PCI DSS
Le PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité pour la protection des données de cartes de crédit que toutes les entreprises qui traitent, enregistrent ou transmettent des données de cartes doivent respecter.
PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité créée par les cinq grands réseaux de cartes (Visa, Mastercard, AMEX, Discover, JCB). Elle définit des exigences obligatoires pour toutes les entreprises qui traitent, stockent ou transmettent des données de cartes de crédit.
La norme comprend 12 exigences principales réparties en six domaines : sécurité du réseau, protection des données, gestion des vulnérabilités, contrôle des accès, surveillance et politiques de sécurité. La conformité est démontrée par des audits annuels ou des questionnaires d'auto-évaluation (SAQ).
Pour la plupart des Commerçants en ligne, l'utilisation d'un PSP certifié PCI-DSS réduit considérablement leur propre charge de conformité : si les données de carte sont traitées via un Hosted Checkout ou un formulaire de paiement tokenisé, les données sensibles ne touchent jamais directement le système du Commerçant.
Exemples PCI DSS
Une boutique en ligne utilise le Hosted Checkout de son PSP. Les données de carte ne sont jamais stockées sur le serveur de la boutique — l'effort de conformité PCI-DSS est minimal.
Un grand détaillant traite les données de carte dans son propre système et doit passer chaque année un audit PCI-DSS par un Qualified Security Assessor (QSA).
Un PSP tokenise les données de carte : au lieu du vrai numéro de carte, un jeton (token) est stocké, qui n'a aucune valeur pour les fraudeurs.
FAQ PCI DSS
Qu'est-ce que PCI DSS ?
PCI DSS est la norme de sécurité de l'industrie des cartes de crédit. Elle définit les exigences pour toutes les entreprises qui traitent, enregistrent ou transmettent des données de cartes de crédit — afin d'assurer la protection contre la perte de données et la fraude.
Est-ce que je dois, en tant que commerçant, respecter la norme PCI DSS ?
Oui, en principe, chaque entreprise qui accepte les paiements par carte doit se conformer à la norme PCI DSS. Pour la plupart des commerçants en ligne, l'effort est toutefois fortement réduit s'ils utilisent un PSP certifié PCI-DSS avec un Hosted Checkout.
Qu'est-ce que la tokenisation dans le contexte de la norme PCI DSS ?
La tokenisation remplace le vrai numéro de carte par un jeton (token) — une valeur aléatoire qui n'a aucune valeur pour les fraudeurs. Le jeton peut être utilisé pour les transactions ultérieures sans qu'il soit nécessaire d'enregistrer les vraies données de la carte.
Que se passe-t-il en cas de violation de la norme PCI DSS ?
Les infractions peuvent entraîner des amendes de la part des réseaux de cartes, une augmentation des frais de transaction, la perte de l'acceptation des cartes et, dans le pire des cas, des demandes de responsabilité en cas de perte de données.
