Conformité PCI en Nouvelle-Zélande : exigences, considérations et bonnes pratiques

Connect
Connect

Les plateformes et places de marché les plus florissantes du monde, dont Shopify et DoorDash, utilisent Stripe Connect pour l'intégration des paiements.

En savoir plus 
  1. Introduction
  2. Points clés à retenir
  3. Qu’est-ce que la conformité PCI en Nouvelle-Zélande?
  4. Pourquoi la conformité PCI est-elle importante pour les entreprises néo-zélandaises?
  5. Comment fonctionne la conformité PCI?
  6. Quelles sont les exigences de conformité PCI pour les entreprises néo-zélandaises?
    1. 1. Créer et maintenir un réseau sécurisé
    2. 2. Protéger les données de compte
    3. 3. Maintenir un programme de gestion des vulnérabilités
    4. 4. Implémenter des mesures de contrôle d’accès strictes
    5. 5. Surveiller et tester les réseaux
    6. 6. Maintenir une politique de sécurité de l’information
  7. À quels défis les entreprises néo-zélandaises sont-elles confrontées en matière de conformité PCI?
    1. Portée plus vaste que prévu
    2. Infrastructure existante
    3. Incompréhension de ce que couvre l’externalisation
    4. Roulement du personnel et lacunes en matière de formation
    5. Le problème de sélection du SAQ
  8. Comment les entreprises néo-zélandaises peuvent-elles assurer la conformité PCI?
    1. Utiliser un fournisseur de paiements qui conserve les données de carte hors de vos systèmes
    2. Cartographier d’abord vos flux de données
    3. Obtenir le bon SAQ
    4. Traiter les tests d’intrusion sérieusement
    5. Attribuer une responsabilité interne claire
    6. Intégrer la collecte de preuves à vos opérations
  9. Comment Stripe Connect peut vous aider

Les pertes liées aux arnaques et à la fraude par carte ont totalisé 194 millions de dollars néo-zélandais (NZD) en 2024 et continuent de s'accélérer. Bien que la loi néo-zélandaise ne l'exige pas, les entreprises qui acceptent les cardpayments dans le pays sont tenues de respecter la Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Les réseaux de cartes appliquent la conformité par le biais d'accords avec les marchands. Ne pas respecter cette norme peut entraîner des amendes, des coûts de transaction plus élevés ou même la perte de la capacité d'accepter des cardpayments.

Ci-dessous, nous aborderons les exigences de la norme PCI DSS, les défis de conformité les plus courants auxquels sont confrontées les entreprises néo-zélandaises et la manière de parvenir à la conformité avec succès.

Points clés à retenir

  • La conformité PCI DSS est appliquée par le biais d'accords avec les marchands avec les réseaux de cartes et les banques acquéreuses plutôt que par la loi néo-zélandaise. Cependant, les conséquences financières et opérationnelles de la non-conformité sont considérables.

  • La portée de vos obligations de conformité dépend de la quantité de données du titulaire de la carte que vos systèmes gèrent. Vous pouvez simplifier le processus de conformité en réduisant votre exposition.

  • Le choix du bon questionnaire d'auto-évaluation (SAQ) et l'attribution d'une responsabilité interne claire sont deux des décisions les plus importantes qui influent sur le succès de la conformité d'une entreprise néo-zélandaise.

Qu'est-ce que la conformité PCI en Nouvelle-Zélande?

La conformité PCI signifie répondre aux exigences mondiales de la norme PCI DSS concernant un réseau sécurisé, les données du titulaire de la carte, ainsi que le contrôle d'accès et la sécurité de l'information. Ces mesures doivent être suivies par toutes les entreprises manipulant les données du titulaire de la carte, d'un café acceptant les paiements sans contact à une entreprise de logiciels facturant des abonnés à l'échelle mondiale.

Pourquoi la conformité PCI est-elle importante pour les entreprises néo-zélandaises?

Les pertes liées à la fraude par carte en Nouvelle-Zélande s'élèvent à des centaines de millions de dollars chaque année. La conformité aide à protéger les données du titulaire de la carte et à réduire le risque de fraude.

Les conséquences de la non-conformité se divisent en quelques catégories :

  • Amendes : Les réseaux de paiement et les banques acquéreuses peuvent imposer des amendes. Celles-ci peuvent aller de quelques centaines à des centaines de milliers de dollars selon la gravité de la violation.

  • Augmentation des coûts de transaction : Les banques acquéreuses peuvent transférer les entreprises non conformes vers des niveaux d'interchange plus élevés.

  • Responsabilité des pertes liées à la fraude : Si une brèche se produit et que vous n'étiez pas conforme à ce moment-là, votre assurance et votre banque acquéreuse pourraient vous tenir responsable du coût des transactions frauduleuses, du remplacement des cartes et de l'enquête médico-légale.

  • Révocation de l'acceptation des cartes : Dans les cas graves, les banques acquéreuses ou les sous-traitants peuvent révoquer votre capacité à accepter des paiements par carte.

Il y a aussi l'atteinte à la réputation. La Privacy Act 2020 de la Nouvelle-Zélande exige des entreprises qu'elles informent les personnes concernées et le Privacy Commissioner après une violation de la vie privée qui cause un préjudice grave.

Comment fonctionne la conformité PCI?

La norme PCI DSS organise ses exigences autour de l'environnement de données du titulaire de la carte (CDE), c'est-à-dire les systèmes, les personnes et les processus qui stockent, traitent ou transmettent les données du titulaire de la carte. La portée de vos obligations de conformité dépend largement de la taille et de la forme de votre CDE.

La norme actuelle est PCI DSS 4.x, que le Security Standards Council a publiée en mars 2022 avec une date limite de transition qui en a fait la seule version active depuis mars 2024. La version 4.0 a introduit des changements plus importants qui offrent plus de flexibilité dans la façon dont les entreprises peuvent respecter certaines exigences. Des mises à jour mineures ont été publiées depuis, mais les grands principes restent les mêmes. La conformité est validée au moyen de SAQ ou d'audits officiels par un évaluateur qualifié en sécurité (QSA). Elle dépend également du volume de vos transactions et de la façon dont vous gérez les données de carte :

  • SAQ A : Généralement la voie la plus simple, cela s'applique aux entreprises qui ont entièrement externalisé le traitement des cartes et qui ne touchent pas elles-mêmes aux données du titulaire de la carte.

  • SAQ A-EP : S'applique généralement si vous utilisez une page de paiement tierce, mais que votre propre site Web gère la redirection.

  • SAQ D : La voie la plus complète, le SAQ D s'applique aux entreprises qui stockent les données du titulaire de la carte ou les traitent de manière à ne pas correspondre à une catégorie plus simple.

  • Marchands de niveau 1 : Les marchands de niveau 1, tels que ceux qui traitent plus de 6 millions de transactions Visa ou Mastercard par an, doivent soumettre un rapport sur la conformité (ROC) effectué par un QSA.

De nombreuses petites et moyennes entreprises néo-zélandaises seront admissibles à l'une des voies SAQ. Le choix de celle-ci dépend largement de votre modèle d'intégration de paiement.

Quelles sont les exigences de conformité PCI pour les entreprises néo-zélandaises?

La norme PCI DSS contient 12 exigences de base. Ces exigences sont regroupées sous six objectifs de contrôle :

1. Créer et maintenir un réseau sécurisé

Installez et maintenez les contrôles de sécurité du réseau. C'est la base d'une conformité réussie.

2. Protéger les données de compte

Utilisez une cryptographie forte pour protéger les données du titulaire de la carte sauvegardées. Ne stockez jamais le code de vérification de la carte après l'autorisation, et assurez-vous que la transmission des données du titulaire de la carte est cryptée sur les réseaux ouverts et publics.

3. Maintenir un programme de gestion des vulnérabilités

Protégez les systèmes contre les logiciels malveillants et développez des systèmes et des logiciels sécurisés. Cela comprend les calendriers de correctifs, l'analyse des vulnérabilités et les tests de sécurité des applications.

4. Implémenter des mesures de contrôle d'accès strictes

Les données du titulaire de la carte doivent être limitées au besoin d'en connaître. Identifiez et authentifiez chaque utilisateur avec des identifiants uniques, et limitez physiquement l'accès aux systèmes qui stockent ou traitent les données du titulaire de la carte.

5. Surveiller et tester les réseaux

Surveillez et consignez tout accès aux ressources du réseau et aux données du titulaire de la carte. Testez régulièrement les systèmes et processus de sécurité. Effectuez des analyses de vulnérabilités et des tests d'intrusion dans de nombreux environnements.

6. Maintenir une politique de sécurité de l'information

Maintenez une politique qui couvre la sécurité de l'information pour l'ensemble du personnel et qui inclut une formation et une responsabilisation claire.

Certaines de ces exigences peuvent relever de la responsabilité du fournisseur, à condition que l'entreprise néo-zélandaise ait correctement intégré sa solution de paiement en ligne ou de paiement en personne.

À quels défis les entreprises néo-zélandaises sont-elles confrontées en matière de conformité PCI?

Devenir conforme à la norme PCI peut faire trébucher les entreprises néo-zélandaises de manière prévisible. Une fois que vous avez une visibilité sur les points qui posent problème, la conformité devient gérable.

Portée plus vaste que prévu

Un problème de conformité courant consiste à sous-estimer la portée du CDE. Tout système connecté à votre CDE, que vous en soyez conscient ou non, relève des exigences PCI DSS. Les entreprises peuvent découvrir que leur CDE est beaucoup plus vaste qu'elles ne le supposaient une fois qu'elles commencent à cartographier les flux de données.

Infrastructure existante

De nombreuses entreprises en Nouvelle-Zélande peuvent utiliser du matériel de point de vente (PDV) plus ancien et des logiciels sur site qui n'ont pas été conçus pour la norme PCI DSS 4.0. La mise à niveau peut être coûteuse et perturbatrice. Le maintien de la conformité avec les systèmes existants peut entraîner une complexité accrue.

Incompréhension de ce que couvre l'externalisation

L'utilisation d'un fournisseur de services de paiement conforme à la norme PCI ne rend pas automatiquement votre entreprise conforme. Par exemple, votre site Web pourrait présenter une vulnérabilité qui permet à un attaquant d'intercepter les données de carte avant qu'elles n'atteignent le formulaire de paiement du fournisseur, et cette faille devient votre problème. La frontière entre votre responsabilité et celle de votre fournisseur doit être clairement définie.

Roulement du personnel et lacunes en matière de formation

La norme PCI DSS exige une formation de sensibilisation à la sécurité pour l'ensemble du personnel qui interagit avec les données du titulaire de la carte. Il peut être difficile de maintenir la formation à jour dans les secteurs à fort roulement.

Le problème de sélection du SAQ

Assurez-vous de choisir le bon SAQ. Une entreprise qui pense être admissible au SAQ A, mais qui a en fait conservé une certaine implication dans le traitement des données du titulaire de la carte, pourrait sous-déclarer considérablement ses obligations de conformité.

Comment les entreprises néo-zélandaises peuvent-elles assurer la conformité PCI?

Une bonne façon de réduire votre fardeau de conformité est de réduire l'environnement de données du titulaire de la carte.

Envisagez les approches suivantes :

Utiliser un fournisseur de paiements qui conserve les données de carte hors de vos systèmes

Les fournisseurs de paiements comme Stripe qui utilisent la jetonisation et les champs de paiement hébergés collectent les données de carte directement dans leur environnement afin que vos serveurs ne reçoivent pas les numéros de carte bruts. Combinée à la certification de fournisseur de services PCI de niveau 1, cela peut simplifier les parcours de conformité de nombreuses entreprises.

Cartographier d'abord vos flux de données

Vous ne pouvez pas délimiter la portée d'une évaluation PCI sans savoir où vont les données du titulaire de la carte. Cartographiez rigoureusement chaque système susceptible de toucher aux données de carte. Ensuite, chaque fois que vous ajoutez une nouvelle intégration, mettez à jour votre processus de paiement ou modifiez votre système de gestion de la relation client (CRM), mettez également la carte à jour.

Obtenir le bon SAQ

Parlez à votre banque acquéreuse ou à un QSA avant de sélectionner votre SAQ. Les réseaux de cartes publient les critères d'admissibilité au SAQ, et la bonne décision n'est pas toujours évidente. Si vous vous trompez dès le départ, chaque décision de conformité ultérieure aggrave l'erreur.

Traiter les tests d'intrusion sérieusement

Les tests d'intrusion ont un impact substantiel sur le succès de votre conformité. Un test véritable de votre CDE, y compris vos pages de paiement, vos mécanismes d'authentification et la segmentation de votre réseau interne, peut révéler des vulnérabilités qui échappent à l'analyse automatisée.

Attribuer une responsabilité interne claire

La conformité PCI peut passer entre les mailles du filet lorsqu'on suppose que quelqu'un s'en occupe, comme le service informatique, votre directeur financier ou la personne qui a initialement configuré le système de paiement. Chaque exigence doit être attribuée à une personne désignée.

Intégrer la collecte de preuves à vos opérations

Les évaluateurs exigent des preuves. Les analyses de vulnérabilité, les journaux d'accès, les dossiers de formation et les historiques de correctifs doivent exister et être récupérables. L'intégration de cette documentation dans vos opérations régulières est beaucoup moins pénible que sa reconstruction avant une évaluation.

Comment Stripe Connect peut vous aider

Stripe Connect orchestre les mouvements de fonds entre plusieurs parties pour le compte de plateformes logicielles et de places de marché. Il offre une inscription des utilisateurs rapide, des composants intégrés, des virements internationaux, etc.

Connect peut vous aider à :

  • Être opérationnel en quelques semaines : utilisez des fonctionnalités intégrées ou hébergées par Stripe pour accélérer la mise en service en évitant les coûts initiaux et le temps de développement généralement requis pour accepter les paiements.

  • Gérer les paiements à grande échelle : utilisez les outils et services de Stripe pour éviter de mobiliser des ressources supplémentaires pour la production de rapports sur les marges, les formulaires fiscaux, la gestion du risque, les modes de paiement mondiaux ou la conformité liée à l’inscription des utilisateurs.

  • Se développer à l’international : aidez vos utilisateurs à attirer davantage de clients dans le monde entier en proposant des modes de paiement locaux et le calcul facile des taxes de vente, de la TVA et de la TPS.

  • Bâtir de nouveaux canaux de revenus : optimisez les revenus des paiements en collectant des frais sur chaque transaction. Monétisez les capacités de Stripe sur votre plateforme en activant les paiements en personne, les virements instantanés, la perception des taxes de vente, les financements, les cartes commerciales, et bien plus encore.

Découvrez-en plus sur Stripe Connect, ou commencez dès aujourd’hui.

Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.

Plus d'articles

  • Un problème est survenu. Veuillez réessayer ou contacter le service d’assistance.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Connect

Connect

Lancez-vous en quelques semaines au lieu de plusieurs trimestres, et développez une activité de paiement rentable avec facilité.

Documentation Connect

Comment répartir des paiements entre plusieurs destinataires.