Conformité PCI en Nouvelle-Zélande : exigences, considérations et bonnes pratiques

Connect
Connect

Les plateformes et places de marché les plus florissantes du monde, dont Shopify et DoorDash, utilisent Stripe Connect pour l'intégration des paiements.

En savoir plus 
  1. Introduction
  2. Points à retenir
  3. Qu’est-ce que la conformité PCI en Nouvelle-Zélande ?
  4. Pourquoi la conformité PCI est-elle importante pour les entreprises néo-zélandaises ?
  5. Comment fonctionne la conformité PCI ?
  6. Quelles sont les exigences de conformité PCI pour les entreprises néo-zélandaises ?
    1. 1. Créer et maintenir un réseau sécurisé
    2. 2. Protéger les données des comptes
    3. 3. Maintenir un programme de gestion des vulnérabilités
    4. 4. Mettre en œuvre des mesures de contrôle d’accès rigoureuses
    5. 5. Surveiller et tester régulièrement les réseaux
    6. 6. Maintenir une politique de sécurité de l’information
  7. À quels défis les entreprises néo-zélandaises sont-elles confrontées en matière de conformité PCI ?
    1. Une portée plus grande que prévu
    2. Infrastructure héritée
    3. Incompréhension de ce que couvre l’externalisation
    4. Rotation du personnel et lacunes en matière de formation
    5. Le problème de sélection du questionnaire
  8. Comment les entreprises néo-zélandaises peuvent-elles assurer la conformité PCI ?
    1. Utilisez un fournisseur de services qui maintient les données de carte bancaire hors de vos systèmes
    2. Cartographiez d’abord vos flux de données
    3. Obtenez le bon questionnaire
    4. Prenez les tests d’intrusion au sérieux
    5. Attribuez des responsabilités internes claires
    6. Intégrez la collecte de preuves à vos opérations
  9. Comment Stripe Connect peut vous aider

Les pertes liées aux escroqueries et à la fraude à la carte bancaire ont totalisé 194 millions de dollars néo-zélandais (NZD) en 2024 et continuent de s'accélérer. Bien qu'elles ne soient pas requises par la loi néo-zélandaise, les entreprises qui acceptent les card_payments dans le pays sont censées se conformer à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Les réseaux de cartes imposent la conformité par le biais d'accords avec les commerçants. Le non-respect de cette obligation peut entraîner des amendes, des coûts de transaction plus élevés ou même la perte de la possibilité d'accepter les paiements par carte bancaire.

Ci-dessous, nous aborderons les exigences de la norme PCI DSS, les défis de conformité les plus courants auxquels sont confrontées les entreprises néo-zélandaises et la manière de parvenir à la conformité.

Points à retenir

  • La conformité PCI DSS est appliquée par le biais d'accords avec les commerçants avec les réseaux de cartes et les banques acquéreuses plutôt que par la loi néo-zélandaise. Cependant, les conséquences financières et opérationnelles d'une non-conformité sont importantes.

  • L'étendue de vos obligations de conformité dépend de la quantité de données du titulaire de la carte que vos systèmes traitent. Vous pouvez simplifier le processus de conformité en réduisant votre exposition.

  • Le choix du bon questionnaire (SAQ) et l'attribution de responsabilités internes claires sont deux des décisions les plus importantes qui ont un impact sur la réussite de la conformité d'une entreprise néo-zélandaise.

Qu'est-ce que la conformité PCI en Nouvelle-Zélande ?

La conformité PCI signifie répondre aux exigences mondiales de la norme PCI DSS concernant un réseau sécurisé, les données du titulaire de la carte, ainsi que le contrôle d'accès et la sécurité des informations. Ces mesures doivent être suivies par toutes les entreprises manipulant les données du titulaire de la carte (d'un café acceptant les paiements sans contact à une entreprise de logiciels facturant des abonnés dans le monde entier).

Pourquoi la conformité PCI est-elle importante pour les entreprises néo-zélandaises ?

En Nouvelle-Zélande, les pertes liées à la fraude à la carte bancaire s'élèvent à des centaines de millions de dollars chaque année. La conformité aide à protéger les données des titulaires de la carte et à réduire le risque de fraude.

Les conséquences de la non-conformité se divisent en plusieurs catégories :

  • Amendes : les réseaux de paiement et les banques acquéreuses peuvent imposer des amendes. Celles-ci peuvent aller de quelques centaines à des centaines de milliers de dollars selon la gravité de l'infraction.

  • Augmentation des coûts de transaction : les banques acquéreuses peuvent faire passer les entreprises non conformes à des niveaux de frais d'interchange supérieurs.

  • Responsabilité des pertes liées à la fraude : en cas de violation et si vous n'étiez pas conforme à ce moment-là, votre assurance et votre banque acquéreuse pourraient vous tenir responsable du coût des transactions frauduleuses, du remplacement des cartes bancaires et de l'enquête médico-légale.

  • Fin de l'acceptation des cartes bancaires : dans les cas graves, les banques acquéreuses ou les prestataires de services de paiement peuvent révoquer votre capacité à accepter les paiements par carte bancaire.

Il y a aussi les atteintes à la réputation. La Loi néo-zélandaise de 2020 sur la protection de la vie privée exige des entreprises qu'elles informent les personnes concernées et le Commissaire à la protection de la vie privée après une violation de la vie privée causant un préjudice grave.

Comment fonctionne la conformité PCI ?

La norme PCI DSS organise ses exigences autour de l'environnement des données du titulaire de la carte (CDE), qui correspond aux systèmes, aux personnes et aux processus qui stockent, traitent ou transmettent les données du titulaire de la carte. La portée de vos obligations de conformité dépend en grande partie de la taille et de la forme de votre CDE.

La norme actuelle est la norme PCI DSS 4.x, que le Security Standards Council a publiée en mars 2022 avec une date limite de transition qui en a fait la seule version active à partir de mars 2024. La version 4.0 a introduit des changements plus importants qui offrent plus de flexibilité dans la manière dont les entreprises peuvent répondre à certaines exigences. Des mises à jour mineures ont été publiées depuis, mais les principes fondamentaux restent les mêmes. La conformité est validée au moyen de questionnaires d'auto-évaluation (SAQ) ou d'audits officiels par un évaluateur de sécurité qualifié (QSA). Elle dépend également du volume de vos transactions et de la manière dont vous traitez les données de carte bancaire :

  • SAQ A : généralement la voie la plus simple, elle s'applique aux entreprises qui ont entièrement externalisé le traitement des cartes bancaires et qui ne manipulent pas elles-mêmes les données du titulaire de la carte.

  • SAQ A-EP : s'applique généralement si vous utilisez une page de paiement tierce mais que votre propre site web gère la redirection.

  • SAQ D : la voie la plus complète, le SAQ D s'applique aux entreprises qui stockent les données du titulaire de la carte ou les traitent d'une manière qui ne correspond pas à une catégorie plus simple.

  • Commerçants de niveau 1 : les commerçants de niveau 1, tels que ceux qui traitent plus de 6 millions de transactions Visa ou Mastercard par an, doivent soumettre un rapport de conformité (ROC) établi par un QSA.

De nombreuses petites et moyennes entreprises néo-zélandaises seront éligibles à l'une des voies SAQ. Le choix dépend en grande partie de votre modèle d'intégration de paiement.

Quelles sont les exigences de conformité PCI pour les entreprises néo-zélandaises ?

La norme PCI DSS contient 12 exigences fondamentales. Ces exigences sont regroupées selon six objectifs de contrôle :

1. Créer et maintenir un réseau sécurisé

Installez et gérez des contrôles de sécurité du réseau. C'est la base d'une conformité réussie.

2. Protéger les données des comptes

Utilisez une cryptographie forte pour protéger les données sauvegardées des titulaires de la carte. Ne stockez jamais le code de vérification de la carte bancaire après l'autorisation, et assurez-vous que la transmission des données des titulaires de la carte est chiffrée sur les réseaux ouverts et publics.

3. Maintenir un programme de gestion des vulnérabilités

Protégez les systèmes contre les logiciels malveillants et développez des systèmes et des logiciels sécurisés. Cela comprend les calendriers d'application des correctifs, la recherche des vulnérabilités et les tests de sécurité des applications.

4. Mettre en œuvre des mesures de contrôle d'accès rigoureuses

L'accès aux données des titulaires de la carte doit être limité au strict nécessaire. Identifiez et authentifiez chaque utilisateur avec des identifiants uniques, et limitez physiquement l'accès aux systèmes qui stockent ou traitent les données des titulaires de la carte.

5. Surveiller et tester régulièrement les réseaux

Surveillez et consignez tous les accès aux ressources du réseau et aux données des titulaires de la carte. Testez régulièrement les systèmes et processus de sécurité. Effectuez des recherches de vulnérabilités et des tests d'intrusion dans de nombreux environnements.

6. Maintenir une politique de sécurité de l'information

Maintenez une politique qui couvre la sécurité de l'information pour l'ensemble du personnel et qui inclut une formation et une responsabilisation claire.

Certaines de ces exigences peuvent incomber au prestataire, à condition que l'entreprise néo-zélandaise ait correctement intégré sa solution de paiement en ligne ou de paiement en personne.

À quels défis les entreprises néo-zélandaises sont-elles confrontées en matière de conformité PCI ?

Devenir conforme à la norme PCI peut faire trébucher les entreprises néo-zélandaises de manière prévisible. Une fois que vous avez une visibilité sur les problèmes potentiels, la conformité devient gérable.

Une portée plus grande que prévu

Un problème de conformité courant consiste à sous-estimer la portée du CDE. Tout système connecté à votre CDE (que vous en soyez conscient ou non) relève des exigences de la norme PCI DSS. Les entreprises peuvent découvrir que leur CDE est bien plus grand qu'elles ne le pensaient une fois qu'elles commencent à cartographier les flux de données.

Infrastructure héritée

De nombreuses entreprises en Nouvelle-Zélande utilisent peut-être du matériel de point de vente (POS) plus ancien et des logiciels sur site qui n'ont pas été conçus pour la norme PCI DSS 4.0. La mise à niveau peut être coûteuse et perturbatrice. Le maintien de la conformité avec les anciens systèmes peut entraîner une complexité accrue.

Incompréhension de ce que couvre l'externalisation

L'utilisation d'un fournisseur de services de paiement conforme à la norme PCI ne rend pas automatiquement votre entreprise conforme. Par exemple, votre site web peut présenter une vulnérabilité permettant à un attaquant d'intercepter les données de carte bancaire avant qu'elles n'atteignent le formulaire de paiement du fournisseur, et cette violation devient votre problème. La limite entre votre responsabilité et celle de votre fournisseur doit être clairement définie.

Rotation du personnel et lacunes en matière de formation

La norme PCI DSS exige une formation de sensibilisation à la sécurité pour tout le personnel qui interagit avec les données du titulaire de la carte. Il peut être difficile de maintenir la formation à jour dans les secteurs à forte rotation.

Le problème de sélection du questionnaire

Assurez-vous de choisir le bon questionnaire. Une entreprise qui pense être éligible au SAQ A, mais qui a en fait conservé une certaine implication dans le traitement des données du titulaire de la carte, peut sous-estimer considérablement ses obligations de conformité.

Comment les entreprises néo-zélandaises peuvent-elles assurer la conformité PCI ?

Un bon moyen de réduire votre charge de conformité est de réduire l'environnement des données du titulaire de la carte.

Envisagez les approches suivantes :

Utilisez un fournisseur de services qui maintient les données de carte bancaire hors de vos systèmes

Les fournisseurs de services de paiement tels que Stripe qui utilisent la tokenisation et les champs de paiement hébergés collectent les données de carte bancaire directement dans leur environnement, de sorte que vos serveurs ne reçoivent pas de numéros de carte bancaire bruts. Associé à la certification de fournisseur de services PCI de niveau 1, cela peut simplifier le parcours de conformité de nombreuses entreprises.

Cartographiez d'abord vos flux de données

Vous ne pouvez pas délimiter la portée d'une évaluation de la conformité PCI sans savoir où vont les données du titulaire de la carte. Cartographiez rigoureusement chaque système susceptible d'être en contact avec les données de carte bancaire. Ensuite, chaque fois que vous ajoutez une nouvelle intégration, mettez à jour votre tunnel de paiement ou modifiez votre système de gestion de la relation client (CRM), mettez également à jour la cartographie.

Obtenez le bon questionnaire

Parlez à votre banque acquéreuse ou à un QSA avant de sélectionner votre questionnaire. Les réseaux de cartes publient les critères d'éligibilité au questionnaire (SAQ), et la bonne décision n'est pas toujours évidente. Si vous vous trompez dès le début, chaque décision de conformité ultérieure aggrave l'erreur.

Prenez les tests d'intrusion au sérieux

Les tests d'intrusion ont un impact substantiel sur la réussite de votre conformité. Un test authentique de votre CDE, y compris vos pages de paiement, vos mécanismes d'authentification et la segmentation de votre réseau interne, peut révéler des vulnérabilités que les analyses automatisées ne détectent pas.

Attribuez des responsabilités internes claires

La conformité PCI peut passer inaperçue lorsqu'on suppose que quelqu'un s'en occupe, comme le service informatique, votre directeur financier ou la personne qui a initialement configuré le système de paiement. Chaque exigence doit être attribuée à une personne désignée.

Intégrez la collecte de preuves à vos opérations

Les évaluateurs exigent des preuves. Les analyses de vulnérabilité, les logs d'accès, les dossiers de fin de formation et les historiques de correctifs doivent exister et pouvoir être récupérés. Intégrer cette documentation dans vos opérations habituelles est bien moins pénible que de la reconstituer avant une évaluation.

Comment Stripe Connect peut vous aider

Stripe Connect gère et automatise les mouvements de fonds entre plusieurs parties pour les plateformes logicielles et les marketplaces. Cette solution offre un processus d’onboarding rapide, des composants intégrés, des virements internationaux, et bien plus encore.

Connect peut vous aider à :

  • Vous lancer en quelques semaines : utilisez les fonctionnalités hébergées ou intégrées de Stripe pour passer en production rapidement, tout en évitant les frais initiaux et délais de développement liés aux paiements.

  • Gérer les paiements à grande échelle : utilisez les outils et les services proposés par Stripe pour gérer les risques, les rapports de marges, les formulaires fiscaux, les moyens de paiement internationaux ou la conformité lors de l’onboarding.

  • Vous développer à l’international : aidez vos utilisateurs à attirer davantage de clients dans le monde entier en proposant des moyens de paiement locaux et en simplifiant le calcul des taxes sur les ventes, de la TVA et de la TPS.

  • Créer de nouvelles sources de revenus : optimisez vos revenus liés aux paiements en percevant des frais sur chaque transaction. Monétisez les fonctionnalités de Stripe en proposant sur votre plateforme des paiements en personne, des virements instantanés, l’encaissement des taxes sur les ventes, des solutions de financement, des cartes d’entreprise, et bien plus encore.

En savoir plus sur Stripe Connect, ou démarrez dès aujourd’hui.

Le contenu de cet article est fourni à des fins informatives et pédagogiques uniquement. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation.

Plus d'articles

  • Un problème est survenu. Veuillez réessayer ou contacter le service de support.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Connect

Connect

Lancez-vous en quelques semaines au lieu de plusieurs trimestres, et développez une activité de paiement rentable avec facilité.

Documentation Connect

Comment répartir des paiements entre plusieurs destinataires.