stockent des données de cartes électroniquement.

Qu’est‑ce qu’un certificat de conformité PCI ?

Certains QSA/ASV délivrent des certificats confirmant que l’organisation est conforme à la PCI SSC. Un certificat n’est pas obligatoire et vous n’avez pas nécessairement besoin d’un certificat pour être conforme à la PCI.

Suis‑je conforme à la PCI si mon site possède un certificat SSL/TLS ?

Malheureusement, non. Un certificat SSL/TLS chiffre uniquement les données échangées entre votre site Web et vos clients. SSL/TLS est important, mais ce n’est qu’une composante de la conformité PCI. La PCI SSC exige de nombreuses autres mesures de sécurité (p. ex. protection des données stockées, limitation des accès, vérifications régulières des systèmes).

Qui veille à l’application de la conformité PCI ?

De façon générale, ce sont les banques acquéreuses (acquéreurs) qui veillent à l’application de la conformité à la PCI SSC. Le PCI SSC a été formé en 2006 par les principales marques de cartes (p. ex. Visa, Mastercard, American Express, Discover Financial Services, JCB International) pour réglementer, maintenir, faire évoluer et promouvoir la conformité à la PCI SSC.

Quel est le rôle de SecurityMetrics dans la conformité PCI ?

PayFacto s’est associé à SecurityMetrics pour aider nos marchands à valider leur conformité et simplifier la PCI pour vous. SecurityMetrics est un fournisseur d’analyses approuvé (ASV) et est certifié pour effectuer des analyses PCI, des audits PCI sur place, des audits de logiciels d’application de paiement, des audits de sécurité de terminaux point de vente, des tests d’intrusion et des analyses judiciaires (pour évaluer les compromissions de données de carte).

Les QSA et experts de SecurityMetrics détiennent des certifications telles que :

• CISSP (Certified Information Systems Security Professional)
• CISA (Certified Information Systems Auditor)
• PFI (PCI Forensic Investigator)
• ASV (Approved Scanning Vendor)
• QSA (Qualified Security Assessor)
• PA‑QSA (Payment Application Qualified Security Assessor)
• P2PE QSA (Point-to-Point Encryption Qualified Security Assessor)
• HCISPP (HealthCare Information Security and Privacy Practitioner)

Que dois‑je faire si je pense que mon entreprise a été compromise ?

Déconnectez votre système d’Internet, appelez SecurityMetrics ou votre fournisseur de services, puis contactez un enquêteur judiciaire. Les enquêteurs judiciaires PCI vous aident à repérer et corriger les failles de sécurité dans votre environnement de traitement. Ils vous aident à identifier comment et quand les attaquants ont pénétré vos systèmes, à déterminer si des données de cartes ont été compromises et à documenter vos efforts de remédiation pour les marques de cartes.

Comment commencer avec SecurityMetrics ?

Si vous n’avez pas encore créé de compte, créez‑en un ici, et un expert PCI de SecurityMetrics vous contactera afin de s’assurer que les bonnes normes sont appliquées à votre compte. Si vous avez déjà un compte chez SecurityMetrics, ouvrez une session dans votre compte et commencez le processus de conformité PCI. Démarrez en parcourant chaque section du SAQ.

Le présent article est fourni à titre informatif seulement et ne constitue pas un avis juridique ni un autre conseil professionnel, ni une opinion de quelque nature que ce soit.