Les entreprises qui acceptent les paiements par carte doivent se conformer à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Le non-respect de cette norme peut entraîner des violations de sécurité coûteuses et des amendes.

Par exemple, Wawa a récemment accepté de payer un règlement de 8 millions de dollars pour mettre fin à l'enquête sur une violation de données en décembre 2019 qui a compromis environ 34 millions de cartes de paiement utilisées dans tous les magasins Wawa. L'enquête a révélé de multiples violations du PCI DSS.

Si votre entreprise accepte les paiements par carte, vous devez prouver que vous êtes conforme au PCI pour éviter les infractions et protéger les données de vos clients. C'est là qu'intervient une attestation de conformité PCI DSS (AoC).

Dans ce guide, nous expliquerons tout ce que vous devez savoir sur l'attestation de conformité PCI et comment l'obtenir pour démontrer votre conformité au PCI DSS.

Qu'est-ce qu'une AoC PCI ?

Une attestation de conformité PCI (AoC) est une déclaration de conformité d'une organisation au PCI DSS. Elle sert de preuve documentée que les pratiques de sécurité de l'organisation protègent efficacement contre les menaces pour les données des titulaires de carte.

Ce document doit être complété par un évaluateur de sécurité qualifié (QSA) ou par le commerçant de l'entreprise. Un QSA est une entité certifiée par le Conseil des normes de sécurité PCI (PCI SSC) - l'organisme qui a établi le PCI DSS - pour effectuer des audits PCI DSS et déterminer si les organisations sont conformes au PCI.

Les QSA peuvent également aider à faciliter le processus de conformité de votre organisation, ce que nous décrirons plus en détail plus loin.

PCI RoC vs. AoC

Un rapport de conformité (RoC) PCI, similaire à une AoC, est un document délivré par un QSA à une organisation qui doit se conformer au PCI DSS. Il décrit la posture de sécurité de l'organisation, ses systèmes et son efficacité à sécuriser les données des titulaires de carte pour prouver que l'organisation est conforme au PCI.

Les RoC diffèrent des AoC par la profondeur de l'évaluation effectuée par le QSA. Les RoC exigent qu'un QSA effectue un audit, en examinant la documentation des processus de l'organisation et en testant ses contrôles.

Pour recevoir une AoC, en revanche, la plupart des organisations n'ont besoin que de compléter une auto-évaluation de leur conformité, appelée questionnaire d'auto-évaluation (SAQ). Celui-ci est ensuite examiné par un QSA pour déterminer le statut de conformité de l'organisation au PCI.

Cependant, les grandes organisations qui sont déjà auditées par un QSA pour un RoC n'ont peut-être pas besoin de remplir un SAQ pour recevoir également leur AoC. En d'autres termes, réussir l'évaluation RoC est souvent considéré comme suffisant pour qu'une organisation reçoive également une AoC.

Que votre organisation ait besoin d'un AoC ou d'un RoC (ou des deux) dépend de son niveau de conformité – des catégories que nous décrirons dans la section suivante.

Qui a besoin d'un AoC?

Toute entité qui gère des données de titulaires de carte a besoin d'un AoC et doit effectuer une évaluation avec un QSA pour prouver sa conformité au PCI DSS et en recevoir un.

Cela dit, le fait qu'une organisation ait également besoin d'un RoC dépend de son niveau de conformité. En règle générale, les organisations qui traitent plus de transactions par carte de débit et de crédit correspondent à des niveaux de conformité avec des critères d'évaluation QSA plus stricts.

Niveaux de conformité PCI pour les commerçants et les prestataires de services

Examinons comment les niveaux de conformité pour les commerçants et les prestataires de services sont déterminés ainsi que les exigences de certification PCI pour ces niveaux.

Niveau de conformité PCI 1

• Transactions: Plus de 6 millions par an
• Exigences de certification: Nécessitent à la fois un AoC et un RoC

Niveau de conformité PCI 2

• Transactions: 1 million-6 millions par an
• Exigences de certification: Nécessitent un AoC et peuvent nécessiter un SAQ et un RoC

Niveau de commerçant 3

• Transactions: 20,000-1 million par an
• Exigences de certification: Nécessitent un AoC et un SAQ

Niveau de commerçant 4

• Transactions: Moins de 20,000 par an
• Exigences de certification: Nécessitent un AoC et souvent un SAQ

Consultez les dossiers de transactions de votre organisation pour déterminer à quel niveau de conformité vous correspondez.

Bien que les exigences en matière d'évaluation et de certification devraient rester cohérentes entre les marques de cartes de crédit, il est important de noter que les niveaux diffèrent légèrement selon la marque.

Par exemple, Visa spécifie les niveaux PCI exacts ci-dessus, mais Mastercard diffère légèrement dans ses spécifications pour le niveau de conformité PCI 1. Le niveau 1 s'applique non seulement aux commerçants qui traitent plus de 6 millions de transactions par carte par an, mais aussi aux commerçants qui ont subi un piratage ou une attaque ayant entraîné un événement de compromission des données de compte (ADC). American Express, Discover et JCB International définissent également leurs niveaux différemment.

Envisagez de faire des recherches sur les niveaux PCI spécifiés par chaque marque de carte que vous acceptez afin de minimiser votre risque de conformité.

Si vous ne savez toujours pas quels documents vous devez fournir pour prouver votre conformité au PCI DSS, contactez un QSA pour obtenir de l'aide.

Comment recevoir un AoC

Pour recevoir votre AoC, il y a quelques étapes à garder à l'esprit, que nous décrivons ci-dessous.

1. Devenir conforme au PCI

La première étape (et la plus évidente) pour obtenir votre AoC est de devenir conforme avec PCI DSS.

Cela inclura la création d'un réseau sécurisé là où les détenteurs de carte saisissent leurs informations, la mise en œuvre de mesures pour protéger ce réseau, l'application de mesures de contrôle d'accès strictes pour protéger les données des cartes de crédit, et le maintien d'une politique de sécurité qui aborde la sécurité de l'information, parmi d'autres exigences PCI DSS.

2. Déterminez votre niveau de conformité et le type d'évaluation

Une fois que vous êtes sûr que votre organisation est conforme, vous pouvez déterminer votre niveau de conformité PCI et vous préparer pour votre évaluation par un QSA.

Si votre organisation appartient aux Niveaux 3 ou 4 des Marchands (moins d'un million de transactions par an), vous devez remplir un SAQ pour qu'un QSA le passe en revue. Il existe plusieurs types de SAQ différents, alors assurez-vous de rechercher celui qui convient à votre organisation.

Si votre organisation appartient aux Niveaux 1 ou 2 de conformité PCI, vous devrez peut-être remplir un SAQ et/ou être audité par un QSA.

3. Planifiez et complétez votre évaluation

La revue SAQ peut être effectuée en personne ou virtuellement, selon les préférences de votre QSA. S'ils déterminent à partir de votre SAQ que vous êtes conforme PCI DSS, alors vous recevrez votre AoC de leur part.

Si le niveau de conformité de votre organisation nécessite un audit QSA, le QSA évaluera votre posture de sécurité, vos systèmes, et votre conformité générale avec PCI. S'ils déterminent que votre organisation est conforme PCI après leur évaluation, ils vous fourniront un AoC (et très probablement un RoC également).

Exemple de document d'attestation de conformité

Une fois que votre organisation a été jugée conforme PCI, on vous donnera un AoC. Voir le modèle d'AoC ci-dessous pour comprendre les informations qu'il doit contenir.

Obtenez facilement votre AoC PCI avec Secureframe

Devenir conforme PCI est important — mais le faire sans aide n'est pas facile.

La norme exige que les organisations adoptent plus de 300 contrôles de sécurité rigoureux et une douzaine d'exigences de sécurité. Cela peut demander beaucoup de temps et d'énergie, retardant le processus d'évaluation par un QSA et la réception de votre AoC.

Mais avec Secureframe, atteindre la conformité PCI ne doit pas être stressant. Notre plateforme d'automatisation de la conformité vous permet de réduire de centaines d'heures le processus de conformité tout en aidant votre organisation à respecter tous les contrôles opérationnels nécessaires et à mettre en œuvre les meilleures pratiques de sécurité.

Pour en savoir plus sur la façon dont vous pouvez utiliser notre plateforme pour devenir et rester conforme PCI, demandez une démo aujourd'hui.