Connexion 

Guide de mise en conformité PCI

La norme PCI DSS (Payment Card Industry Data Security Standard) définit les exigences minimales en matière de sécurité des données. Ce guide vous explique toutes les étapes nécessaires pour assurer votre conformité PCI et comment Stripe peut vous aider à y parvenir.

Payments
Payments

Acceptez des paiements en ligne, en personne et dans le monde entier, grâce à une solution de paiement adaptée à toutes les entreprises, des start-up aux multinationales.

En savoir plus 
  1. Introduction
  2. Présentation de la norme de sécurité PCI (ou PCI DSS)
    1. Gestion des données de cartes
    2. Stockage sécurisé des données
    3. Validation annuelle
  3. Guide étape par étape de mise en conformité à la norme PCI DSS
    1. 1. Connaître les exigences
    2. 2. Comprendre vos flux de données
    3. 3. Vérifier les contrôles et les protocoles de sécurité
    4. 4. Contrôler et assurer la sécurité
  4. Avantages de Stripe en matière de respect des exigences de la PCI
  5. En savoir plus sur Stripe 

Depuis 2005, près de 11 milliards de dossiers clients ont été compromis par plus de 8 500 fuites de données. Ces chiffres sont les derniers publiés par la Privacy Rights Clearinghouse, qui recense depuis 2005 les cas de fuites de données et de failles de sécurité ayant eu un impact sur les consommateurs.

Une norme de base pour la sécurité des données a été créée afin d'améliorer la sécurité des données des consommateurs et la confiance dans l'écosystème de paiements. Visa, Mastercard, American Express, Discover et JCB ont mis en place le Conseil de sécurité de l'industrie des cartes de paiement (Payment Card Industry Data Security Standards Council ou PCI SSC) en 2006 dans le but d'administrer et de gérer les normes en matière de sécurité pour les sociétés traitant des données de cartes bancaires. Avant que le PCI SSC ne soit fondé, ces cinq sociétés de cartes de paiement avaient leurs propres programmes normatifs de sécurité, présentant tous plus ou moins les mêmes exigences et objectifs. Grâce au PCI SSC, ces programmes sont aujourd'hui unifiés et alignés sur une norme commune, appelée « Norme de sécurité de l'industrie des cartes de paiement » (Payment Card Industry Data Security Standard ou PCI DSS). Cette dernière constitue une référence en matière de protection des consommateurs et des banques à l'ère d'Internet.

Complexité de la norme PCI DSS et difficultés d'application

Si votre modèle économique implique la manipulation de données de cartes bancaires, il pourrait vous être demandé de respecter chacun des quelque 300 contrôles de sécurité de la PCI DSS. La documentation officielle publiée par le Conseil PCI concernant la PCI DSS comprend plus de 1800 pages, dont plus de 300 pages servant uniquement à déterminer quel(s) formulaire(s) utiliser pour valider la conformité à chaque exigence. Une « simple » lecture de cette documentation nécessiterait donc déjà plus de 72 heures.

Afin de vous faciliter la tâche, ce guide décrit chaque étape requise pour valider et garantir le respect des exigences de conformité PCI.

L'entrée en vigueur de la norme PCI DSS version 4.0 est prévue pour le 31 mars 2024.

Présentation de la norme de sécurité PCI (ou PCI DSS)

La PCI DSS est la norme mondiale en matière de sécurité pour toutes les entités qui conservent, traitent et transmettent des données appartenant à des titulaires de carte bancaire et/ou des données d'authentification sensibles. Il s'agit de la norme de référence pour la protection des consommateurs. Elle vise à réduire les fraudes et les violations de données dans l'ensemble de l'écosystème de paiement et s'applique à toute organisation qui accepte ou traite des paiements par carte bancaire.

La conformité à la norme de sécurité PCI repose sur trois composantes principales :

  1. Gérer le transfert des données de cartes bancaires des clients, c'est-à-dire collecter et transmettre en toute sécurité les informations sensibles des cartes.
  2. Stocker les données de manière sécurisée. Ce processus est présenté en détail dans les 12 domaines de sécurité de la norme PCI, notamment le chiffrement, le contrôle en continu et les tests de sécurité de l'accès aux données des cartes.
  3. Garantir chaque année que les contrôles de sécurité nécessaires sont effectués. Il peut s'agir de formulaires, de questionnaires, d'évaluation des vulnérabilités par des services externes ou d'audits effectués par des tiers (consultez le guide étape par étape ci-dessous pour visualiser le tableau récapitulatif des quatre niveaux d'exigences).

Gestion des données de cartes

Certains modèles économiques nécessitent un traitement direct des données sensibles des cartes bancaires lors de l'acceptation d'un paiement, tandis que d'autres non. Il pourrait être demandé aux entreprises devant traiter des données de cartes bancaires (par exemple, pour accepter un numéro de compte principal non tokenisé sur une page de paiement) de satisfaire aux quelque 300 contrôles de sécurité de la PCI DSS. Même si les données des cartes ne font que transiter par les serveurs de l'entreprise pendant un court instant, celle-ci devra acheter et mettre en place des systèmes de sécurité (logiciels et matériels), et assurer leur maintenance.

Si une entreprise n'a pas besoin de traiter les données sensibles de cartes bancaires, elle ne devrait pas avoir à le faire. Des solutions tierces (par ex., Stripe Elements) acceptent et stockent les données de manière sécurisée, ce qui permet de limiter considérablement les difficultés, les coûts et les risques pour l'entreprise. Les données de carte bancaire n'arrivant jamais jusqu'à ses serveurs, cette dernière n'aura besoin de valider que quelques contrôles de sécurité, pour la plupart très simples, par exemple l'utilisation de mots de passe forts.

Stockage sécurisé des données

Si une organisation gère ou stocke des données de carte bancaire, elle doit définir l'étendue de l'environnement des données du titulaire de la carte (Cardholder data environment ou CDE). La PCI DSS définit le CDE comme l'ensemble des personnes, processus et technologies qui stockent, traitent ou transmettent des données de carte bancaire, ou tout système y étant connecté. Dans la mesure où les quelque 300 exigences en matière de sécurité de la PCI DSS s'appliquent au CDE, il est important de segmenter correctement l'environnement de paiement du reste de l'entreprise pour limiter l'étendue de la validation PCI. Si une organisation n'est pas en mesure de limiter l'étendue du CDE avec une segmentation granulaire, les contrôles de sécurité PCI s'appliquent alors à tous les systèmes, ordinateurs portables et appareils connectés au réseau de l'entreprise. Un scénario à éviter !

Validation annuelle

Indépendamment du mode d'acceptation des données des cartes, les organisations doivent remplir un formulaire de validation PCI tous les ans. La manière dont la conformité PCI est validée dépend de plusieurs facteurs, détaillés ci-dessous. Voici trois scénarios dans lesquels une entreprise peut avoir à démontrer sa conformité PCI.

  • Les prestataires de services de paiement peuvent l'exiger dans le cadre des rapports obligatoires à rendre aux marques de cartes de paiement.
  • Les partenaires commerciaux peuvent la demander comme prérequis à un contrat commercial.
  • Dans le cas des entreprises plateformes (à savoir dont la technologie facilite les transactions en ligne entre de multiples groupes d'utilisateurs distincts), les clients peuvent la demander pour prouver à leurs utilisateurs qu'ils traitent les données de manière sécurisée.

La norme de sécurité PCI DSS comprend 12 exigences principales et plus de 300 exigences secondaires qui reflètent les bonnes pratiques en matière de sécurité.

CRÉER UN RÉSEAU ET DES SYSTÈMES SÉCURISÉS ET ASSURER LEUR MAINTENANCE

  • 1. Mettre en place et gérer des contrôles de sécurité des réseaux.
  • 2. Appliquer des configurations sécurisées à tous les composants des systèmes.

PROTÉGER LES DONNÉES DES COMPTES

  • 3. Protéger les données stockées relatives aux titulaires de carte.
  • 4. Protéger les données des titulaires de carte grâce à un chiffrement fort lors de la transmission par l'intermédiaire de réseaux publics ouverts.

ADMINISTRER UN PROGRAMME DE GESTION DE LA VULNÉRABILITÉ

  • 5. Protéger tous les systèmes et les réseaux contre les logiciels malveillants.
  • 6. Développer des systèmes et des logiciels sécurisés et assurer leur maintenance.

METTRE EN PLACE DES MESURES STRICTES DE CONTRÔLE DES ACCÈS

  • 7. Restreindre l'accès aux composantes des systèmes et aux données des titulaires de carte en fonction des besoins de l'entreprise.
  • 8. Identifier les utilisateurs et authentifier l'accès aux composantes du système.
  • 9. Restreindre physiquement l'accès aux données des titulaires de carte.

CONTRÔLER ET TESTER RÉGULIÈREMENT LES RÉSEAUX

  • 10. Suivre et contrôler tous les accès aux composantes des systèmes et aux données des titulaires de carte.
  • 11. Tester régulièrement la sécurité des systèmes et des réseaux.

GARANTIR LE RESPECT DE LA POLITIQUE DÉFINIE EN MATIÈRE DE SÉCURITÉ DES INFORMATIONS

  • 12. Contribuer à la sécurité des informations par l'intermédiaire de politiques et de procédures organisationnelles.

Pour faciliter la validation de la conformité PCI pour les nouvelles entreprises, le Conseil PCI a créé neuf formulaires ou questionnaires d'auto-évaluation (SAQ) différents, qui constituent une synthèse de l'ensemble des exigences PCI DSS. Encore faut-il déterminer lequel remplir et savoir s'il est nécessaire d'engager un auditeur approuvé par le Conseil pour vérifier que chaque exigence de sécurité de la PCI DSS a été respectée. De plus, le Conseil PCI révise les règles tous les trois ans et publie des mises à jour supplémentaires tout au long de l'année, ce qui renforce encore la complexité du sujet.

Guide étape par étape de mise en conformité à la norme PCI DSS

1. Connaître les exigences

La première étape pour la mise en conformité aux exigences de la PCI consiste à savoir lesquelles s'appliquent à votre organisation. Il existe quatre niveaux de conformité PCI, qui se basent en principe sur le volume de transactions par carte bancaire traité par une entreprise sur une période de 12 mois.

Niveau de conformité
Champ d'application
Exigences
Niveau 1
  • Entreprises qui traitent plus de 6 millions de transactions Visa ou Mastercard par an, ou plus de 2,5 millions de transactions American Express ; ou
  • Ayant subi une atteinte à la sécurité des données ; ou
  • Considérées de « Niveau 1 » par tous les organismes émetteurs de cartes (Visa, Mastercard, etc.)
  • Attestation de conformité (AOC) ou rapport de conformité ROC) annuel réalisé par un auditeur de sécurité qualifié (QSA)
  • Analyse trimestrielle du réseau par un fournisseur d'analyse approuvé (ASV)
Niveau 2
  • Entreprises qui traitent entre 1 et 6 millions de transactions par an
  • Questionnaire d'auto-évaluation (SAQ) ou attestation de conformité (AOC) ou rapport de conformité ROC)
  • Les questionnaires d'auto-évaluation A, A-EP et D doivent être signés par un auditeur de sécurité qualifié (QSA) certifié PCI ou un évaluateur de sécurité interne (ISA) certifié PCI1.
  • Analyse trimestrielle du réseau par un fournisseur d'analyse approuvé (ASV)
Niveau 3
  • Entreprises qui traitent entre 20 000 et 1 million de transactions en ligne par an
  • Entreprises qui traitent moins de 1 million de transactions en ligne par an
  • Les utilisateurs de niveau 3 et 4 sont automatiquement inscrits à notre Programme de gestion des risques, qui offre une expérience personnalisée et simplifiée en fonction de différents facteurs, dont le type d'intégration. Dans le cadre de ce programme, ils devront peut-être remplir un ou plusieurs questionnaires d'auto-évaluation (SAQ) PCI DSS.
  • Les utilisateurs de niveau 3 doivent également réaliser des analyses trimestrielles du réseau en faisant appel à un fournisseur d'analyse approuvé (ASV).
Niveau 4
  • Entreprises traitant moins de 20 000 transactions en ligne par an
  • Entreprises traitant jusqu'à 1 million de transactions en ligne par an
  • Les utilisateurs de niveau 4 doivent également réaliser des analyses trimestrielles du réseau en faisant appel à un fournisseur d'analyse approuvé (ASV).
1 Les marchands de niveau 2 qui remplissent un questionnaire d'auto-évaluation A, A-EP ou D doivent engager un auditeur de sécurité qualifié pour valider la conformité

Pour les niveaux 2 à 4, différents types de questionnaires d'auto-évaluation sont proposés, en fonction de votre méthode d'intégration des paiements. Voici un petit tableau récapitulatif :

Intégration
Exigence
Recommandation
Checkout ou Elements
Questionnaire d'auto-évaluation A
Checkout, Stripe.js et Elements hébergent toutes les saisies de collecte de données de carte dans un iframe traité à partir du domaine Stripe (pas le vôtre), de façon à ce que les informations de carte de vos clients n'atteignent jamais vos serveurs.
Connect
Questionnaire d'auto-évaluation A Si vous collectez exclusivement les données de carte bancaire via une plateforme Connect (par exemple, Squarespace), nous pouvons déterminer si la plateforme fournit la documentation PCI nécessaire.
SDK Mobile
Questionnaire d'auto-évaluation A

Le contrôle du développement et des modifications du SDK mobile de Stripe est effectué conformément à la norme PCI DSS (exigences 6.3 à 6.5) ; il est déployé par le biais de nos systèmes validés PCI. Lorsque vous utilisez uniquement les composants d'interface utilisateur fournis dans nos SDK officiels pour iOS ou Android, ou que vous créez un formulaire de paiement avec Elements dans une vue Web, les numéros de carte de vos clients sont directement transmis à Stripe. Vos exigences en matière de conformité PCI sont ainsi simplifiées.

Si vous procédez autrement, en créant par exemple votre propre code pour gérer les informations de paiement, vous devrez probablement vous soumettre à des exigences PCI DSS supplémentaires (6.3 - 6.5) et ne pourrez pas remplir le questionnaire d'auto-évaluation A. Dans ce cas, contactez un auditeur de sécurité qualifié (QSA) PCI pour déterminer la meilleure façon de valider votre conformité, selon les directives actuelles du PCI Security Standards Council.

Si votre application exige que vos clients saisissent leurs informations sur leur propre appareil, vous pouvez remplir le questionnaire d'auto-évaluation A. Si votre application accepte des informations de carte de plusieurs clients sur votre appareil (par ex., application de point de vente), consultez un auditeur de sécurité qualifié PCI pour connaître la meilleure façon de valider votre conformité PCI.

Stripe.js v2
Questionnaire d'auto-évaluation A-EP

Si vous utilisez Stripe.js v2 pour transmettre les données de carte saisies dans un formulaire hébergé sur votre propre site, vous devez répondre au questionnaire d'auto-évaluation A-EP chaque année afin de prouver la conformité de votre entreprise aux normes PCI.

Par ailleurs, Checkout et Elements vous offrent la flexibilité et la personnalisation d'un formulaire autohébergé, tout en répondant aux critères d'admissibilité PCI du questionnaire d'auto-évaluation A.

Terminal
Questionnaire d'auto-évaluation C

Si vous collectez exclusivement les données de cartes bancaires par le biais de Stripe Terminal, vous pouvez les valider à l’aide du questionnaire d'auto-évaluation C.

Si vous intégrez Stripe par le biais d'autres méthodes répertoriées dans ce tableau, vous devez démontrer votre conformité pour chacune de ces méthodes, comme décrit.
Dashboard
Questionnaire d'auto-évaluation C-VT

La création manuelle de paiements par carte dans le Dashboard est réservée aux situations exceptionnelles. Elle ne doit pas servir à traiter des paiements habituels. Fournissez un formulaire de paiement ou une application mobile adaptés à vos clients pour leur permettre de saisir leurs informations de carte.

Lorsqu’elles sont traitées en dehors de Stripe, nous ne pouvons pas vérifier que les informations de carte saisies manuellement sont sécurisées. Vous devez donc protéger les données de carte conformément aux exigences de la norme PCI et remplir le questionnaire d'auto-évaluation C-VT chaque année pour prouver la conformité de votre entreprise.

API directe
Questionnaire d'auto-évaluation D

Lorsque vous transmettez des informations de carte bancaire directement à l'API Stripe, votre intégration gère directement ces données. Vous devez alors prouver chaque année votre conformité à la norme PCI à l’aide du questionnaire d'auto-évaluation D (le plus exigeant). Pour vous simplifier la tâche :

En outre, notre outil de prévention de la fraude, Radar, qui comprend une évaluation des risques et des règles, est uniquement disponible lorsque l'une de nos méthodes de tokenisation côté client est utilisée.

2. Comprendre vos flux de données

Avant de pouvoir protéger les données sensibles provenant de cartes bancaires, vous devez savoir où se trouvent ces données et le chemin qu'elles parcourent pour y arriver. Vous devez créer une carte détaillée des systèmes, des connexions réseau et des applications qui interagissent avec les données de cartes bancaires au sein de votre organisation. Selon le poste que vous occupez, vous aurez peut-être besoin de collaborer avec vos équipes informatiques et dédiées à la sécurité.

  • Premièrement, répertoriez tous les domaines de votre entreprise qui impliquent un contact direct avec la clientèle et incluent des transactions de paiement. Par exemple, votre organisation peut accepter des paiements par le biais de paniers d'achats en ligne, de terminaux de paiement en magasin ou de commandes par téléphone.
  • Deuxièmement, identifiez les différents processus de traitement des données des titulaires de carte au sein de votre entreprise. Il est important de savoir exactement où les données sont stockées et qui peut y accéder.
  • Troisièmement, identifiez les systèmes internes ou les technologies sous-jacentes en lien avec les transactions de paiement. Cela comprend notamment vos systèmes réseau, vos centres de données et vos environnements cloud.

3. Vérifier les contrôles et les protocoles de sécurité

Une fois que vous avez recensé tous les points de contact potentiels pour les données de carte bancaire dans votre organisation, collaborez avec vos équipes informatiques et dédiées à la sécurité pour vous assurer que la configuration et les protocoles adéquats sont en place (consultez la liste des 12 exigences en matière de sécurité pour la PCI DSS ci-dessus). Ces protocoles sont conçus pour assurer la sécurité de la transmission des données, comme le protocole Transport Layer Security (TLS).

Les 12 exigences en matière de sécurité de la PCI DSS découlent des bonnes pratiques qui visent à protéger les données sensibles de toute entreprise. Plusieurs exigences recoupent celles du RGPD, de la loi HIPAA et d'autres réglementations sur la confidentialité des données, ce qui signifie que votre organisation en applique peut-être déjà certaines.

4. Contrôler et assurer la sécurité

Il est important de comprendre que la conformité PCI n'est pas une tâche ponctuelle. Il s'agit d'un processus continu qui permet de garantir en permanence la conformité de votre entreprise aux exigences, même lorsque les flux de données et les points de contact client évoluent. Certaines marques de cartes bancaires peuvent vous demander de rédiger des rapports trimestriels ou annuels, ou de réaliser une fois par an une évaluation en interne pour garantir une conformité continue, en particulier si vous traitez plus de 6 millions de transactions chaque année.

Gérer la conformité PCI tout au long de l'année (et année après année) exige souvent l'assistance et la collaboration de plusieurs services. Si vous ne l'avez pas déjà fait, il peut être judicieux de créer une équipe spéciale en interne pour entretenir la conformité de l'entreprise. Chaque entreprise est unique, mais une « équipe PCI » idéale inclut des représentants des services suivants.

  • Sécurité : les responsables de la sécurité et de la sécurisation des systèmes d'information, ainsi que leurs équipes, s'assurent que l'organisation investit toujours pertinemment dans les ressources et les politiques de sécurité des données et de respect de la confidentialité nécessaires.
  • Technologies/Paiements : le directeur technique, le responsable des moyens de paiement et leurs équipes garantissent que les intégrations, les infrastructures et les outils fondamentaux restent conformes lorsque les systèmes de l'organisation évoluent.
  • Finances : le directeur financier et son équipe garantissent que tous les flux de données de paiement sont pris en compte dans tous les systèmes de paiement et chez tous les partenaires.
  • Juridique : cette équipe peut aider à appréhender les nombreuses nuances juridiques de la conformité PCI DSS.

Pour plus d'informations concernant l'univers complexe de la conformité PCI, consultez le site Web du PCI Security Standards Council. Si vous souhaitez vous limiter à la lecture du présent guide et de quelques autres documents portant sur la norme PCI, nous vous recommandons de commencer par ceux qui suivent : l'approche prioritaire de mise en conformité à la norme PCI DSS, les instructions et directives pour le questionnaire d'auto-évaluation (SAQ), la FAQ relative aux critères d'éligibilité du SAQ permettant de déterminer les exigences relatives aux évaluations sur site, et la FAQ relative aux obligations des marchands qui développent des applications pour les appareils grand public qui acceptent les données des cartes de paiement.

Avantages de Stripe en matière de respect des exigences de la PCI

Stripe simplifie considérablement le travail que représente la mise en conformité aux normes PCI pour les entreprises qui utilisent Checkout, Elements, nos SDK pour appareils mobiles et nos SDK Terminal. Stripe Checkout et Stripe Elements utilisent un champ de paiement hébergé pour le traitement de toutes les données des cartes de paiement, de sorte que les titulaires de carte saisissent toutes leurs informations de paiement sensibles dans un champ directement issu de nos serveurs approuvés PCI DSS. Les SDK pour appareils mobiles et Terminal de Stripe permettent aussi aux titulaires de carte d'envoyer directement des informations de paiement sensibles vers nos serveurs approuvés PCI DSS.

Pour tous nos utilisateurs, indépendamment du type d'intégration, Stripe joue le rôle de facilitateur PCI et peut vous aider de différentes manières.

  • Nous analysons votre méthode d'intégration et vous expliquons comment simplifier ce travail de mise en conformité.
  • Nous vous avertissons à l'avance si un volume de transactions croissant nécessite de respecter de nouvelles exigences en matière de conformité.
  • Pour les marchands les plus importants (niveau 1) qui ont besoin de travailler avec un évaluateur qualifié en matière de sécurité PCI (QSA) (car ils stockent des données de cartes bancaires ou parce que leur tunnel de paiement est plus complexe), nous pouvons vous mettre en relation avec plusieurs auditeurs qui comprennent parfaitement les différentes méthodes d'intégration de Stripe parmi les plus de 350 sociétés QSA qui existent dans le monde.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Payments

Payments

Acceptez des paiements en ligne, en personne et dans le monde entier, grâce à une solution de paiement adaptée à toutes les entreprises.

Documentation Payments

Trouvez un guide qui vous aidera à intégrer les API de paiement Stripe.