PCI DSS
Le PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité d'un groupement des cinq grands réseaux de cartes (Visa, Mastercard, AMEX, Discover, JCB). Elle définit des exigences obligatoires pour toutes les entreprises qui traitent, stockent ou transmettent des données de cartes de crédit.
La norme comprend 12 exigences principales réparties dans six domaines : sécurité du réseau, protection des données, gestion des vulnérabilités, contrôle des accès, surveillance et politiques de sécurité. La conformité est attestée par des audits annuels ou des questionnaires d'auto-évaluation (SAQ).
Pour la plupart des Commerçants en ligne, l'utilisation d'un PSP certifié PCI-DSS réduit considérablement tes propres efforts de conformité : si les données de carte sont traitées via un Hosted Checkout ou un formulaire de paiement avec tokenisation, les données sensibles ne touchent jamais directement le système du Commerçant.
Exemples PCI DSS
Une boutique en ligne utilise le Hosted Checkout de son PSP. Les données de carte ne sont jamais enregistrées sur le serveur de la boutique — l'effort de conformité PCI DSS est minimal.
Un grand détaillant traite les données de carte dans son propre système et doit réussir chaque année un audit PCI DSS réalisé par un Qualified Security Assessor (QSA).
Un PSP tokenise les données de carte : au lieu du numéro de carte réel, un jeton sans valeur pour les fraudeurs est enregistré.
FAQ PCI DSS
Qu'est-ce que PCI DSS ?
PCI DSS ist der Sicherheitsstandard der Kreditkartenindustrie. Er definiert Anforderungen für alle Unternehmen, die Kreditkartendaten verarbeiten, speichern oder übertragen — zum Schutz vor Datenverlust und Betrug.
Dois-tu, en tant que commerçant, respecter la norme PCI DSS ?
Oui, en principe, chaque entreprise qui accepte les paiements par carte doit se conformer à la norme PCI DSS. Pour la plupart des commerçants en ligne, l'effort est toutefois considérablement réduit s'ils utilisent un PSP certifié PCI-DSS avec un Checkout hébergé.
Qu'est-ce que la tokenisation dans le contexte de PCI DSS ?
La tokenisation remplace le vrai numéro de carte par un jeton — une valeur aléatoire qui n'a aucune valeur pour les fraudeurs. Tu peux utiliser le jeton pour les transactions ultérieures sans avoir à enregistrer les vraies données de carte.
Que se passe-t-il en cas de violation de la norme PCI DSS ?
Les violations peuvent entraîner des amendes de la part des réseaux de cartes, une augmentation des frais de transaction, la perte de l'acceptation des cartes et, dans le pire des cas, des demandes de réparation en cas de perte de données.
