PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité qui a été créée par les cinq grands réseaux de cartes (Visa, Mastercard, AMEX, Discover, JCB). Elle définit des exigences obligatoires pour toutes les entreprises qui traitent, stockent ou transmettent des données de cartes de crédit.
La norme comprend 12 exigences principales réparties en six domaines : sécurité du réseau, protection des données, gestion des vulnérabilités, contrôle des accès, surveillance et politiques de sécurité. La conformité est attestée par des audits annuels ou des questionnaires d'auto-évaluation (SAQ).
Pour la plupart des Commerçants en ligne, l'utilisation d'un PSP certifié PCI-DSS réduit considérablement leur propre charge de conformité : si les données de carte sont traitées via un Hosted Checkout ou un formulaire de paiement tokenisé, les données sensibles ne touchent jamais directement le système du Commerçant.
Exemples PCI DSS
Une boutique en ligne utilise le Hosted Checkout de son PSP. Les données de carte ne sont jamais stockées sur le serveur de la boutique — l'effort de conformité PCI-DSS est minimal.
Un grand détaillant traite les données de carte dans son propre système et doit réussir chaque année un audit PCI-DSS réalisé par un Qualified Security Assessor (QSA).
Un PSP tokenise les données de carte : à la place du numéro de carte réel, un jeton (token) inutile pour les fraudeurs est enregistré.
FAQ PCI DSS
Qu'est-ce que le PCI DSS ?
PCI DSS est la norme de sécurité de l'industrie des cartes de paiement. Elle définit les exigences pour toutes les entreprises qui traitent, stockent ou transmettent des données de cartes de crédit — pour protéger contre la perte de données et la fraude.
Dois-tu, en tant que Commerçant, respecter la norme PCI DSS ?
Oui, en principe, chaque entreprise qui accepte les paiements par carte doit se conformer à la norme PCI DSS. Pour la plupart des commerçants en ligne, l'effort est toutefois considérablement réduit s'ils utilisent un PSP certifié PCI DSS avec Hosted Checkout.
Qu'est-ce que la tokenisation dans le contexte de PCI DSS ?
La tokenisation remplace le vrai numéro de carte par un jeton (token) — une valeur aléatoire qui n'a aucune valeur pour les fraudeurs. Le jeton peut être utilisé pour des transactions ultérieures sans avoir à stocker les vraies données de la carte.
Que se passe-t-il en cas de violation de la norme PCI-DSS ?
Les infractions peuvent entraîner des amendes de la part des réseaux de cartes, une augmentation des frais de transaction, la perte de l'acceptation des cartes et, dans le pire des cas, des recours en responsabilité en cas de perte de données.
