Guide de mise en conformité PCI

La norme de sécurité des données du secteur des cartes de paiement (PCI DSS) impose des conditions minimales en matière de sécurité des données. Voici un guide vous expliquant étape par étape le respect des exigences de conformité et l'aide que Stripe peut vous apporter.

Photo d'avatar de Mike Dahn
Mike Dahn

Mike Dahn est responsable des politiques de sécurité chez Stripe. Il est spécialisé dans la formation, l'audit et la mise en œuvre des normes PCI.

  1. Introduction
  2. Présentation de la norme de sécurité des données PCI (ou PCI DSS)
    1. Gestion des données de cartes
    2. Stockage sécurisé des données
    3. Validation annuelle
  3. Un guide étape par étape de la conformité PCI DSS v3.2.1
    1. 1. Connaître les exigences
    2. 2. Comprendre vos flux de données
    3. 3. Vérifier les contrôles et les protocoles de sécurité
    4. 4. Contrôler et maintenir la sécurité
  4. Comment Stripe aide les entreprises à atteindre et à respecter les exigences de conformité PCI
  5. Conclusion
    1. La conformité PCI contribue à la sécurité. Mais ce n'est pas suffisant.

Depuis 2005, plus de 11 milliards de dossiers clients ont été corrompus par plus de 8500 atteintes à la protection des données. Ces chiffres sont les derniers publiés par la Privacy Rights Clearinghouse, qui recense depuis 2005 les cas d'atteintes à la protection des données et à la sécurité ayant eu des conséquences sur les consommateurs.

Afin d'améliorer la sécurité des données des consommateurs et la confiance dans l'écosystème de paiements, une norme de base pour la sécurité des données a été créée. Visa, Mastercard, American Express, Discover et JCB ont créé le Conseil de sécurité de l'industrie des cartes de paiement (Payment Card Industry Data Security Standards Council ou PCI SSC) en 2006 dans le but d'administrer et de gérer les normes en matière de sécurité pour les sociétés traitant des données de cartes de crédit. Avant que la PCI SSC ne soit fondée, ces cinq sociétés de cartes de paiement avaient leurs propres programmes normatifs de sécurité, présentant tous plus ou moins les mêmes exigences et objectifs. Grâce à la PCI SSC, ces programmes sont aujourd'hui unifiés et alignés sur une norme commune, appelée « Norme de sécurité des données du secteur des cartes de paiement » (Payment Card Industry Data Security Standard ou PCI DSS). Cette dernière constitue une référence en matière de protection des consommateurs et des institutions financières à l'ère d'Internet.

Comprendre que la PCI DSS peut être complexe et difficile à appliquer

Si votre modèle économique implique la manipulation de données de cartes de paiement, il pourrait vous être demandé de respecter chacun des quelques 300 contrôles de sécurité de la PCI DSS. La documentation officielle publiée par le Conseil PCI concernant la PCI DSS comprend plus de 1800 pages, dont plus de 300 pages servant uniquement à déterminer quel(s) formulaire(s) utiliser pour valider la conformité à chaque exigence. Une « simple » lecture de cette documentation nécessiterait donc déjà plus de 72 heures.

Afin de vous faciliter la tâche, nous vous proposons un guide décrivant chaque étape requise pour valider et garantir le respect des exigences de conformité PCI.

Présentation de la norme de sécurité des données PCI (ou PCI DSS)

La PCI DSS est la norme mondiale en matière de sécurité pour toutes les entités qui stockent, traitent et transmettent des données appartenant à des titulaires de cartes de paiement et/ou des données d'authentification confidentielles. La PCI DSS établit une norme de référence pour la protection des consommateurs et vise à réduire les fraudes et les violations de données dans l'ensemble de l'écosystème de paiement. Elle s'applique à toute organisation acceptant ou traitant des paiements par carte de paiement.

La conformité PCI DSS comprend trois éléments principaux :

  1. Gérer le transfert des données de cartes de crédit des clients, c'est-à-dire collecter et transmettre les informations confidentielles des cartes en toute sécurité
  2. Stocker les données de manière sécurisée, processus présenté en détail dans les 12 domaines de sécurité de la norme PCI, notamment le chiffrement, le contrôle en continu et les tests de sécurité de l'accès aux données des cartes
  3. Garantir chaque année que les contrôles de sécurité nécessaires sont effectués. Il peut s'agir de formulaires, de questionnaires, de services externes d'évaluation de vulnérabilité ou d'audits effectués par des tiers (consultez le guide étape par étape ci-dessous pour visualiser le tableau récapitulatif des quatre niveaux d'exigences)

Gestion des données de cartes

Certains modèles économiques nécessitent un traitement direct des données confidentielles des cartes de crédit lors de l'acceptation d'un paiement, tandis que d'autres non. Il pourrait être demandé aux entreprises devant traiter des données de cartes (par exemple, pour accepter un numéro de compte principal non marqué sur une page de paiement) de satisfaire aux quelques 300 contrôles de sécurité de la PCI DSS. Même si les données des cartes ne font que traverser les serveurs de l'entreprise pendant un court instant, celle-ci devra acheter et mettre en place des systèmes de sécurité (logiciels et matériels), et assurer leur maintenance.

Si une entreprise n'a pas besoin de traiter les données confidentielles de cartes de crédit, elle ne devrait pas avoir à le faire. Des solutions tierces (p. ex., Stripe Elements) acceptent et stockent de manière sécurisée les données, permettant ainsi de limiter considérablement les difficultés, les coûts et les risques pour l'entreprise. Les données des cartes n'arrivant jamais jusqu'à ses serveurs, l'entreprise n'aura besoin que de valider 22 contrôles de sécurité, pour la plupart très simples, comme par exemple l'utilisation de mots de passe forts.

Stockage sécurisé des données

Si une organisation gère ou stocke des données de carte de crédit, elle doit définir l'étendue de l'environnement des données du titulaire de la carte (Cardholder data environment ou CDE). La PCI DSS définit le CDE comme l'ensemble des personnes, des processus et des technologies qui stockent, traitent ou transmettent des données de cartes de crédit, ou tout système y étant connecté. Dans la mesure où les quelques 300 exigences en matière de sécurité de la PCI DSS s'appliquent au CDE, il est important de segmenter correctement l'environnement de paiement du reste de l'entreprise pour limiter l'étendue de la validation PCI. Si une organisation n'est pas en mesure de limiter l'étendue du CDE avec une segmentation granulaire, les contrôles de sécurité PCI s'appliquent alors à tous les systèmes, ordinateurs portables et appareils connectés au réseau de l'entreprise. Un scénario à éviter!

Validation annuelle

Indépendamment du mode d'acceptation des données des cartes, les organisations doivent remplir un formulaire de validation PCI tous les ans. La manière dont la conformité PCI est validée dépend de plusieurs facteurs, détaillés ci-dessous. Voici trois scénarios dans lesquels une entreprise peut avoir à démontrer sa conformité PCI :

  • Les processeurs de paiement peuvent l'exiger dans le cadre des rapports obligatoires à rendre aux marques de cartes de paiement.
  • Les partenaires commerciaux peuvent le demander comme pré-requis à un contrat commercial.
  • Pour les entreprises de type plateformes (celles dont la technologie facilite les transactions en ligne entre de multiples groupes d'utilisateurs distincts), les clients peuvent le demander pour prouver à leurs utilisateurs qu'ils traitent les données de manière sécurisée.

Le dernier ensemble de normes pour la sécurité, la PCI DSS version 3.2.1, comprend 12 exigences principales et plus de 300 exigences secondaires qui reflètent les bonnes pratiques en matière de sécurité.

CRÉER UN RÉSEAU ET DES SYSTÈMES SÉCURISÉS ET ASSURER LEUR MAINTENANCE

  • 1. Installer une configuration de pare-feu pour protéger les données du titulaire de la carte et assurer sa maintenance.
  • 2. Ne pas utiliser de valeurs par défaut transmises par les fournisseurs pour les mots de passe système et les autres paramètres de sécurité.

PROTÉGER LES DONNÉES DU TITULAIRE DE LA CARTE

  • 3. Protéger les données enregistrées du titulaire de la carte.
  • 4. Assurer la transmission chiffrée des données du titulaire de la carte sur les réseaux publics et privés.

DISPOSER D'UN PROGRAMME DE GESTION DE LA VULNÉRABILITÉ

  • 5. Protéger tous les systèmes contre les programmes malveillants et mettre à jour régulièrement les logiciels antivirus.
  • 6. Développer des systèmes et des applications sécurisés et assurer leur maintenance.

METTRE EN PLACE DES MESURES STRICTES DE CONTRÔLE D'ACCÈS

  • 7. Restreindre l'accès aux données du titulaire de la carte en fonction des besoins de l'entreprise.
  • 8. Identifier et authentifier l'accès aux éléments du système.
  • 9. Restreindre physiquement l'accès aux données du titulaire de la carte.

CONTRÔLER ET TESTER RÉGULIÈREMENT LES RÉSEAUX

  • 10. Suivre et contrôler tous les accès aux ressources du réseau et aux données du titulaire de la carte.
  • 11. Tester régulièrement les systèmes et les processus de sécurité.

DISPOSER D'UNE POLITIQUE EN MATIÈRE DE SÉCURITÉ DE L'INFORMATION

  • 12. Disposer d'une politique en matière de sécurité des informations pour tout le personnel.

Pour faciliter la validation de la conformité PCI pour les nouvelles entreprises, le Conseil PCI a créé neuf formulaires différents ou questionnaires d'autoévaluation (SAQ), représentant une synthèse de l'ensemble des exigences PCI DSS. Encore faut-il déterminer lequel remplir et savoir s'il est nécessaire d'engager un auditeur approuvé par le Conseil pour vérifier que chaque exigence de sécurité de la PCI DSS a été respectée. De plus, le Conseil PCI révise les règles tous les trois ans et publie des mises à jour supplémentaires tout au long de l'année, ce qui ajoute encore à la complexité du sujet.

Un guide étape par étape de la conformité PCI DSS v3.2.1

1. Connaître les exigences

La première étape pour la mise en conformité aux exigences de la PCI consiste à savoir lesquelles s'appliquent à votre organisation. Il existe quatre niveaux de conformité PCI, généralement selon le volume de transactions par cartes de crédit traité par votre entreprise sur une période de 12 mois.

Niveau de conformité
S'applique à
Exigences
Niveau 1
  1. Les entreprises traitant plus de 6 millions de transactions Visa ou MasterCard par an, ou plus de 2,5 millions de transactions American Express; ou
  2. Qui ont subi une atteinte à la sécurité des données; ou
  3. Qui sont considérées de « Niveau 1 » par tous les émetteurs de cartes (Visa, Mastercard, etc.)
  1. Rapport de conformité annuel (ROC) effectué par un évaluateur qualifié en matière de sécurité (QSA), également appelé évaluation de niveau 1 réalisée sur le terrain ou par un auditeur interne si le rapport est signé par un dirigeant de l'entreprise
  2. Analyse trimestrielle du réseau par un fournisseur d'analyses approuvé (ASV)
  3. Attestation de conformité (AOC) pour des évaluations réalisées sur le terrain. Il existe des formulaires spécifiques pour les marchands et les fournisseurs de services
Niveau 2
Les organisations traitant entre 1 et 6 millions de transactions par an
  1. Questionnaire d'autoévaluation annuel concernant la norme de sécurité PCI DSS (SAQ). Il existe 9 questionnaires différents, présentés de manière synthétique dans le tableau ci-dessous
  2. Analyse trimestrielle du réseau par un fournisseur d'analyses approuvé (ASV). Attestation de conformité
  3. Attestation de conformité (AOC). Chacun des 9 questionnaires d'autoévaluation ont leur propre formulaire AOC
Niveau 3
  1. Les organisations traitant entre 20 000 et 1 million de transactions en ligne par an
  2. Les organisations traitant moins d'un million de transactions par an
Comme ci-dessus
Niveau 4
  1. Les organisations traitant moins de 20 000 transactions en ligne par an; ou
  2. Les organisations traitant jusqu'à 1 million de transactions par an
Comme ci-dessus

Pour les niveaux 2 à 4, différents types de questionnaires d'autoévaluation sont proposés, en fonction de votre méthode d'intégration des paiements. Voici un petit tableau récapitulatif :

Questionnaire d'autoévaluation
Description
A
Marchands ne nécessitant pas de présentation physique de la carte (commerce en ligne/vente par courriel, téléphone ou correspondance) et qui sous-traitent intégralement toutes les fonctions liées aux données des titulaires de cartes à des fournisseurs de services tiers respectant la norme de sécurité des données du secteur des cartes de paiement (PCI DSS). Aucun stockage, traitement ou transmission électronique des données du titulaire de carte sur les systèmes ou dans les locaux du marchand.

Ne s'applique pas aux paiements effectués en personne.
A-EP
Commerçants en ligne sous-traitant l'ensemble du processus de paiement à des tiers respectant la norme de sécurité des données du secteur des cartes de paiement (PCI DSS) et possédant un ou plusieurs sites Web qui ne récupèrent pas directement les données des titulaires de cartes, mais qui peuvent influer sur la sécurité des transactions. Aucun stockage, traitement ou transmission électronique des données du titulaire de la carte sur les systèmes ou dans les locaux du marchand.

S'applique uniquement aux paiements de commerce en ligne.
B
Uniquement pour les marchands :
  • Machines avec empreintes sans stockage électronique des données du titulaire de la carte, et/ou
  • Terminaux autonomes de connexions sortantes (Dial-Out) sans stockage électronique des données du titulaire de la carte.
Ne s'applique pas aux paiements de commerce en ligne.
B-IP
Marchands utilisant des terminaux de paiement autonomes et conformes en matière de sécurité des transactions par NIP (PTS), dotés d'une connexion IP au service de traitement des paiements. Aucun stockage électronique des données du titulaire de la carte.

Ne s'applique pas aux paiements de commerce en ligne.
C-VT
Marchands saisissant manuellement chaque transaction à l'aide d'un clavier sur un terminal de paiement virtuel connecté à Internet, fourni et hébergé par un fournisseur de services tiers conforme à la norme de sécurité des données du secteur des cartes de paiement (PCI DSS). Aucun stockage électronique des données du titulaire de carte.

Ne s'applique pas aux paiements de commerce en ligne.
C
Marchands utilisant des systèmes d'application de paiement connectés à Internet, sans stockage électronique des données du titulaire de la carte.

Ne s'applique pas aux paiements de commerce en ligne.
P2PE
Marchands utilisant uniquement des terminaux de paiement traditionnels intégrés et gérés par une solution de chiffrement de bout en bout (P2PE) validée et conforme à la norme de sécurité des données du secteur des cartes de paiement (PCI DSS). Aucun stockage électronique des données du titulaire de la carte.

Ne s'applique pas aux paiements de commerce en ligne.
D
Questionnaire d'autoévaluation pour les marchands : Tous les marchands non inclus dans les descriptions des types de questionnaires d'autoévaluation ci-dessus.

Questionnaire d'autoévaluation D pour les fournisseurs de services : Tous les fournisseurs de services qu'une marque de paiement considère comme admissibles pour remplir un questionnaire d'autoévaluation.

2. Comprendre vos flux de données

Avant de pouvoir protéger les données confidentielles provenant de cartes de crédit, vous devez savoir où se trouvent ces données et le chemin qu'elles parcourent pour y arriver. Vous devez créer une carte détaillée des systèmes, des connexions réseau et des applications qui interagissent avec les données de cartes de crédit au sein de votre organisation. Selon votre poste, vous aurez peut-être besoin de collaborer avec vos équipes informatiques et sécurité.

  • Premièrement, répertoriez tous les domaines de votre entreprise en contact direct avec la clientèle et qui incluent des transactions de paiement. Par exemple, votre organisation peut accepter des paiements par le biais de panier d'achats en ligne, de terminaux de paiement en magasin ou de vente par téléphone.
  • Deuxièmement, déterminez les différents processus de traitement des données du titulaire de la carte au sein de votre entreprise. Il est important de savoir exactement où les données sont stockées et qui peut y accéder.
  • Troisièmement, déterminez les systèmes internes ou les technologies sous-jacentes en lien avec les transactions de paiement. Cela comprend notamment vos systèmes réseau, centres de données et environnements en nuage.

3. Vérifier les contrôles et les protocoles de sécurité

Une fois que vous avez recensé tous les points de contact potentiels pour les données des cartes de crédit dans votre organisation, collaborez avec vos équipes informatiques et de sécurité pour vous assurer que la configuration et les protocoles adéquats sont en place (consultez la liste des 12 exigences en matière de sécurité pour la PCI DSS ci-dessus). Ces protocoles sont conçus pour assurer la sécurité de la transmission des données, comme le protocole de Transport Layer Security (TLS).

Les 12 exigences en matière de sécurité de la PCI DSS v3.2.1 découlent des bonnes pratiques visant à protéger les données confidentielles de toute entreprise. Plusieurs exigences se recoupent avec celles nécessaires pour respecter le RGPD, la loi HIPAA et autres réglementations sur la protection des données, ce qui signifie que votre organisation a peut-être déjà mis en place certaines d'entre elles.

4. Contrôler et maintenir la sécurité

Il est important de comprendre que la conformité PCI n'est pas une tâche ponctuelle à effectuer. Il s'agit d'un processus continu qui permet de garantir en permanence la conformité de votre entreprise aux exigences, même lorsque les flux de données et les points de contact client évoluent. Certaines marques de cartes de crédit peuvent vous demander de rédiger des rapports trimestriels ou annuels, ou de réaliser une fois par an une évaluation à l'interne pour garantir une conformité continue, en particulier si vous traitez plus de 6 millions de transactions chaque année.

Gérer la conformité PCI tout au long de l'année (et année après année) exige souvent l'assistance et la collaboration de plusieurs services. Si ce n'est pas déjà le cas, il peut être judicieux de créer une équipe spéciale en interne pour assurer la conformité de l'entreprise. Chaque entreprise est unique, mais une « équipe PCI » idéale inclut des représentants des services suivants :

  • Sécurité : Le directeur de la sécurité, le chef de la sécurité de l'information et leurs équipes s'assurent que l'organisation investit toujours suffisamment de fonds dans les ressources et les politiques de sécurité des données et de respect de la confidentialité nécessaires.
  • Technologie/Paiements : Le directeur de la technologie et le vice-président des paiements et leurs équipes garantissent que les outils fondamentaux, les intégrations et les infrastructures restent conformes lorsque les systèmes de l'organisation évoluent.
  • Finance : Le directeur financier et son équipe garantissent que tous les flux de données de paiement sont pris en compte dans tous les systèmes de paiement et chez tous les partenaires.
  • Juridique : Cette équipe peut aider à appréhender les nombreuses nuances de la conformité PCI DSS.

Pour plus d'informations concernant l'univers complexe de la conformité PCI, consultez le site Web du Conseil des normes de sécurité PCI. Si vous prévoyez de lire uniquement ce guide et quelques autres documents PCI, nous vous recommandons de commencer par les suivants : approche par ordre de priorité pour la PCI DSS, instructions et directives pour le questionnaire d'autoévaluation, FAQ concernant les critères d'admissibilité du questionnaire d'autoévaluation afin de déterminer les exigences d'évaluation sur le terrain et FAQ concernant les obligations pour les marchands de développer des applications pour les appareils des clients qui acceptent les données des cartes de paiement.

Comment Stripe aide les entreprises à atteindre et à respecter les exigences de conformité PCI

Stripe simplifie considérablement le travail que représente la mise en conformité aux normes PCI pour les entreprises qui utilisent Checkout, Elements, les trousses SDK mobiles et les trousses SDK de Terminal. Stripe Checkout et Stripe Elements utilisent un champ de paiement hébergé pour le traitement de toutes les données des cartes de paiement, de sorte que le titulaire de la carte saisit toutes ses informations de paiement confidentielles dans un champ directement issu de nos serveurs approuvés PCI DSS. Les trousses SDK mobiles et de Terminal de Stripe permettent aussi au titulaire de la carte d'envoyer directement des informations de paiement confidentielles vers nos serveurs approuvés PCI DSS.

Grâce à des méthodes plus sûres d'acceptation des cartes comme celles-ci, nous générons le formulaire PCI (questionnaire d'autoévaluation) dans notre Dashboard, ce qui permet d'effectuer la validation PCI avec une grande facilité. Cela évite des centaines d'heures de travail aux petites entreprises et des milliers aux grandes.

Pour tous nos utilisateurs, indépendamment du type d'intégration, Stripe joue le rôle de facilitateur PCI et peut vous aider de différentes manières :

  • Nous analysons votre méthode d'intégration et vous recommandons le formulaire PCI à utiliser, tout en vous expliquant comment simplifier le travail de mise en conformité.
  • Nous vous avisons à l'avance si un volume de transactions croissant nécessitera de respecter de nouvelles exigences en matière de conformité.
  • Pour les grandes entreprises (niveau 1), nous proposons un paquet PCI permettant de réduire le temps de validation PCI de quelques mois à quelques jours. Si vous avez besoin d'un auditeur certifié PCI (QSA) parce que vous stockez des données de cartes de crédit ou parce que votre flux de paiement est complexe, sachez qu'il existe plus de 350 fournisseurs QSA dans le monde, et que nous pouvons vous mettre en contact avec plusieurs auditeurs ayant une connaissance approfondie des différentes méthodes d'intégration de Stripe.

Conclusion

Évaluer et valider la conformité PCI est généralement une démarche annuelle, mais le respect de la conformité PCI n'est pas une action ponctuelle; c'est un effort continu et conséquent d'évaluation et d'adaptation. Avec la croissance d'une entreprise, sa logique commerciale et ses processus fondamentaux évoluent, ce qui implique assurément une modification des exigences en matière de conformité. Par exemple, une entreprise en ligne pourra décider d'ouvrir des boutiques physiques ou de lancer un centre de service à la clientèle. Si ces évolutions exigent le traitement de données de cartes de paiement, il est judicieux de vérifier de manière proactive si celles-ci ont des conséquences sur votre méthode de validation PCI, afin de confirmer à nouveau votre conformité PCI le cas échéant.

La conformité PCI contribue à la sécurité. Mais ce n'est pas suffisant.

Le respect des directives de la PCI DSS est une étape nécessaire dans la protection de votre entreprise, mais ce n'est pas suffisant. La PCI DSS établit des normes importantes pour le traitement et le stockage des données des titulaires de cartes, mais elle n'offre pas en soi une protection suffisante pour tous les environnements de paiement. Ainsi, passer à une méthode d'acceptation de carte beaucoup plus sécurisée (comme Stripe Checkout, Elements et les trousses SDK mobiles) est un moyen bien plus efficace de protéger votre entreprise. Cette méthode offre un avantage durable, résidant dans le fait que vous n'avez pas à dépendre de normes en vigueur ou de vous inquiéter d'échouer à un contrôle de sécurité. Elle permet aux entreprises dynamiques de réduire les risques d'atteintes à la protection des données et d'éviter la méthode traditionnelle de validation PCI, coûteuse en efforts, en temps et en argent. Sans oublier qu'une méthode d'intégration plus sécurisée offre une fiabilité au quotidien.

Niveau du marchand Visa
Temps moyen d'audit

(estimations annuelles)

Temps moyen d'audit avec Stripe Elements, Checkout ou SDK mobile

(estimations annuelles)

Niveau 1
3 à 5 mois 2 à 5 jours
Niveau 2
1 à 3 mois 0 jour
Niveau 3
1 à 3 mois 0 jour
Niveau 4
1 à 3 mois 0 jour

Envie de vous lancer? Contactez-nous ou créez un compte.

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. Nous proposons également des solutions personnalisées pour les entreprises. N'hésitez pas à nous contacter à ce sujet!