La norme PCI-DSS

Qu'est ce que la conformité PCI-DSS

Le PCI DSS, ou « Payment Card Industry Data Security Standard », représente un ensemble de normes de sécurité visant à protéger les informations des cartes de paiement, à prévenir la fraude et à diminuer le risque de fuite de données. Mis en place en 2006 par le PCI Security Standards Council (PCI SSC), un organisme indépendant formé par Mastercard, Visa, American Express, JCB et Discover, le PCI DSS établit des exigences strictes pour la sécurité des transactions par carte bancaire.


Six principes clés

  1. Développer et maintenir un réseau sécurisé

  2. Protéger les données des titulaires de carte

  3. Maintenir un programme de gestion des vulnérabilités 

  4. Mettre en place des mesures rigoureuses de contrôle d'accès

  5. Surveiller et tester régulièrement les réseaux

  6. Maintenir une politique de sécurité des informations


Les exigences de conformité du PCI DSS

Les exigences du PCI DSS qui s’appliquent à votre activité dépendent essentiellement de votre niveau de conformité (voir ci-dessous) et de votre type d’intégration. Au total, il existe 12 exigences de conformité :


  1. Installer et configurer un pare-feu pour protéger les données des titulaires de carte
  2. Ne jamais utiliser les mots de passe et autres paramètres de sécurité par défaut définis par le fournisseur
  3. Protéger les données stockées des titulaires de carte
  4. Chiffrer la transmission des données des titulaires de carte sur les réseaux publics ouverts
  5. Protéger les systèmes contre les logiciels malveillants et mettre à jour régulièrement des logiciels ou programmes anti-virus
  6. Développer et maintenir des systèmes et des applications sécurisés
  7. Limiter l’accès aux données des titulaires de carte uniquement en fonction des besoins de l'entreprise
  8. Attribuer un identifiant unique à chaque personne disposant d’un accès informatique
  9. Restreindre l’accès physique aux données des titulaires de carte
  10. Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte
  11. Tester régulièrement les processus et les systèmes de sécurité
  12. Maintenir une politique et un programme de sensibilisation à la sécurité des informations pour l’ensemble du personnel


A qui s'applique la conformité PCI DSS ?

Toutes les entreprises qui acceptent des paiements par carte de crédit doivent se conformer aux exigences du PCI DSS. 

Bien que le PCI DSS ne soit pas une exigence légale, il constitue une norme mondiale largement adoptée. Les entreprises qui ne se conforment pas à ces règles risquent des pénalités sévères et des sanctions imposées par les réseaux de cartes. En revanche, si vous pouvez démontrer que vous avez mis en place toutes les mesures nécessaires pour respecter les normes PCI DSS, les réseaux de cartes pourraient réduire significativement, voire annuler, les amendes associées.


Quels sont les niveaux de conformité ?

Votre périmètre dépendra du niveau de conformité qui vous est attribué sur la base de votre volume annuel de transactions par cartes. Il existe quatre niveaux :

  • Niveau 1 : C’est le niveau le plus élevé. Il s’applique à votre activité si : 
    • vous traitez plus de 6 millions de transactions Visa ou Mastercard, ou plus de 2,5 millions de transactions American Express ; 
    • vous avez subi une fuite de données ; 
    • un réseau de cartes vous a classé au Niveau 1.
  • Niveau 2 : Vous traitez entre 1 et 6 millions de transactions par an.
  • Niveau 3 : Vous traitez entre 20 000 et 1 million de transactions en ligne, ou moins d’un million de transactions par an.
  • Niveau 4 : Vous traitez moins de 20 000 transactions en ligne, ou moins d’un million de transactions par an.


Comment se conformer à la norme et obtenir la certification ?

Pour garantir votre conformité, vous devez répondre aux exigences correspondant à votre niveau de conformité. Ensuite, vous devez obtenir une certification PCI DSS, notamment en remplissant le questionnaire sur le site : https://docs-prv.pcisecuritystandards.org/SAQ%20(Assessment)/SAQ/PCI-DSS-v4-0-SAQ-A-FR.pdf?lang=fr


Comme son nom l’indique, ce questionnaire vous aide à auto-évaluer les exigences à mettre en œuvre. Cette évaluation repose sur trois bonnes pratiques de sécurité :


1. Ne jamais utiliser de mots de passe par défaut, ni des comptes génériques, ni les paramètres d’usine des appareils et services utilisés.

2. Utiliser des mots de passe forts et des identifiants utilisateurs uniques, comprenant au moins 7 caractères (numériques, alphabétiques et caractères spéciaux).

3. Installer les mises à jour des systèmes et logiciels dès qu’ils sont disponibles.


Notre partenaire Extern IT pourra vous accompagner dans la mise en œuvre des mesures de sécurité.