Depuis 2005, plus de 10 milliards de dossiers de consommateurs ont été compromis par plus de 9 000 violations de données aux États-Unis. Il s’agit des derniers chiffres de la Privacy Rights Clearinghouse, qui fait état de violations de données et de failles de sécurité ayant un impact sur les consommateurs depuis 2005. Afin d’améliorer la sécurité des données des consommateurs et la confiance dans l’écosystème de paiement, une norme minimale de sécurité des données a été créée. En 2006, Visa, Mastercard, American Express, Discover et JCB ont créé le Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI SSC) afin d’administrer et de gérer les normes de sécurité pour les entreprises qui traitent des données de cartes de crédit.
La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est la norme de sécurité mondiale pour toutes les entités qui stockent, traitent ou transmettent des données de titulaire de carte et/ou des données d’authentification sensibles. La norme PCI DSS établit un niveau de protection de base pour les consommateurs et contribue à réduire la fraude et les violations de données dans l’ensemble de l’écosystème de paiement. Elle s’applique à toutes les organisations qui acceptent ou traitent des cartes de paiement, et les organisations qui ne respectent pas ces normes sont passibles de pénalités, d’amendes et de coûts importants.
La conformité à la norme PCI DSS comporte trois éléments principaux :
- Gérer la saisie des données de carte de crédit des clients; à savoir, que les données sensibles des cartes sont collectées et transmises en toute sécurité
- Le stockage sécurisé des données, qui est décrit dans les 12 domaines de sécurité de la norme PCI, tels que le chiffrement, la surveillance continue et les tests de sécurité de l’accès aux données de carte
- Valider chaque année que les contrôles de sécurité requis sont en place, ce qui peut inclure des formulaires, des questionnaires, des services externes d’analyse des vulnérabilités et des audits par des tiers (voir le guide étape par étape ci-dessous pour un tableau avec les quatre niveaux d’exigences)
Toutes les entreprises qui acceptent les paiements par carte de crédit doivent se conformer à la norme PCI DSS, quels que soient le volume, la région géographique ou la méthode d’intégration. En se conformant à ce cadre, les entreprises peuvent :
- Renforcer la confiance des clients en veillant à ce que les données de leurs cartes soient sécurisées
- Se protéger contre la fraude et les violations de données
- Éviter les amendes en cas de violation de la conformité PCI
Avis de non-responsabilité : Cet article ne doit être utilisé qu’à titre indicatif et ne doit pas être considéré comme un conseil définitif. Pour plus de précisions, nous vous recommandons de consulter un évaluateur qualifié en matière de sécurité des données (QSA) de la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS).
Comment Stripe aide les entreprises à atteindre et à maintenir la conformité PCI
Si votre modèle économique vous oblige à gérer des données de carte, vous devrez peut-être respecter chacun des 300+ contrôles de sécurité de la norme PCI DSS. Il existe plus de 1 800 pages de documentation officielle, publiées par le Conseil des normes de sécurité PCI, sur la norme PCI DSS, et plus de 300 pages juste pour comprendre quel(s) formulaire(s) utiliser lors de la validation de la conformité.
Stripe peut contribuer à réduire considérablement la charge de travail de la norme PCI pour les entreprises en proposant diverses méthodes d’intégration sous forme de jetons (par exemple, Checkout, Elements, les trousses SDK mobiles, les trousses SDK Terminal), évitant ainsi d’avoir à gérer directement les données sensibles des cartes de crédit.
- Stripe Checkout et Stripe Elements utilisent un champ de paiement hébergé pour gérer toutes les données de carte de paiement, de sorte que le titulaire de la carte saisit toutes les informations de paiement sensibles dans un champ de paiement qui provient directement de nos serveurs validés par la norme PCI DSS.
- Les trousses SDK Stripe mobiles et Terminal permettent également au titulaire de la carte d’envoyer des informations de paiement sensibles directement à nos serveurs validés par la norme PCI DSS.
Pour tous nos utilisateurs, quel que soit leur type d’intégration, Stripe agit en tant que défenseur de la norme PCI et peut les aider de différentes manières.
- Notre assistant PCI Stripe analyse votre méthode d’intégration et vous conseille sur la manière de réduire votre charge de conformité.
- Nous vous informerons à l’avance si l’augmentation du volume de transactions nécessite un changement dans la façon dont vous validez la conformité.
- Pour les grandes entreprises qui doivent travailler avec une norme PCI QSA parce qu’elles stockent des données de carte de crédit ou ont un flux de paiement plus complexe, il existe plus de 400 sociétés QSA de ce type dans le monde. Nous pouvons vous mettre en contact avec plusieurs auditeurs qui maîtrisent parfaitement les différentes méthodes d’intégration de Stripe.
Guide étape par étape de la conformité PCI DSS
1. Connaître son niveau PCI
La première étape pour atteindre la conformité PCI consiste à connaître les exigences qui s’appliquent à votre organisation. Il existe quatre niveaux de conformité PCI différents, généralement basés sur le volume de transactions par carte de crédit traitées par votre entreprise sur une période de 12 mois.
En fonction de votre niveau, vous aurez différentes exigences, y compris des analyses de vulnérabilité régulières d’un fournisseur d’analyse agréé (ASV). Des exigences supplémentaires s’appliquent également aux prestataires de services, qui sont des entités commerciales directement impliquées dans le traitement, le stockage ou la transmission de données de titulaire de carte (CHD) et/ou de données d’authentification sensibles (SAD) pour le compte d’une autre entité (par exemple, les plateformes de paiement, les prestataires de services de paiement et les organisations de vente indépendantes).
|
Niveau de conformité
|
Champ d'application
|
Exigences
|
|---|---|---|
|
Niveau 1
|
|
|
|
Niveau 2
|
|
|
|
Niveau 3
|
|
|
|
Niveau 4
|
|
|
2. Connaître son type d’intégration et ses exigences en matière de documentation
Une fois que vous connaissez votre niveau PCI, l’étape suivante consiste à déterminer les documents PCI que vous devez remplir pour valider votre conformité, en fonction du type d’intégration que vous utilisez avec Stripe, si vous êtes un fournisseur de services, etc.
Utilisateurs de niveau 1
Les entreprises de niveau 1 ne sont pas admissibles à l’utilisation d’un formulaire SAQ pour prouver leur conformité PCI. Elles doivent remplir un ROC signé par un QSA pour valider leur conformité PCI chaque année.
Utilisateurs de niveau 2 à 4
Pour les utilisateurs de niveau 2 à 4, il existe différents types de SAQ en fonction de votre moyen de paiement intégré. Si vous n’êtes pas certain du type de SAQ qui vous convient, l’assistant PCI Stripe déterminera automatiquement le type de documentation qui convient à votre entreprise.
|
Intégration
|
Exigence
|
Recommandation
|
|---|---|---|
|
Checkout ou Elements
|
Questionnaire d'autoévaluation A |
Checkout, Stripe.js et Elements hébergent toutes les saisies de collecte de données de carte dans un iframe traité à partir du domaine Stripe (pas le vôtre), de façon à ce que les informations de carte de vos clients n'atteignent jamais vos serveurs.
|
|
Connect
|
Questionnaire d'autoévaluation A | Si vous collectez exclusivement les données de carte via une plateforme Connect (par exemple, Squarespace), nous pouvons déterminer si la plateforme fournit la documentation PCI nécessaire. |
|
Trousse SDK Mobile
|
Questionnaire d'autoévaluation A |
Le contrôle du développement et des modifications de la trousse SDK mobile de Stripe est effectué conformément à la norme PCI DSS (exigences 6.3 à 6.5); et le déploiement se fait par le biais de nos systèmes validés PCI. Lorsque vous utilisez uniquement les composants d'interface utilisateur fournis dans nos trousses SDK officielles pour iOS ou Android, ou que vous créez un formulaire de paiement avec Elements dans une vue Web, les numéros de carte de vos clients sont directement transmis à Stripe. Vos exigences en matière de conformité PCI sont ainsi simplifiées. Si vous procédez autrement, en créant par exemple votre propre code pour gérer les informations de paiement, vous devrez probablement vous soumettre à des exigences PCI DSS supplémentaires (6.3 - 6.5) et ne pourrez pas remplir le questionnaire d'autoévaluation A. Dans ce cas, contactez un évaluateur de sécurité agréé (QSA) PCI pour déterminer la meilleure façon de valider votre conformité, selon les directives actuelles du PCI Security Standards Council. Si votre application exige que vos clients saisissent leurs informations sur leur propre appareil, vous pouvez remplir le questionnaire d'autoévaluation A. Si votre application accepte des informations de carte de plusieurs clients sur votre appareil (p. ex., application de point de vente), consultez un évaluateur de sécurité agréé PCI pour connaître la meilleure façon de valider votre conformité PCI. |
|
Stripe.js v2
|
Questionnaire d'autoévaluation A-EP |
Si vous utilisez Stripe.js v2 pour transmettre les données de carte saisies dans un formulaire hébergé sur votre propre site, vous devez répondre au questionnaire d'autoévaluation A-EP tous les ans afin de prouver la conformité de votre entreprise aux normes PCI. Par ailleurs, Checkout et Elements vous offrent la flexibilité et la personnalisation d'un formulaire autohébergé, tout en répondant aux critères d'admissibilité PCI du questionnaire d'autoévaluation A. |
|
Terminal
|
Questionnaire d'autoévaluation C |
Si vous collectez exclusivement les données de cartes par le biais de Stripe Terminal, vous pouvez les valider à l'aide du questionnaire d'autoévaluation C. Si vous intégrez Stripe par le biais d'autres méthodes répertoriées dans ce tableau, vous devez démontrer votre conformité pour chacune de ces méthodes, comme décrit. |
|
Dashboard
|
Questionnaire d'autoévaluation C-VT |
La création manuelle de paiements par carte dans le Dashboard est réservée aux situations exceptionnelles. Elle ne doit pas servir à traiter des paiements habituels. Fournissez un formulaire de paiement ou une application mobile adaptés à vos clients pour leur permettre de saisir leurs informations de carte. Lorsqu'elles sont traitées en dehors de Stripe, nous ne pouvons pas vérifier que les informations de carte saisies manuellement sont sécurisées. Vous devez donc protéger les données de carte conformément aux exigences de la norme PCI et remplir le questionnaire d'autoévaluation C-VT tous les ans pour prouver la conformité de votre entreprise. |
|
API directe
|
Questionnaire d'autoévaluation D |
Lorsque vous transmettez des informations de carte directement à l'API Stripe, votre intégration gère directement ces données. Vous devez alors prouver tous les ans votre conformité à la norme PCI à l’aide du questionnaire d'autoévaluation D (le plus exigeant). Pour vous simplifier la tâche :
En outre, notre outil de prévention de la fraude, Radar, qui comprend une évaluation des risques et des règles, est uniquement disponible lorsque l'une de nos méthodes de jetonisation côté client est utilisée. |
Prestataires de services
Si vous êtes directement impliqué dans le traitement, le stockage ou la transmission de données de titulaire de carte (CHD) et/ou de données d’authentification sensibles (SAD) pour le compte d’une autre entité (par exemple, des plateformes de paiement, des prestataires de services de paiement et des organisations de vente indépendantes), vous pouvez être considéré comme un prestataire de services. Cela signifie qu’il y aura des exigences supplémentaires que vous devrez valider.
3. Compléter son évaluation et soumettre ses documents SAQ
Une fois que vous avez identifié l’évaluation que vous devez effectuer, l’étape suivante consiste à effectuer l’évaluation, à remplir les documents SAQ ou ROC pertinents et à les soumettre à Stripe pour examen.
Les utilisateurs à volume élevé voudront se procurer les services d’un QSA qui est enregistré pour opérer dans les régions où vous exercez vos activités. Le QSA vous aidera à examiner vos systèmes par rapport aux exigences de la norme PCI et vous conseillera sur les mesures correctives à prendre en cas de défaillance. Il produira et signera également les documents appropriés que vous pourrez ensuite partager avec Stripe chaque année.
Les utilisateurs de niveau 3 et 4 devront probablement remplir le questionnaire d’autoévaluation PCI DSS adapté à leur secteur d’activité. D’autres ressources pour les marchands sont à votre disposition auprès du Conseil des normes de sécurité PCI. Stripe est également là pour vous aider, car notre assistant personnalisé sur votre Dashboard PCI vous posera une série de questions et générera les documents requis pour vous. Vous pouvez utiliser le Dashboard PCI de Stripe pour téléverser les documents SAQ ou ROC que vous avez vous-même remplis.
4. Surveiller et maintenir
Il est important de noter que la conformité PCI n’est pas un événement ponctuel. Il s’agit d’un processus annuel qui permet de garantir la conformité de votre entreprise, même si les flux de données et les points de contact avec les clients évoluent.
La norme PCI DSS établit des normes importantes pour le traitement et le stockage des données des titulaires de cartes, mais elle n’offre pas à elle seule une protection suffisante pour tous les environnements de paiement. En revanche, passer à une méthode d’acceptation des cartes plus sûre qui utilise des données sous forme de jetons (comme Stripe Checkout, Elements et les trousses SDK mobiles) est un moyen beaucoup plus efficace de protéger votre organisation. Cette approche offre aux entreprises agiles un moyen d’atténuer une violation potentielle de données et d’éviter l’approche historique longue et coûteuse de la validation PCI.
Au fur et à mesure qu’une entreprise se développe, il en va de même pour la logique et les processus administratifs de base, ce qui signifie que les exigences de conformité évolueront également. Une entreprise en ligne, par exemple, peut décider d’ouvrir des magasins physiques, de pénétrer de nouveaux marchés ou de lancer un centre d’assistance à la clientèle. En cas de nouveauté concernant les données des cartes de paiement, il est conseillé de vérifier de manière proactive si cela a un impact sur la méthode de validation PCI choisie et de revalider la conformité PCI si nécessaire.
Pour plus d’informations sur le monde complexe de la conformité PCI, rendez-vous sur le site Web du Conseil des normes de sécurité PCI. Si vous ne voulez lire que ce guide et quelques autres documents PCI, nous vous recommandons de commencer par les suivants :
- Prioritized approach for PCI DSS
- SAQ instructions and guidelines
- FAQ about using SAQ eligibility criteria to determine on-site assessment requirements
- FAQ about obligations for businesses that develop apps for consumer devices that accept payment card data
Comment Stripe aide les entreprises à maintenir leur conformité PCI
Stripe, un fournisseur de services PCI de niveau 1, est certifié chaque année par un évaluateur de sécurité qualifié PCI indépendant par rapport à toutes les exigences de la norme PCI DSS. Cela signifie que tous nos produits sont sécurisés par défaut, ce qui réduit vos exigences de conformité.
Pour tous nos utilisateurs, quel que soit leur type d’intégration, Stripe agit en tant que défenseur de la norme PCI et peut les aider de différentes manières.
Soutien à nos petites entreprises
Stripe simplifie considérablement la charge de travail liée à la norme PCI pour nos petits utilisateurs en proposant un parcours de conformité personnalisé, notamment des SAQ préremplis et des flux guidés pour certains utilisateurs qui utilisent des méthodes d’intégration plus sécurisées telles que Checkout, Elements, les trousses SDK mobiles et les trousses SDK Terminal.
Expérience de Dashboard personnalisée
Une fois que vous deviendrez client de Stripe, nous analyserons l’historique de vos transactions et vous conseillerons sur la manière de réduire votre charge de conformité grâce à une expérience de Dashboard personnalisée.
Accompagnement au fur et à mesure de la croissance de votre entreprise
Au fur et à mesure que votre volume de transactions annuel augmente, vous pouvez constater que vous changez de niveau PCI dans l’année. Stripe vous accompagne dans ces transitions en vous avertissant des nouvelles exigences à l’approche de la date de renouvellement de votre norme PCI.
Plus d’un prestataire
Si votre entreprise utilise plusieurs sous-traitants, votre processus de conformité PCI peut devenir déroutant. Stripe vous facilite la tâche en prenant en charge la soumission des AOC par vos fournisseurs afin de faciliter votre mise en conformité.