Pour protéger les données des titulaires de cartes, les entreprises conformes à la norme PCI suivent un ensemble de normes de sécurité des données de cartes de crédit, connues sous le nom de PCI DSS. Découvrez pourquoi la conformité PCI est importante pour toutes les organisations qui gèrent ou traitent des paiements par carte.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
La conformité à la norme PCI (Payment Card Industry) implique le respect d'un ensemble de règles de sécurité pour les données des titulaires de cartes. Toutes les organisations qui traitent des transactions avec des cartes de crédit, de débit et/ou prépayées sont soumises aux exigences de conformité PCI.
Les données relatives aux cartes de crédit doivent rester secrètes pour être sécurisées, et le fait d'être conforme à la norme PCI prouve que l'on peut faire confiance à une entreprise pour garder ces données secrètes. Tout comme un propriétaire ne donnerait pas ses clés à une personne en qui il n'a pas confiance, les sociétés émettrices de cartes de crédit ne confieront pas les informations de paiement d'une carte à un commerçant si celui-ci ne garantit pas la sécurité de ces données.
Les entreprises qui stockent, traitent ou transmettent des données de titulaires de cartes de crédit - que ce soit en ligne, par téléphone, dans une application, sur papier ou en personne - doivent se conformer à un ensemble de règles strictes pour garantir la protection de ces informations sensibles.
Même si la conformité à la norme PCI n'est pas obligatoire selon la loi fédérale américaine, les sociétés de cartes de crédit peuvent facturer des frais de non-conformité aux entreprises qui ne protègent pas correctement les données des titulaires de carte.Plus grave encore, le fait de ne pas protéger les données des titulaires de cartes facilite le vol de ces données par les criminels. Ce type de vol représente un risque important : au cours des dix prochaines années, l'industrie mondiale des cartes de paiement devrait perdre 397 milliards de dollars à cause de la fraude, selon les projections du rapport Nilson.
PCI DSS signifie "Payment Card Industry Data Security Standard" (PCI DSS). Le cadre PCI DSS guide les entreprises avec des processus robustes pour sécuriser les données de transaction des détenteurs de cartes et les informations d'authentification des cartes .Il vise à protéger les données des titulaires de cartes et les données d'authentification grâce à des exigences qui permettent de prévenir et de détecter les incidents de sécurité et d'y réagir.
La conformité PCI s'applique globalement à tous les commerçants qui acceptent des cartes de crédit, des cartes de débit ou des cartes prépayées. Ainsi, toutes les entreprises, qu'elles soient petites ou grandes, locales ou internationales, sont soumises à la conformité PCI si elles stockent, traitent ou transmettent des données de carte de crédit, même si elles utilisent un tiers pour le traitement des transactions.
Les données relatives aux transactions des titulaires de cartes visées par la norme PCI DSS sont les suivantes :
Les données d'authentification sensibles couvertes par la norme PCI DSS sont les suivantes :
Le cadre PCI DSS comprend 12 exigences fondamentales (avec plus de 300 sous-exigences) :
La norme PCI DSS et les normes de sécurité connexes sont administrées par le PCI Security Standards Council (PCI SSC), une organisation industrielle fondée par American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc. Les organisations participantes comprennent également des commerçants, des banques émettrices de cartes de paiement, des processeurs, des développeurs et d'autres vendeurs.
La première version, PCI DSS 1.0, a été introduite en 2004. En 2006, la version 1.1 du PCI SSC a exigé que les commerçants examinent toutes les applications en ligne et mettent en place des pare-feu pour renforcer la sécurité.
PCI DSS n'a cessé d'évoluer au fil des ans en réponse aux violations de données et aux vulnérabilités apparues dans l'écosystème du traitement des cartes. La version actuelle de 4.0 est devenue la seule version active au 31 mars 2024, date de l'archivage de la version 3.2.1.
La norme PCI DSS v4.0 a été publiée en 2022 pour "répondre aux menaces et technologies émergentes et permettre des méthodes innovantes pour lutter contre les nouvelles menaces". Les organisations ont jusqu'au 31 mars 2025 pour se conformer à toutes les exigences de la norme PCI DSS v4.0.
Bien que les exigences de base de la norme PCI DSS n'aient pas fondamentalement changé, la nouvelle version 4.0 met davantage l'accent sur la manière dont les contrôles de sécurité doivent être mis en œuvre. Voici quelques exemples de changements :
Voici un récapitulatif des principales modifications survenues entre la version v.3.2.1 et la version 4.0.
La conformité PCI est appliquée par les marques de cartes de crédit responsables du traitement des paiements. Lorsqu'un commerçant accepte les cartes de paiement pour les biens et services qu'il propose, il doit remplir un rapport complet de conformité à la norme PCI DSS s'il effectue un certain nombre de transactions par carte de paiement par an. S'il manque à cette obligation, il est passible d'amendes.
Les pénalités PCI DSS sont basées sur un certain nombre de facteurs, tels que la gravité de la violation, le temps nécessaire pour résoudre le problème et l'existence ou non d'une infraction. Si une entreprise ne respecte pas la norme PCI, elle risque également de ne pas pouvoir utiliser les cartes de crédit pour tout paiement au sein de son système.
La norme PCI DSS répartit les entreprises (ou "commerçants," comme les normes les appellent) en quatre niveaux en fonction du nombre de transactions par carte qu'elles traitent au cours d'une période de 12 mois.
Les quatre niveaux* sont les suivants
La façon dont un commerçant peut être certifié conforme à la norme PCI varie en fonction de son niveau. D'une manière générale, plus le nombre de transactions traitées est élevé, plus les exigences en matière d'audit de conformité sont rigoureuses.
Par exemple, les commerçants des niveaux 2 à 4 remplissent et envoient un questionnaire d'auto-évaluation (SAQ) annuel. Il existe différents types de SAQ, en fonction de la manière dont le commerçant traite les informations de carte de paiement. Les organisations doivent se référer aux instructions et directives SAQ pour s'aider à déterminer quel SAQ (le cas échéant) s'applique à leur organisation. Vous trouverez un résumé des différences au niveau des exigences SAQ dans la v4.0 ici.
Les marchands de niveau 1 (comme Cloudflare), qui traitent plus de six millions de transactions par an, font l'objet d'un audit annuel. Les commerçants de niveau 1 doivent recevoir un rapport de conformité d'un évaluateur de sécurité qualifié (QSA) ou d'un évaluateur de sécurité interne (ISA) de PCI SSC. Pour les commerçants de niveau 1, ce processus a lieu soit une fois par an, soit une fois par trimestre, en fonction de la société émettrice de la carte. Les commerçants de niveau 1 peuvent également faire l'objet d'évaluations de la sécurité des données sur place.
Enfin, tous les commerçants doivent remplir et envoyer un formulaire d' attestation de conformité (AOC), qui correspond simplement à une déclaration auprès de la société de cartes de crédit indiquant que le commerçant respecte la norme PCI.
*Ces définitions sont généralement exactes, mais chaque marque de carte de crédit définit et évalue la conformité de manière légèrement différente. Il est important de vérifier auprès de chaque société de cartes de crédit les critères spécifiques de leur programme.
Cloudflare entretient une conformité PCI DSS de niveau 1 et respecte la norme PCI depuis 2015. Nombre de nos clients exigent également que nous fournissions une copie de notre AOC, qui indique essentiellement à la société de cartes de crédit que nous sommes conformes à la norme PCI. Si nous n'avions pas cette certification, nous ne pourrions pas travailler avec certains clients, et notre banque acquéreuse ne nous autoriserait pas à utiliser les cartes de paiement comme mode de paiement pour nos services.
Nous aidons également nos clients à garantir la sécurité de leurs propres sites web et applications. Voici quelques exemples de la manière dont Cloudflare peut aider les entreprises à se conformer à certaines exigences de la norme PCI DSS :
En savoir plus sur les services de sécurité des sites web et applications proposés par Cloudflare et sur les fonctions intégrées de sécurité, de confidentialité et de conformité d'un cloud de connectivité.