PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité pour la protection des données de cartes de crédit, que toutes les entreprises qui traitent, stockent ou transmettent des données de cartes doivent respecter.
PCI DSS
Le PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité mise en place par les cinq grands réseaux de cartes (Visa, Mastercard, AMEX, Discover, JCB). Elle définit des exigences obligatoires pour toutes les entreprises qui traitent, stockent ou transmettent des données de cartes de crédit.
La norme comprend 12 exigences principales réparties dans six domaines : sécurité du réseau, protection des données, gestion des vulnérabilités, contrôle des accès, surveillance et politiques de sécurité. La conformité est attestée par des audits annuels ou des auto-évaluations (SAQ).
Pour la plupart des Commerçants en ligne, l'utilisation d'un prestataire de services de paiement certifié PCI-DSS réduit considérablement ton propre effort de conformité : si les données de carte sont traitées via un paiement hébergé (Hosted Checkout) ou un formulaire de paiement tokenisé, les données sensibles ne touchent jamais directement le système du Commerçant.
Exemples de PCI DSS
Une boutique en ligne utilise le Hosted Checkout de son PSP. Les données de carte ne sont jamais stockées auf le serveur de la boutique — l'effort de conformité PCI-DSS est minimal.
Un grand détaillant traite les données de carte dans son propre système et doit réussir chaque année un audit PCI-DSS par un Qualified Security Assessor (QSA).
Un PSP tokenise les données de carte : au lieu du vrai numéro de carte, un jeton (token) est stocké, qui n'a aucune valeur pour les fraudeurs.
FAQ PCI DSS
Qu'est-ce que la norme PCI DSS ?
PCI DSS est la norme de sécurité de l'industrie des cartes de paiement. Elle définit les exigences applicables à toutes les entreprises qui traitent, enregistrent oder transmettent des données de cartes de paiement — afin de se prémunir contre la perte de données et la fraude.
Dois-tu en tant que commerçant respecter la norme PCI DSS ?
Oui, en principe, chaque entreprise qui accepte les paiements par carte doit se conformer à la norme PCI DSS. Pour la plupart des commerçants en ligne, l'effort est toutefois considérablement réduit s'ils utilisent un PSP certifié PCI DSS avec un Hosted Checkout.
Qu'est-ce que la tokenisation dans le contexte de la norme PCI DSS ?
La tokenisation remplace le vrai numéro de carte par un token — une valeur aléatoire qui n'a aucune valeur für les fraudeurs. Le token peut être utilisé pour les transactions suivantes, sans avoir à stocker les vraies données de carte.
Que se passe-t-il en cas de non-conformité PCI-DSS ?
Les infractions peuvent entraîner des amendes de la part des réseaux de cartes, une augmentation des frais de transaction, la perte de l'acceptation des cartes et, dans le pire des cas, des demandes de responsabilité en cas de perte de données.
