Depuis 2005, plus de 10 milliards de dossiers de consommateurs ont été compromis par plus de 9 000 violations de données aux États-Unis. Il s’agit des derniers chiffres de la Privacy Rights Clearinghouse, qui fait état de violations de données et de failles de sécurité ayant un impact sur les consommateurs depuis 2005. Afin d’améliorer la sécurité des données des consommateurs et la confiance dans l’écosystème de paiement, une norme minimale de sécurité des données a été créée. En 2006, Visa, Mastercard, American Express, Discover et JCB ont créé le Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI SSC) afin d’administrer et de gérer les normes de sécurité pour les entreprises qui traitent des données de cartes de crédit.
La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est la norme de sécurité mondiale pour toutes les entités qui stockent, traitent ou transmettent des données de titulaire de carte et/ou des données d’authentification sensibles. La norme PCI DSS établit un niveau de protection de base pour les consommateurs et contribue à réduire la fraude et les violations de données dans l’ensemble de l’écosystème de paiement. Elle s’applique à toutes les organisations qui acceptent ou traitent des cartes de paiement, et les organisations qui ne respectent pas ces normes sont passibles de pénalités, d’amendes et de coûts importants.
La conformité à la norme de sécurité PCI repose sur trois composantes principales :
- Le traitement des données des cartes bancaires saisies par les clients, c'est-à-dire la collecte et la transmission sécurisées des données de cartes sensibles
- La sauvegarde les données de manière sécurisée, présentée en détail dans les 12 domaines de sécurité de la norme PCI, notamment le chiffrement, le contrôle en continu et les tests de sécurité de l’accès aux données des cartes
- La vérification annuelle de la présence des contrôles de sécurité requis, notamment au moyen de formulaires, de questionnaires, de services externes d'analyse des vulnérabilités et d'audits réalisés par des tiers (voir le guide étape par étape ci-dessous pour un tableau présentant les quatre niveaux d'exigences)
Toutes les entreprises qui acceptent des paiements par carte bancaire doivent se conformer à la norme PCI DSS, quels que soient le volume, la région géographique ou la méthode d'intégration. En respectant cette réglementation, les entreprises peuvent :
- gagner la confiance de leurs clients en veillant à ce que les données de leurs cartes soient sécurisées ;
- se protéger contre la fraude et les violations de données ;
- éviter les amendes pour violation de la conformité PCI.
Avis de non-responsabilité : Cet article ne doit être utilisé qu’à titre indicatif et ne doit pas être considéré comme un avis définitif. Pour plus de précisions, nous vous recommandons de contacter un évaluateur de sécurité agréé (QSA) de la norme PCI DSS.
Comment Stripe aide-t-elle les entreprises à atteindre et à maintenir la conformité PCI ?
Si votre business model vous contraint à manipuler des données de cartes bancaires, il se peut que vous deviez respecter les quelque 300 contrôles de sécurité de la norme PCI DSS. La documentation officielle sur la norme PCI DSS, publiée par le PCI Security Standards Council, compte plus de 1 800 pages, dont 300 portent uniquement sur le(s) formulaire(s) à utiliser pour valider votre mise en conformité.
Stripe peut aider les entreprises à réduire de manière significative la charge liée au respect de la norme PCI grâce à une variété de méthodes d'intégration tokenisées (par exemple, Checkout, Elements, les SDK mobiles, les SDK Terminal), ce qui leur évite d'avoir à manipuler directement les données sensibles des cartes bancaires.
- Stripe Checkout et Stripe Elements utilisent un champ de paiement hébergé pour traiter toutes les données de carte de paiement, de sorte que le titulaire de la carte saisit toutes les informations de paiement sensibles dans un champ de paiement qui provient directement de nos serveurs conformes à la norme PCI DSS.
- Les SDK mobiles et Terminal de Stripe permettent également au titulaire de la carte d’envoyer les informations de paiement sensibles directement à nos serveurs conformes à la norme PCI DSS.
Pour tous nos utilisateurs, quel que soit leur type d’intégration, Stripe agit en tant que conseiller PCI et peut vous aider de différentes manières.
- Notre assistant PCI Stripe analyse votre méthode d’intégration et vous conseille sur la manière de soulager les contraintes liées à la conformité.
- Nous vous informerons à l’avance si l’augmentation du volume de transactions nécessite un changement dans la façon dont vous validez votre mise en conformité.
- Pour les grandes entreprises qui stockent des données de cartes bancaires ou dont le flux de paiement est complexe, et qui doivent donc faire appel à un QSA PCI, sachez qu'il existe plus de 400 sociétés QSA de ce type à travers le monde. Nous pouvons vous mettre en relation avec plusieurs auditeurs qui maîtrisent les différentes méthodes d'intégration de Stripe sur le bout des doigts.
Guide étape par étape de la conformité à la norme PCI DSS
1. Connaître votre niveau PCI
La première étape de la mise en conformité avec la norme PCI consiste à déterminer les exigences applicables à votre entreprise. Il existe quatre niveaux de conformité PCI, généralement basés sur le volume de transactions par carte traitées par votre entreprise au cours d'une période de 12 mois.
En fonction de votre niveau, vous aurez différentes exigences, y compris des analyses de vulnérabilité régulières d’un fournisseur d’analyse agréé (ASV). Des exigences supplémentaires s’appliquent également aux fournisseurs de services, qui sont des entités commerciales directement impliquées dans le traitement, le stockage ou la transmission de données de titulaire de carte (CHD) et/ou de données d’authentification sensibles (SAD) pour le compte d’une autre entité (par exemple, les passerelles de paiement, les prestataires de services de paiement et les organisations de vente indépendantes).
|
Niveau de conformité
|
Champ d'application
|
Exigences
|
|---|---|---|
|
Niveau 1
|
|
|
|
Niveau 2
|
|
|
|
Niveau 3
|
|
|
|
Niveau 4
|
|
|
2. Connaître votre type d'intégration et les exigences en matière de documentation
Une fois que vous connaissez votre niveau PCI, l’étape suivante consiste à déterminer les documents PCI que vous devez remplir pour valider votre conformité, en fonction de plusieurs facteurs : le type d’intégration que vous utilisez avec Stripe, si vous êtes ou non un fournisseur de services, etc.
Utilisateurs de niveau 1
Les entreprises de niveau 1 ne sont pas admissibles à l’utilisation d’un formulaire SAQ pour prouver leur conformité PCI. Elles doivent remplir un ROC signé par un QSA ou un cadre dirigeant d’un commerçant pour valider leur conformité PCI chaque année.
Utilisateurs de niveau 2 à 4
Pour les utilisateurs de niveau 2 à 4, il existe différents types de SAQ en fonction de votre méthode d'intégration des paiements. Si vous n'êtes pas sûr du type de SAQ qui vous convient, l'assistant PCI de Stripe déterminera automatiquement le type de documentation approprié à votre entreprise.
|
Intégration
|
Exigence
|
Recommandation
|
|---|---|---|
|
Checkout ou Elements
|
Questionnaire d'auto-évaluation A |
Checkout, Stripe.js et Elements hébergent toutes les saisies de collecte de données de carte dans un iframe traité à partir du domaine Stripe (pas le vôtre), de façon à ce que les informations de carte de vos clients n'atteignent jamais vos serveurs.
|
|
Connect
|
Questionnaire d'auto-évaluation A | Si vous collectez exclusivement les données de carte bancaire via une plateforme Connect (par exemple, Squarespace), nous pouvons déterminer si la plateforme fournit la documentation PCI nécessaire. |
|
SDK Mobile
|
Questionnaire d'auto-évaluation A |
Le contrôle du développement et des modifications du SDK mobile de Stripe est effectué conformément à la norme PCI DSS (exigences 6.3 à 6.5) ; il est déployé par le biais de nos systèmes validés PCI. Lorsque vous utilisez uniquement les composants d'interface utilisateur fournis dans nos SDK officiels pour iOS ou Android, ou que vous créez un formulaire de paiement avec Elements dans une vue Web, les numéros de carte de vos clients sont directement transmis à Stripe. Vos exigences en matière de conformité PCI sont ainsi simplifiées. Si vous procédez autrement, en créant par exemple votre propre code pour gérer les informations de paiement, vous devrez probablement vous soumettre à des exigences PCI DSS supplémentaires (6.3 - 6.5) et ne pourrez pas remplir le questionnaire d'auto-évaluation A. Dans ce cas, contactez un auditeur de sécurité qualifié (QSA) PCI pour déterminer la meilleure façon de valider votre conformité, selon les directives actuelles du PCI Security Standards Council. Si votre application exige que vos clients saisissent leurs informations sur leur propre appareil, vous pouvez remplir le questionnaire d'auto-évaluation A. Si votre application accepte des informations de carte de plusieurs clients sur votre appareil (par ex., application de point de vente), consultez un auditeur de sécurité qualifié PCI pour connaître la meilleure façon de valider votre conformité PCI. |
|
Stripe.js v2
|
Questionnaire d'auto-évaluation A-EP |
Si vous utilisez Stripe.js v2 pour transmettre les données de carte saisies dans un formulaire hébergé sur votre propre site, vous devez répondre au questionnaire d'auto-évaluation A-EP chaque année afin de prouver la conformité de votre entreprise aux normes PCI. Par ailleurs, Checkout et Elements vous offrent la flexibilité et la personnalisation d'un formulaire autohébergé, tout en répondant aux critères d'admissibilité PCI du questionnaire d'auto-évaluation A. |
|
Terminal
|
Questionnaire d'auto-évaluation C |
Si vous collectez exclusivement les données de cartes bancaires par le biais de Stripe Terminal, vous pouvez les valider à l’aide du questionnaire d'auto-évaluation C. Si vous intégrez Stripe par le biais d'autres méthodes répertoriées dans ce tableau, vous devez démontrer votre conformité pour chacune de ces méthodes, comme décrit. |
|
Dashboard
|
Questionnaire d'auto-évaluation C-VT |
La création manuelle de paiements par carte dans le Dashboard est réservée aux situations exceptionnelles. Elle ne doit pas servir à traiter des paiements habituels. Fournissez un formulaire de paiement ou une application mobile adaptés à vos clients pour leur permettre de saisir leurs informations de carte. Lorsqu’elles sont traitées en dehors de Stripe, nous ne pouvons pas vérifier que les informations de carte saisies manuellement sont sécurisées. Vous devez donc protéger les données de carte conformément aux exigences de la norme PCI et remplir le questionnaire d'auto-évaluation C-VT chaque année pour prouver la conformité de votre entreprise. |
|
API directe
|
Questionnaire d'auto-évaluation D |
Lorsque vous transmettez des informations de carte bancaire directement à l'API Stripe, votre intégration gère directement ces données. Vous devez alors prouver chaque année votre conformité à la norme PCI à l’aide du questionnaire d'auto-évaluation D (le plus exigeant). Pour vous simplifier la tâche :
En outre, notre outil de prévention de la fraude, Radar, qui comprend une évaluation des risques et des règles, est uniquement disponible lorsque l'une de nos méthodes de tokenisation côté client est utilisée. |
Fournisseurs de services
Si vous intervenez directement dans le traitement, la sauvegarde ou la transmission de données relatives aux titulaires de cartes (CHD) et/ou de données d'authentification sensibles (SAD) pour le compte d'une autre entité (par exemple, passerelles de paiement, prestataires de services de paiement et organisations commerciales indépendantes), vous pouvez relever de la catégorie des fournisseurs de services. Les fournisseurs de services ont généralement pour mission de :
- traiter les données des titulaires de carte pour d’autres organisations
- sauvegarder les données des titulaires de cartes pour le compte des clients
- transmettre les données des titulaires de cartes entre les systèmes
- fournir des services susceptibles d’avoir une incidence sur la sécurité des données des titulaires de carte ou sur la sécurité de l’environnement des titulaires de carte
Parmi les exemples courants, citons les passerelles de paiement, les hébergeurs (qui sauvegardent les données des titulaires de carte), les centres de données tiers, les sociétés fournissant des applications de paiement et les fournisseurs de services de tokenisation.
En tant que fournisseur de services, vous avez des exigences supplémentaires que vous devez valider.
|
Catégorie de fournisseur de services |
Critères |
Normes PCI |
|---|---|---|
|
Niveau 1 |
Tous les sous-traitants tiers (TPP) Toutes les entités de sauvegarde de données (DSE) totalisant plus de 300 000 transactions Mastercard et Maestro par an |
Évaluation annuelle sur site effectuée par un QSA |
|
Niveau 2 |
Tous les DSE dont le total des transactions Mastercard et Maestro est inférieur ou égal à 300 000 par an |
Autoévaluation annuelle |
3. Réaliser votre évaluation et soumettre votre documentation SAQ
Une fois que vous avez identifié l’évaluation que vous devez effectuer, l’étape suivante consiste à effectuer l’évaluation, à remplir les documents SAQ ou ROC pertinents et à les soumettre à Stripe pour examen.
Les utilisateurs à volume élevé voudront se procurer les services d’un QSA qui est enregistré pour opérer dans les régions où vous exercez vos activités. Le QSA vous aidera à examiner vos systèmes par rapport aux normes PCI et vous conseillera sur les mesures correctives à prendre en cas de défaillance. Il produira et signera également les documents appropriés que vous pourrez ensuite partager avec Stripe chaque année.
Les utilisateurs de niveau 3 et 4 devront probablement remplir le questionnaire d’autoévaluation PCI DSS adapté à leur secteur d’activité. D’autres ressources pour les marchands sont à votre disposition auprès du Conseil des normes de sécurité PCI. Stripe est également là pour vous aider, car notre assistant personnalisé sur votre Dashboard PCI vous posera une série de questions et générera les documents requis pour vous. Vous pouvez utiliser le Dashboard PCI de Stripe pour téléverser les documents SAQ ou ROC que vous avez vous-même remplis.
4. Surveiller et maintenir
Il est important de noter que la conformité PCI n’est pas un événement ponctuel. Il s’agit d’un processus annuel visant à garantir la conformité de votre entreprise, même si les flux de données et les points de contact avec les clients évoluent.
La norme PCI DSS établit des normes importantes pour le traitement et le stockage des données des titulaires de cartes, mais elle n’offre pas à elle seule une protection suffisante pour tous les environnements de paiement. En revanche, passer à une méthode d’acceptation des cartes plus sûre qui utilise des données tokenisées (comme Stripe Checkout, Elements et les SDK mobiles) est un moyen beaucoup plus efficace de protéger votre organisation. Cette approche offre aux entreprises agiles un moyen d’atténuer une violation potentielle de données et d’éviter l’approche historique, longue et coûteuse, de la validation PCI.
Au fur et à mesure qu’une entreprise se développe, sa logique et ses processus métier de base évoluent, ce qui signifie que les exigences en matière de conformité évoluent également. Une entreprise en ligne, par exemple, peut décider d’ouvrir des magasins physiques, de pénétrer de nouveaux marchés ou de lancer un centre d’assistance à la clientèle. Si ces nouveautés impliquent des données de cartes de paiement, il est conseillé de vérifier de manière proactive si cela a un impact sur la méthode de validation PCI choisie, et de revalider la conformité PCI si nécessaire.
Pour plus d’informations sur le monde complexe de la conformité PCI, rendez-vous sur le site Web du Conseil des normes de sécurité PCI. Si vous ne voulez lire que ce guide et quelques autres documents PCI, nous vous recommandons de commencer par les suivants :
- Approche prioritaire pour la PCI DSS
- Instructions et lignes directrices SAQ
- FAQ sur l’utilisation des critères d’admissibilité SAQ pour déterminer les exigences d’évaluation sur place
- FAQ sur les obligations des entreprises qui développent des applications pour les appareils grand public acceptant les données des cartes de paiement
Comment Stripe aide-t-elle les entreprises à maintenir la conformité PCI ?
En tant que fournisseur de services PCI de niveau 1, Stripe est certifiée chaque année par un évaluateur de sécurité agréé PCI indépendant conforme à toutes les exigences de la norme PCI DSS. Cela signifie que tous nos produits sont sécurisés par défaut, ce qui réduit vos exigences en matière de conformité.
Pour tous nos utilisateurs, quel que soit leur type d’intégration, Stripe agit en tant que conseiller PCI et peut vous aider de différentes manières.
Soutien aux petites entreprises
Stripe simplifie considérablement la charge de travail liée à la norme PCI pour nos petits utilisateurs en proposant un parcours de conformité personnalisé, notamment des formulaires SAQ préremplis et des flux guidés pour certains utilisateurs qui utilisent des méthodes d’intégration plus sécurisées telles que Checkout, Elements, les SDK mobiles et SDK Terminal.
Expérience personnalisée dans le Dashboard
Une fois que vous serez devenu client de Stripe, nous analyserons l’historique de vos transactions et vous conseillerons sur la manière de soulager les contraintes liées à la conformité grâce à une expérience personnalisée dans le Dashboard.
Accompagnement au fur et à mesure de la croissance de votre entreprise
Au fur et à mesure que le volume annuel de vos transactions augmente, il se peut que vous deviez changer de niveau de norme PCI en l'espace d'un an. Stripe vous accompagne dans ces transitions en vous avertissant des nouvelles exigences à l’approche de la date de renouvellement de votre norme PCI.
Plus d'un fournisseur de services
Si votre entreprise fait appel à plusieurs sous-traitants, votre processus de conformité PCI peut être source de confusion. Stripe vous facilite la tâche en prenant en charge la soumission des attestations de conformité de vos fournisseurs afin de faciliter votre mise en conformité.
Prise en charge des paiements pour la vente par correspondance/téléphone
Stripe aide les entreprises qui acceptent les paiements pour la vente par correspondance/téléphone en s'intégrant à des services tiers pour la collecte sécurisée des cartes par téléphone. Ces services automatisent la collecte des informations de carte bancaire à l’aide de technologies telles que la transmission du numéro de la carte par clavier ou la reconnaissance vocale, et suppriment la nécessité pour une personne de transcrire manuellement les données relatives à la carte. Cette approche peut réduire considérablement la charge de travail liée à la conformité PCI en éliminant la nécessité d’une intervention humaine. Pour les cas d’usage concernant la vente par correspondance/téléphone, il existe trois résultats SAQ possibles :
- SAQ-A : Cas d’usage d’un connecteur de paiement dans lequel les données du titulaire de la carte sont collectées par téléphone à l’aide d’une solution tierce conforme à la norme PCI, et les données de la carte sont transmises directement à Stripe. Dans ce cas d’utilisation, l’utilisateur ne doit pas avoir accès aux données de la carte lorsqu’elles sont présentées par téléphone et ne doit pas stocker, traiter ou transmettre les données du titulaire de la carte dans son environnement.
- SAQ C-VT : L’utilisateur reçoit les données de carte avec les paiements de vente par correspondance/téléphone, et elles sont directement saisies dans le Dashboard Stripe. Dans ce cas, la soumission manuelle doit être réservée à des cas d’usage limités, non récurrents, sachant que le stockage électronique des informations de carte n’est pas autorisé.
- SAQ-D : Tout cas d’usage dans lequel l’utilisateur collecte les données du titulaire de la carte auprès de son client et dispose d’un stockage électronique des données du titulaire de la carte dans son environnement.
Pour obtenir des conseils spécifiques sur la conformité PCI et la mise en œuvre de votre système de paiement pour la vente par correspondance/téléphone, nous vous recommandons de consulter un évaluateur de sécurité agréé PCI (QSA).