Qu'est ce que la certification PCI-DSS ?

           Plus de 11,8 milliards de transactions par carte de crédit ont été traitées en France en 2020. On parle de carte de crédit même si les cartes françaises sont en réalité dans 95% des cas des cartes de débit, c’est-à-dire qu’après un achat avec votre carte, l’argent est débité de votre compte 1 à 2 jours après ou à 30 jours selon l’option. Les cartes de crédit américaines sont différentes, lors d’un achat l’argent est prélevé dans une réserve renouvelée ou non par la banque et l’achat est réalisé à crédit, puis remboursé par l’acquéreur. 

             Bien qu’il ne s’agisse pas d’une norme gouvernementale, la norme Payment Card Industry Data Security Standard a été créée par les principales marques de cartes de paiement : Visa, MasterCard, Discover, American Express et JCB International, afin de garantir la sécurité des informations relatives aux cartes de crédit des clients. Cette norme renforce les contrôles sur les données des cartes de crédit afin de réduire la fraude par carte de crédit via leur exposition. 

           La conformité à PCI DSS est imposée par les marques de cartes et mise en œuvre par les banques acquéreuses. Elle s’applique à toutes les entités qui stockent, traitent ou transmettent des données de titulaires de cartes (CHD) ou des données d’authentification sensibles (SAD), y compris les commerçants, les processeurs, les acquéreurs, les émetteurs et les fournisseurs de services. Les exigences comprennent :

  • Créer et maintenir un réseau sécurisé 
  • Protéger les données des titulaires de cartes 
  • Maintenir un programme de gestion des vulnérabilités 
  • Mettre en œuvre des mesures de contrôle d’accès rigoureuses 
  • Surveiller et tester régulièrement les réseaux 
  • Maintenir une politique de sécurité de l’information

Une responsabilité pour chaque entreprise

         Ce standard fournit un cadre pour aider les entreprises à protéger les données de leurs clients contre tout accès et toute utilisation non autorisés. Non seulement cela permet de protéger les clients, mais également aux entreprises d’économiser de l’argent car cela leur permet d’éviter les amendes pour non-conformité. La norme vise à protéger les informations relatives aux cartes de crédit contre le vol de la part de pirates informatiques ou d’autres tiers qui pourraient accéder aux données via les réseaux d’une entreprise. La norme couvre la protection des numéros de cartes de paiement et des données d’authentification telles que les codes PIN. 

             Les entreprises qui traitent les cartes de crédit ont la responsabilité envers leurs clients de protéger leurs informations contre des utilisations non autorisées. Les entreprises qui ne se conforment pas aux réglementations PCI peuvent perdre leur capacité à traiter les cartes de crédit et peuvent également être responsables des dommages liés à la non-conformité à ces réglementations de sécurité. Découvrez plus d’informations sur nos solutions e-commerce

12 étapes pour se mettre en conformité

                 Un ensemble d’étapes mises en place pour assurer la sécurité des données des titulaires de cartes de crédit lorsqu’ils effectuent des achats en ligne. Les entreprises qui traitent, transmettent ou stockent des informations relatives aux cartes de crédit sont tenues de se conformer à ces normes. Le PCI DSS contient 12 mesures qui traitent 250 exigences de sécurité qui affectent la technologie d’une organisation et ses politiques et procédures. Ces douze mandats sont les suivants : 

  • Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes. 
  • Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité. 
  • Protéger les données stockées des titulaires de cartes.
  • Chiffrer la transmission des données des titulaires de cartes sur les réseaux ouverts et publics. 
  • Utiliser et mettre à jour régulièrement un logiciel anti-virus.
  • Développer et maintenir des systèmes et des applications sécurisés Restreindre l’accès aux données des titulaires de cartes en fonction du besoin d’en connaître. 
  • Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur. 
  • Restreindre l’accès physique aux données des titulaires de cartes.
  • Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes.
  • Tester régulièrement les systèmes et processus de sécurité.
  • Maintenir une politique de sécurité de l’information pour tout le personnel.
les 12 principes de la norme PCI-DSS
Besoin d'infogérance et d'hébergement pour votre projet ?
03 20 09 11 68

               Les étapes 1 à 6 portent sur la mise en place d’un réseau et de systèmes sécurisés, les étapes 7 à 10 couvrent la maintenance et la protection continue des données des titulaires de cartes, et les étapes 11 à 12 visent à s’assurer que votre organisation a mis en place une politique de sécurité de l’information et effectue des tests réguliers. 

                La validation de la conformité est effectuée chaque année, soit par un évaluateur de sécurité qualifié (QSA) externe, soit par un évaluateur de sécurité interne (ISA) propre à l’entreprise, qui crée un rapport de conformité (ROC) pour les organisations traitant de gros volumes de transactions, ou par un questionnaire d’auto-évaluation (SAQ) pour les entreprises traitant de plus petits volumes. 

               Que vous ayez un Prestashop, un Magento, ou un autre e-commerce, vous pouvez décider de déléguer la gestion des données bancaires à des partenaires reconnus tels : PayPal (US), Stripe (FR), LemonWay (FR), ou encore Atos Wordline (FR).

Pour avoir plus d’informations, contactez-nous ! 

Discutons de votre projet