Depuis 2005, plus de 10 milliards de données de consommateurs ont été compromises à la suite de plus de 9 000 violations de données aux États-Unis. Il s’agit des derniers chiffres de la Privacy Rights Clearinghouse, qui fait état de violations de données et de failles de sécurité ayant un impact sur les consommateurs depuis 2005. Afin de renforcer la sécurité des données des consommateurs et la confiance dans l'écosystème des paiements, une norme minimale de sécurité des données a été créée. Visa, Mastercard, American Express, Discover et JCB ont formé en 2006 le Payment Card Industry Security Standards Council (PCI SSC) afin d'administrer et de gérer les normes de sécurité pour les entreprises qui traitent les données des cartes bancaires.
La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est la norme de sécurité mondiale pour toutes les entités qui stockent, traitent ou transmettent des données de titulaires de cartes et/ou des données d’authentification sensibles. La norme PCI DSS établit un niveau de protection de base pour les consommateurs et contribue à réduire la fraude et les violations de données dans l’ensemble de l’écosystème des paiements. Elle s’applique à toutes les organisations qui acceptent ou traitent des cartes de paiement, et les organisations qui ne respectent pas ces normes sont passibles de pénalités, d’amendes et de frais importants.
La conformité à la norme PCI DSS repose sur trois grands axes :
- Le traitement des données des cartes bancaires saisies par les clients, c'est-à-dire la collecte et la transmission sécurisées des données de cartes sensibles
- Le stockage sécurisé des données, qui est décrit dans les 12 exigences de sécurité de la norme PCI, notamment via le chiffrement, la surveillance continue et des tests de sécurité pour l’accès aux données de carte
- La vérification annuelle de la présence des contrôles de sécurité requis, notamment au moyen de formulaires, de questionnaires, de services externes d'analyse des vulnérabilités et d'audits réalisés par des tiers (voir le guide étape par étape ci-dessous pour un tableau présentant les quatre niveaux d'exigences)
Toutes les entreprises qui acceptent des paiements par carte bancaire doivent se conformer à la norme PCI DSS, quels que soient le volume, la région géographique ou la méthode d'intégration. En respectant cette réglementation, les entreprises peuvent :
- gagner la confiance de leurs clients en veillant à ce que les données de leurs cartes soient sécurisées ;
- se protéger contre la fraude et les violations de données ;
- éviter les amendes pour violation de la conformité PCI.
Avis de non-responsabilité : Cet article ne doit être utilisé qu’à titre indicatif et ne doit pas être considéré comme un avis définitif. Pour plus de précisions, nous vous recommandons de contacter un évaluateur de sécurité agréé (QSA) de la norme PCI DSS.
Comment Stripe aide-t-elle les entreprises à atteindre et à maintenir la conformité PCI ?
Si votre business model vous contraint à manipuler des données de cartes bancaires, il se peut que vous deviez respecter les quelque 300 contrôles de sécurité de la norme PCI DSS. La documentation officielle sur la norme PCI DSS, publiée par le PCI Security Standards Council, compte plus de 1 800 pages, dont 300 portent uniquement sur le(s) formulaire(s) à utiliser pour valider votre mise en conformité.
Stripe peut aider les entreprises à réduire de manière significative la charge liée au respect de la norme PCI grâce à une variété de méthodes d'intégration tokenisées (par exemple, Checkout, Elements, les SDK mobiles, les SDK Terminal), ce qui leur évite d'avoir à manipuler directement les données sensibles des cartes bancaires.
- Stripe Checkout et Stripe Elements utilisent un champ de paiement hébergé pour traiter toutes les données de carte de paiement, de sorte que le titulaire de la carte saisit toutes les informations de paiement sensibles dans un champ de paiement qui provient directement de nos serveurs conformes à la norme PCI DSS.
- Les SDK mobiles et Terminal de Stripe permettent également au titulaire de la carte d’envoyer les informations de paiement sensibles directement à nos serveurs conformes à la norme PCI DSS.
Pour tous nos utilisateurs, quel que soit leur type d’intégration, Stripe agit en tant que conseiller PCI et peut vous aider de différentes manières.
- Notre assistant PCI Stripe analyse votre méthode d’intégration et vous conseille sur la manière de soulager les contraintes liées à la conformité.
- Nous vous informerons à l’avance si l’augmentation du volume de transactions nécessite un changement dans la façon dont vous validez votre mise en conformité.
- Pour les grandes entreprises qui stockent des données de cartes bancaires ou dont le flux de paiement est complexe, et qui doivent donc faire appel à un QSA PCI, sachez qu'il existe plus de 400 sociétés QSA de ce type à travers le monde. Nous pouvons vous mettre en relation avec plusieurs auditeurs qui maîtrisent les différentes méthodes d'intégration de Stripe sur le bout des doigts.
Guide étape par étape de la conformité à la norme PCI DSS
1. Connaître votre niveau PCI
La première étape de la mise en conformité avec la norme PCI consiste à déterminer les exigences applicables à votre entreprise. Il existe quatre niveaux de conformité PCI, généralement basés sur le volume de transactions par carte traitées par votre entreprise au cours d'une période de 12 mois.
Les exigences varient en fonction du niveau de conformité. Vous devrez notamment procéder régulièrement à des analyses de vulnérabilité auprès d’un prestataire de services d’analyse agréé (ASV). Il existe également des exigences supplémentaires pour les fournisseurs de services, qui sont des entités commerciales directement impliquées dans le traitement, le stockage ou la transmission de données des titulaires de cartes (CHD) et/ou de données d’authentification sensibles (SAD) pour le compte d’une autre entité (par exemple, les plateformes de paiement, les prestataires de paiement et les organisations de vente indépendantes).
|
Niveau de conformité
|
Champ d'application
|
Exigences
|
|---|---|---|
|
Niveau 1
|
|
|
|
Niveau 2
|
|
|
|
Niveau 3
|
|
|
|
Niveau 4
|
|
|
2. Connaître votre type d'intégration et les exigences en matière de documentation
Une fois que vous connaissez votre niveau PCI, l’étape suivante consiste à déterminer les documents PCI que vous devez remplir pour valider votre conformité, en fonction de plusieurs facteurs : le type d’intégration que vous utilisez avec Stripe, si vous êtes ou non un fournisseur de services, etc.
Utilisateurs de niveau 1
Les entreprises de niveau 1 ne peuvent pas utiliser un formulaire SAQ pour prouver leur conformité PCI. Chaque année, elles sont tenues de remplir un ROC signé par un QSA pour valider leur conformité PCI.
Utilisateurs de niveau 2 à 4
Pour les utilisateurs de niveau 2 à 4, il existe différents types de SAQ en fonction de votre méthode d'intégration des paiements. Si vous n'êtes pas sûr du type de SAQ qui vous convient, l'assistant PCI de Stripe déterminera automatiquement le type de documentation approprié à votre entreprise.
|
Intégration
|
Exigence
|
Recommandation
|
|---|---|---|
|
Checkout ou Elements
|
Questionnaire d'auto-évaluation A |
Checkout, Stripe.js et Elements hébergent toutes les saisies de collecte de données de carte dans un iframe traité à partir du domaine Stripe (pas le vôtre), de façon à ce que les informations de carte de vos clients n'atteignent jamais vos serveurs.
|
|
Connect
|
Questionnaire d'auto-évaluation A | Si vous collectez exclusivement les données de carte bancaire via une plateforme Connect (par exemple, Squarespace), nous pouvons déterminer si la plateforme fournit la documentation PCI nécessaire. |
|
SDK Mobile
|
Questionnaire d'auto-évaluation A |
Le contrôle du développement et des modifications du SDK mobile de Stripe est effectué conformément à la norme PCI DSS (exigences 6.3 à 6.5) ; il est déployé par le biais de nos systèmes validés PCI. Lorsque vous utilisez uniquement les composants d'interface utilisateur fournis dans nos SDK officiels pour iOS ou Android, ou que vous créez un formulaire de paiement avec Elements dans une vue Web, les numéros de carte de vos clients sont directement transmis à Stripe. Vos exigences en matière de conformité PCI sont ainsi simplifiées. Si vous procédez autrement, en créant par exemple votre propre code pour gérer les informations de paiement, vous devrez probablement vous soumettre à des exigences PCI DSS supplémentaires (6.3 - 6.5) et ne pourrez pas remplir le questionnaire d'auto-évaluation A. Dans ce cas, contactez un auditeur de sécurité qualifié (QSA) PCI pour déterminer la meilleure façon de valider votre conformité, selon les directives actuelles du PCI Security Standards Council. Si votre application exige que vos clients saisissent leurs informations sur leur propre appareil, vous pouvez remplir le questionnaire d'auto-évaluation A. Si votre application accepte des informations de carte de plusieurs clients sur votre appareil (par ex., application de point de vente), consultez un auditeur de sécurité qualifié PCI pour connaître la meilleure façon de valider votre conformité PCI. |
|
Stripe.js v2
|
Questionnaire d'auto-évaluation A-EP |
Si vous utilisez Stripe.js v2 pour transmettre les données de carte saisies dans un formulaire hébergé sur votre propre site, vous devez répondre au questionnaire d'auto-évaluation A-EP chaque année afin de prouver la conformité de votre entreprise aux normes PCI. Par ailleurs, Checkout et Elements vous offrent la flexibilité et la personnalisation d'un formulaire autohébergé, tout en répondant aux critères d'admissibilité PCI du questionnaire d'auto-évaluation A. |
|
Terminal
|
Questionnaire d'auto-évaluation C |
Si vous collectez exclusivement les données de cartes bancaires par le biais de Stripe Terminal, vous pouvez les valider à l’aide du questionnaire d'auto-évaluation C. Si vous intégrez Stripe par le biais d'autres méthodes répertoriées dans ce tableau, vous devez démontrer votre conformité pour chacune de ces méthodes, comme décrit. |
|
Dashboard
|
Questionnaire d'auto-évaluation C-VT |
La création manuelle de paiements par carte dans le Dashboard est réservée aux situations exceptionnelles. Elle ne doit pas servir à traiter des paiements habituels. Fournissez un formulaire de paiement ou une application mobile adaptés à vos clients pour leur permettre de saisir leurs informations de carte. Lorsqu’elles sont traitées en dehors de Stripe, nous ne pouvons pas vérifier que les informations de carte saisies manuellement sont sécurisées. Vous devez donc protéger les données de carte conformément aux exigences de la norme PCI et remplir le questionnaire d'auto-évaluation C-VT chaque année pour prouver la conformité de votre entreprise. |
|
API directe
|
Questionnaire d'auto-évaluation D |
Lorsque vous transmettez des informations de carte bancaire directement à l'API Stripe, votre intégration gère directement ces données. Vous devez alors prouver chaque année votre conformité à la norme PCI à l’aide du questionnaire d'auto-évaluation D (le plus exigeant). Pour vous simplifier la tâche :
En outre, notre outil de prévention de la fraude, Radar, qui comprend une évaluation des risques et des règles, est uniquement disponible lorsque l'une de nos méthodes de tokenisation côté client est utilisée. |
Fournisseurs de services
Si vous êtes directement impliqué dans le traitement, le stockage ou la transmission de données des titulaires de cartes (CHD) et/ou de données d’authentification sensibles (SAD) pour le compte d’une autre entité (par exemple, les plateformes de paiement, les prestataires de paiement et les organisations de vente indépendantes), vous pouvez être considéré comme un fournisseur de services. À ce titre, vous serez soumis à des exigences supplémentaires.
3. Réaliser votre évaluation et soumettre votre documentation SAQ
Une fois que vous avez identifié l'évaluation que vous devez réaliser, l'étape suivante consiste à effectuer l'évaluation, à remplir la documentation SAQ ou ROC correspondante et à la soumettre à Stripe pour examen.
Les utilisateurs traitant des volumes importants ont tout intérêt à faire appel aux services d'un QSA agréé pour opérer dans les régions où ils exercent leurs activités. Le QSA vous aidera à évaluer vos systèmes par rapport aux exigences des normes PCI et vous conseillera sur les mesures à prendre pour remédier aux éventuelles lacunes. Il établira et signera également la documentation appropriée que vous devrez ensuite communiquer à Stripe chaque année.
Les utilisateurs de niveau 3 et 4 devront probablement remplir le questionnaire d’autoévaluation PCI DSS correspondant à leur secteur d'activité. D’autres ressources destinées aux marchands sont disponibles auprès du PCI Security Standards Council. Stripe est également là pour vous aider : notre assistant personnalisé sur votre Dashboard PCI vous posera une série de questions et générera automatiquement la documentation requise. Vous pouvez utiliser le Dashboard PCI de Stripe pour charger la documentation SAQ ou ROC que vous avez remplie.
4. Surveiller et maintenir
Il est important de noter que la conformité PCI n’est pas un événement ponctuel. Il s’agit d’un processus annuel visant à garantir la conformité de votre entreprise, même si les flux de données et les points de contact avec les clients évoluent.
La norme PCI DSS établit des normes importantes pour le traitement et le stockage des données des titulaires de cartes, mais elle n’offre pas à elle seule une protection suffisante pour tous les environnements de paiement. En revanche, passer à une méthode d’acceptation des cartes plus sûre qui utilise des données tokenisées (comme Stripe Checkout, Elements et les SDK mobiles) est un moyen beaucoup plus efficace de protéger votre organisation. Cette approche offre aux entreprises agiles un moyen d’atténuer une violation potentielle de données et d’éviter l’approche historique, longue et coûteuse, de la validation PCI.
Au fur et à mesure qu’une entreprise se développe, sa logique et ses processus métier de base évoluent, ce qui signifie que les exigences en matière de conformité évoluent également. Une entreprise en ligne, par exemple, peut décider d’ouvrir des magasins physiques, de pénétrer de nouveaux marchés ou de lancer un centre d’assistance à la clientèle. Si ces nouveautés impliquent des données de cartes de paiement, il est conseillé de vérifier de manière proactive si cela a un impact sur la méthode de validation PCI choisie, et de revalider la conformité PCI si nécessaire.
Pour plus d’informations sur le monde complexe de la conformité PCI, rendez-vous sur le site Web du Conseil des normes de sécurité PCI. Si vous ne lisez que ce guide et quelques autres documents sur la norme PCI, nous vous recommandons de commencer par ceux qui suivent :
- Prioritized approach pour la norme PCI DSS
- SAQ instructions and guidelines
- FAQ sur l’utilisation des critères d’admissibilité à la SAQ pour déterminer les exigences en matière d’évaluation sur site
- FAQ sur les obligations pour les entreprises qui développent des applications pour des appareils grand public acceptant des données de carte de paiement
Comment Stripe aide-t-elle les entreprises à maintenir la conformité PCI ?
En tant que fournisseur de services PCI de niveau 1, Stripe est certifiée chaque année par un évaluateur de sécurité agréé PCI indépendant conforme à toutes les exigences de la norme PCI DSS. Cela signifie que tous nos produits sont sécurisés par défaut, ce qui réduit vos exigences en matière de conformité.
Pour tous nos utilisateurs, quel que soit leur type d’intégration, Stripe agit en tant que conseiller PCI et peut vous aider de différentes manières.
Soutien aux petites entreprises
Stripe simplifie considérablement la charge de travail liée à la norme PCI pour nos petits utilisateurs en proposant un parcours de conformité personnalisé, notamment des formulaires SAQ préremplis et des flux guidés pour certains utilisateurs qui utilisent des méthodes d’intégration plus sécurisées telles que Checkout, Elements, les SDK mobiles et SDK Terminal.
Expérience personnalisée dans le Dashboard
Une fois que vous serez devenu client de Stripe, nous analyserons l’historique de vos transactions et vous conseillerons sur la manière de soulager les contraintes liées à la conformité grâce à une expérience personnalisée dans le Dashboard.
Accompagnement au fur et à mesure de la croissance de votre entreprise
Au fur et à mesure que le volume annuel de vos transactions augmente, il se peut que vous deviez changer de niveau de norme PCI en l'espace d'un an. Stripe vous accompagne dans ces transitions en vous avertissant des nouvelles exigences à l’approche de la date de renouvellement de votre norme PCI.
Plus d'un fournisseur de services
Si votre entreprise fait appel à plusieurs sous-traitants, votre processus de conformité PCI peut être source de confusion. Stripe vous facilite la tâche en prenant en charge la soumission des attestations de conformité de vos fournisseurs afin de faciliter votre mise en conformité.