• blogangle-right
  • Conformité PCI pour les petites entreprises : Un guide rapide

Table of Contents

Conformité PCI pour les petites entreprises : Un guide rapide

  • March 22, 2022

Que vous soyez nouveau dans le monde du PCI ou que vous ayez déjà effectué le processus auparavant, vous savez probablement que le PCI et le langage qui l'entoure peuvent être complexes et même déroutants.

Vous gérez déjà les défis de la production et des opérations et maintenant vous devez ajouter la conformité PCI en plus.

La bonne nouvelle pour les startups et les entreprises en croissance est que le chemin vers la conformité à la PCI DSS est un peu moins complexe que pour une entreprise de niveau entreprise.

Nous démystifions la terminologie ambiguë qui peut rendre le PCI difficile à comprendre et mettons en évidence exactement ce que vous devez savoir pour être conforme au PCI.

Allons-y!

Que signifie être conforme PCI?

La conformité PCI est le processus qui consiste à s'assurer que les transactions par carte et la manière dont les entreprises stockent et accèdent aux données des titulaires de carte respectent certaines normes de sécurité.

Ces normes sont définies par un groupe de marques de cartes de crédit spécifiques qui forment collectivement le Conseil des normes de sécurité PCI (PCI SSC).

Les normes PCI sont conçues pour protéger les données des titulaires de carte contre la fraude et renforcer la confiance des clients afin qu'ils se sentent à l'aise d'utiliser leurs cartes de crédit en ligne.

Les avantages de la conformité PCI incluent :

  • Renforcement de la protection des données des cartes des clients
  • Augmentation de la confiance des clients dans l'utilisation des paiements par carte
  • Offre d'une norme de sécurité à suivre
  • Amélioration de l'efficacité opérationnelle
  • Réduction du coût d'une violation de données

Dois-je être conforme PCI en tant que petite entreprise?

Si votre entreprise accepte les cartes de débit, de crédit ou les cartes espèces comme forme de paiement, alors vous devez être conforme PCI.

De plus, si vous êtes un tiers qui peut affecter la sécurité des transactions par carte de crédit, comme un processeur de paiement, la conformité PCI s'applique également à vous.

Le coût de la non-conformité au PCI peut entraîner des pénalités financières allant de 5 000 à 10 000 dollars par mois, voire plus, si l'on tient compte de l'augmentation des frais de transaction.

La non-conformité peut également entraîner la perte du statut de marchand de votre entreprise, ce qui vous empêche d'accepter les paiements par carte de crédit. Avec 45 milliards de transactions par carte de crédit rien qu'en 2019, l'incapacité à traiter les paiements par carte de crédit peut isoler une entreprise de ses clients.

La conformité PCI est requise pour les organisations de toutes tailles qui traitent les données des titulaires de carte. Cependant, le nombre de transactions par carte de crédit ou de débit que votre entreprise effectue annuellement déterminera le niveau de conformité PCI auquel vous devez vous conformer.

Niveaux de conformité PCI

La conformité PCI s'applique à la fois aux commerçants et aux prestataires de services. Les petites entreprises sont considérées comme des commerçants.

La conformité PCI comprend quatre catégories : Niveau 1, Niveau 2, Niveau 3 et Niveau 4. Les entreprises du Niveau 1 auront des exigences plus strictes que celles de la catégorie Niveau 4.

La plupart des petites entreprises appartiennent à la catégorie Niveau 4. Cependant, il est important de noter que toute entreprise subissant une violation de données pourrait être déplacée au Niveau 1.

Exigences PCI pour les petites entreprises

Étant donné que la plupart des petites entreprises appartiennent à la catégorie Niveau 4, c'est ce niveau que nous allons examiner de plus près.

La conformité de Niveau 4 nécessite trois choses :

  • Compléter un questionnaire d'auto-évaluation (SAQ)
  • Faire réaliser des analyses trimestrielles du réseau par un fournisseur de scanning approuvé (ASV)
  • Compléter une attestation de conformité (AoC)

Contrairement aux commerçants des niveaux supérieurs, les commerçants du Niveau 4 n'ont pas besoin d'un rapport annuel de conformité (ROC) par un évaluateur de services qualifié (QSA), également connu sous le nom d'évaluation sur site de Niveau 1.

Le guide ultime de la norme PCI DSS

Découvrez tout ce que vous devez savoir sur les exigences, le processus et les coûts de l'obtention de la certification PCI.

Comment une petite entreprise devient-elle conforme PCI ?

Devenir conforme PCI peut être un processus compliqué. Mais comprendre ce qui est requis peut vous aider à élaborer un plan de jeu et à rendre le processus plus fluide.

1. Déterminez à quel niveau de conformité PCI vous appartenez

Tout d'abord, vous devez déterminer le niveau de conformité PCI de votre entreprise. Bien que la plupart des petites entreprises appartiennent à la catégorie Niveau 4, cela vaut la peine de vérifier.

Si vous ne savez pas à quel niveau appartient votre entreprise, vos rapports de point de vente (POS) peuvent montrer vos données de transaction détaillées.

2. Remplir un questionnaire d'auto-évaluation (SAQ)

Les petites entreprises de la catégorie Niveau 4 devront remplir un questionnaire d'auto-évaluation (SAQ) pour déterminer si votre entreprise respecte les exigences de conformité PCI DSS.

Il existe huit types de SAQ en fonction de vos processus de paiement et de transaction :

  • SAQ A
  • SAQ A-EP
  • SAQ B
  • SAQ B-IP
  • SAQ C
  • SAQ C-VT
  • SAQ P2PE
  • SAQ D pour les commerçants et les prestataires de services

La catégorie dans laquelle vous vous trouvez dépendra de la méthode que vous utilisez pour les transactions, de la conservation ou non de données de titulaires de carte, et du type de commerce que vous êtes.

Par exemple, si vous utilisez uniquement des machines à empreinte pour traiter les transactions par carte, vous appartiendriez à la catégorie SAQ B. Si vous traitez des transactions sans présence de carte (commandes se faisant à distance) et redirigez vers une plateforme tierce pour le traitement des paiements, vous appartiendriez à la catégorie SAQ A-EP.

Une fois que vous avez déterminé quel SAQ s'applique à votre entreprise, vous pouvez commencer à remplir le questionnaire. Un SAQ comprend une série de questions oui/non et inclut :

  • Un questionnaire de base sur l’entreprise
  • Une deuxième section avec des questions sur chaque exigence et sous-exigence PCI

Lecture recommandée

PCI SAQs : Quel questionnaire d’auto-évaluation convient à votre entreprise ?

3. Effectuer des analyses trimestrielles de vulnérabilité du réseau

L'étape suivante consiste à effectuer une analyse trimestrielle de la vulnérabilité du réseau. Ces analyses internes et externes identifient les vulnérabilités de votre site web et de votre système de traitement des paiements pour identifier de manière proactive les logiciels malveillants et les virus.

Les analyses doivent être effectuées par un fournisseur de services d’analyse agréé (ASV) certifié par le PCI SSC. Vous pouvez trouver un ASV via l'annuaire officiel du PCI.

4. Compléter une Attestation de Conformité (AoC)

Une Attestation de Conformité (AoC) est une déclaration de conformité PCI d'une organisation. Ce document doit être complété par un Évaluateur de Sécurité Qualifié (QSA) et montre que votre organisation a complété le SAQ approprié.

5. Soumettre la documentation de conformité PCI

Rassemblez tous vos documents, y compris un SAQ complété, une AoC et la preuve des analyses trimestrielles externes réussies réalisées par un ASV.

Vous soumettrez ces documents au conseil PCI DSS soit électroniquement, soit par courrier.

Comment développer une mentalité orientée conformité dans votre entreprise

Au-delà des exigences, il y a des pratiques quotidiennes que votre entreprise peut mettre en place lorsque vous commencez le processus de conformité PCI.

Voici quelques idées :

  • Demandez toujours un code CVV lors des paiements par téléphone.
  • Évitez de conserver les données des titulaires de carte.
  • Rappelez aux clients qu'ils ne doivent jamais envoyer de numéro de carte de crédit ou de compte bancaire par e-mail ordinaire. Cela peut être inclus dans le pied de page des e-mails ou sur votre site web.
  • Formez les employés à la protection des données des titulaires de carte.
  • Maintenez les logiciels à jour.

Comment Secureframe peut aider à simplifier la conformité PCI DSS

La conformité PCI peut être compliquée, mais vous n'avez pas à le faire seul.

Secureframe peut simplifier l'ensemble du processus d'évaluation en collectant des preuves et en respectant les plus de 300 exigences de contrôle du PCI.

Nous pouvons également vous aider à rester conforme avec la collecte automatique de preuves à partir de plus de 100 intégrations afin que vous puissiez vous concentrer sur la gestion de votre entreprise. Pour en savoir plus, demandez une démonstration avec l'un de nos experts en conformité.

La conformité PCI n'est qu'une des principales préoccupations des entreprises de commerce électronique aujourd'hui.

Des normes et réglementations uniques aux préoccupations croissantes en matière de cybersécurité, les entreprises de commerce électronique sont confrontées à une grande variété de préoccupations qui diffèrent de celles des magasins physiques.

Nous couvrons ci-dessous les principales préoccupations auxquelles sont confrontées les entreprises de commerce électronique en 2022 dans l'espoir que cela puisse informer et protéger votre entreprise.