Qu'est-ce que la conformité PCI DSS ? | Définition de PCI DSS

Pour protéger les données des titulaires de cartes, les entreprises conformes à la norme PCI suivent un ensemble de normes de sécurité des données de cartes de crédit, connues sous le nom de PCI DSS. Découvrez pourquoi la conformité PCI est importante pour toutes les organisations qui gèrent ou traitent des paiements par carte.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS)
  • Décrire les origines et l'évolution de la norme PCI DSS
  • Comprendre l'importance de la conformité à la norme PCI DSS

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que la conformité PCI DSS ?

La conformité à la norme PCI (Payment Card Industry) implique le respect d'un ensemble de règles de sécurité pour les données des titulaires de cartes. Toutes les organisations qui traitent des transactions avec des cartes de crédit, de débit et/ou prépayées sont soumises aux exigences de conformité PCI.

Les données relatives aux cartes de crédit doivent rester secrètes pour être sécurisées, et le fait d'être conforme à la norme PCI prouve que l'on peut faire confiance à une entreprise pour garder ces données secrètes. Tout comme un propriétaire ne donnerait pas ses clés à une personne en qui il n'a pas confiance, les sociétés émettrices de cartes de crédit ne confieront pas les informations de paiement d'une carte à un commerçant si celui-ci ne garantit pas la sécurité de ces données.

Les entreprises qui stockent, traitent ou transmettent des données de titulaires de cartes de crédit - que ce soit en ligne, par téléphone, dans une application, sur papier ou en personne - doivent se conformer à un ensemble de règles strictes pour garantir la protection de ces informations sensibles.

Même si la conformité à la norme PCI n'est pas obligatoire selon la loi fédérale américaine, les sociétés de cartes de crédit peuvent facturer des frais de non-conformité aux entreprises qui ne protègent pas correctement les données des titulaires de carte.Plus grave encore, le fait de ne pas protéger les données des titulaires de cartes facilite le vol de ces données par les criminels. Ce type de vol représente un risque important : au cours des dix prochaines années, l'industrie mondiale des cartes de paiement devrait perdre 397 milliards de dollars à cause de la fraude, selon les projections du rapport Nilson.

Qu'est-ce que la norme PCI DSS ?

PCI DSS signifie "Payment Card Industry Data Security Standard" (PCI DSS). Le cadre PCI DSS guide les entreprises avec des processus robustes pour sécuriser les données de transaction des détenteurs de cartes et les informations d'authentification des cartes .Il vise à protéger les données des titulaires de cartes et les données d'authentification grâce à des exigences qui permettent de prévenir et de détecter les incidents de sécurité et d'y réagir.

La conformité PCI s'applique globalement à tous les commerçants qui acceptent des cartes de crédit, des cartes de débit ou des cartes prépayées. Ainsi, toutes les entreprises, qu'elles soient petites ou grandes, locales ou internationales, sont soumises à la conformité PCI si elles stockent, traitent ou transmettent des données de carte de crédit, même si elles utilisent un tiers pour le traitement des transactions.

Les données relatives aux transactions des titulaires de cartes visées par la norme PCI DSS sont les suivantes :

  • Numéro de compte primaire : Numéro de compte figurant sur la carte, généralement composé de 16 chiffres.
  • Nom complet : Nom du titulaire de la carte
  • Date d'expiration : Mois et année d'expiration de la carte
  • Code de service : Valeur automatiquement extraite de la bande magnétique ou de la puce de la carte pour les transactions en personne.

Les données d'authentification sensibles couvertes par la norme PCI DSS sont les suivantes :

  • Données complètes : Données de la bande magnétique de la carte ou équivalent sur la puce de la carte de crédit.
  • Code de vérification de la carte : Code de sécurité à trois ou quatre chiffres figurant sur une carte, qui est presque toujours demandé pour les achats en ligne.
  • Date d'expiration : Mois et année d'expiration de la carte
  • Numéro d'identification personnel (PIN) : Numéro unique - généralement composé de quatre chiffres - qui permet d'effectuer des retraits aux guichets automatiques et d'autres transactions.

Le cadre PCI DSS

Le cadre PCI DSS comprend 12 exigences fondamentales (avec plus de 300 sous-exigences) :

  1. Installer et maintenir des contrôles de sécurité des réseaux.
  2. Ne pas utiliser les mots de passe par défaut fournis par le fournisseur sur les appareils connectés au réseau.
  3. Protéger le compte stocké par le biais du chiffrement ou d'autres méthodes de protection des données.
  4. Chiffrer solidement les données des titulaires de cartes sur l'ensemble des réseaux ouverts et publics.
  5. Protéger tous les systèmes et réseaux contre les logiciels malveillants.
  6. Maintenir la sécurité des systèmes et des logiciels.
  7. Limiter l'accès au système et aux données des titulaires de cartes en fonction des besoins.
  8. Identifier les utilisateurs et authentifier l'accès des composants du système.
  9. Contrôler et restreindre l'accès physique aux données des titulaires de cartes.
  10. Journaliser et surveiller l'accès aux données des titulaires de cartes.
  11. Tester régulièrement les systèmes de sécurité et de réseau.
  12. Maintenir une politique organisationnelle de sécurité des informations.
Remarque : il s'agit uniquement de versions résumées des normes, et non des normes proprement dites. Pour plus de détails, voir le site officiel PCI Security Standards Council .

D'où viennent les normes PCI ?

La norme PCI DSS et les normes de sécurité connexes sont administrées par le PCI Security Standards Council (PCI SSC), une organisation industrielle fondée par American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc. Les organisations participantes comprennent également des commerçants, des banques émettrices de cartes de paiement, des processeurs, des développeurs et d'autres vendeurs.

La première version, PCI DSS 1.0, a été introduite en 2004. En 2006, la version 1.1 du PCI SSC a exigé que les commerçants examinent toutes les applications en ligne et mettent en place des pare-feu pour renforcer la sécurité.

PCI DSS n'a cessé d'évoluer au fil des ans en réponse aux violations de données et aux vulnérabilités apparues dans l'écosystème du traitement des cartes. La version actuelle de 4.0 est devenue la seule version active au 31 mars 2024, date de l'archivage de la version 3.2.1.

La norme PCI DSS v4.0 a été publiée en 2022 pour "répondre aux menaces et technologies émergentes et permettre des méthodes innovantes pour lutter contre les nouvelles menaces". Les organisations ont jusqu'au 31 mars 2025 pour se conformer à toutes les exigences de la norme PCI DSS v4.0.

Bien que les exigences de base de la norme PCI DSS n'aient pas fondamentalement changé, la nouvelle version 4.0 met davantage l'accent sur la manière dont les contrôles de sécurité doivent être mis en œuvre. Voici quelques exemples de changements :

  • Mise à jour de la terminologie des pare-feux pour sécurité du réseau contrôles pour prendre en charge une gamme plus large de technologies
  • Extension des exigences relatives à la mise en œuvre de l'authentification multifactorielle (AMF) pour tous les accès à l'environnement des données des titulaires de cartes.
  • Une plus grande flexibilité pour les organisations afin de démontrer comment elles utilisent différentes méthodes pour atteindre les objectifs de sécurité

Voici un récapitulatif des principales modifications survenues entre la version v.3.2.1 et la version 4.0.

Comment la conformité à la norme PCI est-elle assurée ?

La conformité PCI est appliquée par les marques de cartes de crédit responsables du traitement des paiements. Lorsqu'un commerçant accepte les cartes de paiement pour les biens et services qu'il propose, il doit remplir un rapport complet de conformité à la norme PCI DSS s'il effectue un certain nombre de transactions par carte de paiement par an. S'il manque à cette obligation, il est passible d'amendes.

Les pénalités PCI DSS sont basées sur un certain nombre de facteurs, tels que la gravité de la violation, le temps nécessaire pour résoudre le problème et l'existence ou non d'une infraction. Si une entreprise ne respecte pas la norme PCI, elle risque également de ne pas pouvoir utiliser les cartes de crédit pour tout paiement au sein de son système.

La norme PCI DSS répartit les entreprises (ou "commerçants," comme les normes les appellent) en quatre niveaux en fonction du nombre de transactions par carte qu'elles traitent au cours d'une période de 12 mois.

Les quatre niveaux* sont les suivants

  • Niveau 1 : Plus de six millions de transactions par an, tous canaux confondus
  • Niveau 2 : Entre un et six millions de transactions par an, tous canaux confondus
  • Niveau 3 : Entre 20 000 et un million de transactions électroniques par an
  • Niveau 4 : Moins de 20 000 transactions de commerce électronique par an

La façon dont un commerçant peut être certifié conforme à la norme PCI varie en fonction de son niveau. D'une manière générale, plus le nombre de transactions traitées est élevé, plus les exigences en matière d'audit de conformité sont rigoureuses.

Par exemple, les commerçants des niveaux 2 à 4 remplissent et envoient un questionnaire d'auto-évaluation (SAQ) annuel. Il existe différents types de SAQ, en fonction de la manière dont le commerçant traite les informations de carte de paiement. Les organisations doivent se référer aux instructions et directives SAQ pour s'aider à déterminer quel SAQ (le cas échéant) s'applique à leur organisation. Vous trouverez un résumé des différences au niveau des exigences SAQ dans la v4.0 ici.

Les marchands de niveau 1 (comme Cloudflare), qui traitent plus de six millions de transactions par an, font l'objet d'un audit annuel. Les commerçants de niveau 1 doivent recevoir un rapport de conformité d'un évaluateur de sécurité qualifié (QSA) ou d'un évaluateur de sécurité interne (ISA) de PCI SSC. Pour les commerçants de niveau 1, ce processus a lieu soit une fois par an, soit une fois par trimestre, en fonction de la société émettrice de la carte. Les commerçants de niveau 1 peuvent également faire l'objet d'évaluations de la sécurité des données sur place.

Enfin, tous les commerçants doivent remplir et envoyer un formulaire d' attestation de conformité (AOC), qui correspond simplement à une déclaration auprès de la société de cartes de crédit indiquant que le commerçant respecte la norme PCI.

*Ces définitions sont généralement exactes, mais chaque marque de carte de crédit définit et évalue la conformité de manière légèrement différente. Il est important de vérifier auprès de chaque société de cartes de crédit les critères spécifiques de leur programme.

Cloudflare peut-il aider les clients à répondre aux exigences PCI ?

Cloudflare entretient une conformité PCI DSS de niveau 1 et respecte la norme PCI depuis 2015. Nombre de nos clients exigent également que nous fournissions une copie de notre AOC, qui indique essentiellement à la société de cartes de crédit que nous sommes conformes à la norme PCI. Si nous n'avions pas cette certification, nous ne pourrions pas travailler avec certains clients, et notre banque acquéreuse ne nous autoriserait pas à utiliser les cartes de paiement comme mode de paiement pour nos services.

Nous aidons également nos clients à garantir la sécurité de leurs propres sites web et applications. Voici quelques exemples de la manière dont Cloudflare peut aider les entreprises à se conformer à certaines exigences de la norme PCI DSS :

  • Les clients qui utilisent le pare-feu applicatif web de Cloudflare, activent l'ensemble de règles OWASP et adaptent les règles à leur environnement pourront protéger leurs applications web et satisfaire à l'exigence 6.4.1 de la norme PCI.
  • Cloudflare permet aux commerçants d'utiliser les dernières versions de TLS encryption, un autre élément important de la conformité PCI.
  • De nombreuses entreprises utilisent des VPN et d'autres outils de segmentation pour réduire la portée de leur environnement de données sur les titulaires de cartes. Cloudflare Access constitue une solution de segmentation différente en s'appuyant sur le réseau mondial de Cloudflare (qui agit comme un service VPN) pour accéder aux ressources internes. En outre, afin d'aider les clients à se conformer à l'exigence 8.2.8, les sessions peuvent être configurées pour s'interrompre après 15 minutes d'inactivité.
  • Les nouvelles exigences en matière de sécurité côté client, 6.4.3 et 11.6.1 de la norme PCI DSS v4.0, stipulent la nécessité de connaître et d'autoriser l'exécution de JavaScript sur toutes les pages de paiement, et la nécessité d'être alerté lorsque l'un de ces éléments JavaScript est modifié. . Cloudflare Page Shield surveille en permanence l'ensemble des sites web, au-delà des simples pages de paiement, et envoie une alerte lorsqu'un script est modifié ou s'il est considéré comme malveillant.

En savoir plus sur les services de sécurité des sites web et applications proposés par Cloudflare et sur les fonctions intégrées de sécurité, de confidentialité et de conformité d'un cloud de connectivité.