• blogangle-right
  • Qui doit respecter la conformité PCI ?

Table of Contents

Qui doit respecter la conformité PCI ?

  • June 30, 2022

En 2019, il y a eu 39,6 milliards de transactions par carte rien qu'aux États-Unis, et plus de 80 % des consommateurs préfèrent payer par carte plutôt qu'en espèces.

Cette augmentation des transactions par carte a conduit à l'introduction de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Cette norme vise à protéger les informations des cartes et à prévenir les utilisations non autorisées.

Si vous vous êtes déjà demandé, « qui doit respecter la conformité PCI ? », la réponse est toute entreprise qui accepte les paiements par carte de débit ou de crédit — tout comme les entreprises participant aux 39,6 milliards de transactions mentionnées ci-dessus.

Bien que cette explication semble simple, il y a beaucoup plus à la conformité PCI qu'il n'y paraît.

Ci-dessous, nous expliquons quand la conformité PCI est requise, exactement à quels types d'entreprises elle s'applique, et ce qui se passe si vous n'êtes pas conforme.

Rappel rapide : Qu'est-ce que la conformité PCI DSS ?

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est imposée par les sociétés de cartes de crédit pour sécuriser les données des titulaires de carte. La norme fournit des directives pour stocker, transmettre et traiter les paiements par carte de manière sécurisée.

Ces directives de sécurité sont détaillées dans les 12 exigences PCI DSS. Chaque exigence doit être remplie pour atteindre la conformité PCI.

Les 12 exigences PCI DSS :

  1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de carte.
  2. Ne pas utiliser les mots de passe et autres paramètres de sécurité par défaut fournis par les fournisseurs.
  3. Protéger les données des titulaires de carte stockées.
  4. Crypter la transmission des données des titulaires de carte sur les réseaux ouverts et publics.
  5. Utiliser et mettre régulièrement à jour les logiciels ou programmes antivirus.
  6. Développer et maintenir des systèmes et applications sécurisés.
  7. Restreindre l'accès aux données des titulaires de carte selon le besoin de l’entreprise.
  8. Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur.
  9. Restreindre l'accès physique aux données des titulaires de carte.
  10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte.
  11. Tester régulièrement les systèmes et processus de sécurité.
  12. Maintenir une politique qui aborde la sécurité de l'information pour tout le personnel.

Lectures recommandées

Comment devenir conforme à la norme PCI

La conformité PCI est-elle requise ?

Oui. La conformité PCI est requise pour toute entreprise qui traite, stocke ou transmet des données de titulaires de carte — indépendamment de la taille et de l'ampleur de votre entreprise.

Une petite entreprise qui traite 100 transactions par carte par an doit se conformer au PCI DSS, tout comme une entreprise de niveau entreprise qui traite 1 million de transactions.

Cependant, la conformité PCI pour une petite entreprise sera un peu différente de celle d'une organisation de niveau entreprise. Nous aborderons ces différences ci-dessous.

À qui s'applique PCI DSS ?

PCI DSS s'applique à toute organisation qui accepte, traite, stocke ou transmet des données de détenteurs de cartes. La norme s'applique également à toute organisation qui impacte la gestion, le stockage ou la transmission de ces données.

En termes simples, PCI DSS s'applique à toute entreprise qui accepte les paiements par carte de crédit et de débit.

La norme PCI DSS divise les entreprises en deux grandes catégories : les commerçants et les prestataires de services. Nous discutons des différences entre les deux ci-dessous.

PCI DSS pour les commerçants

Un commerçant est toute entreprise qui accepte des paiements avec une carte portant le logo de l'une des cinq principales sociétés de cartes de crédit : American Express, Visa, Mastercard, Discover et JCB.

Les étapes de la conformité à PCI DSS varieront en fonction du quatre niveaux de conformité PCI auquel votre entreprise appartient. Ces niveaux sont déterminés par le nombre de transactions par carte que votre entreprise gère en une année donnée.

Voici une répartition des niveaux de conformité des commerçants :

  • Niveau 1 : Commerçants traitant plus de 6 millions de transactions par carte par an
  • Niveau 2 : Commerçants traitant entre 1 million et 6 millions de transactions par an
  • Niveau 3 : Commerçants traitant entre 20 000 et 1 million de transactions par an
  • Niveau 4 : Commerçants traitant moins de 20 000 transactions par an

PCI DSS pour les prestataires de services

Un prestataire de services est directement impliqué dans le traitement, le stockage ou la transmission des données des détenteurs de cartes pour le compte d'un commerçant.

Une entreprise qui fournit des services contrôlant ou pouvant impacter la sécurité des données des détenteurs de cartes est également considérée comme un prestataire de services.

Voici des exemples courants de prestataires de services :

  • Processeurs de paiement
  • Fournisseurs de points de vente gérés (POS)
  • Processeurs de transactions
  • Passerelles de paiement
  • Sociétés d'hébergement web
  • Firme de marketing tierces
  • Fournisseurs qui effectuent la maintenance des POS
  • Fournisseurs offrant des solutions de pare-feu réseau géré

Il existe deux niveaux de conformité pour les prestataires de services, déterminés par le nombre de transactions qu'ils stockent, traitent ou transmettent.

  • Niveau 1 : Prestataires de services stockant, traitant ou transmettant plus de 300 000 transactions par carte de crédit par an
  • Niveau 2 : Prestataires de services stockant, traitant ou transmettant moins de 300 000 transactions par carte de crédit par an

Votre niveau de prestataire de services dicte les exigences de reporting nécessaires pour prouver la conformité. Par exemple, un prestataire de services de niveau 1 subit des audits annuels effectués par un QSA pour prouver sa conformité, tandis qu'un prestataire de services de niveau 2 complète un SAQ D annuel.

Que se passe-t-il si vous n'êtes pas conforme au PCI ?

Il existe quelques conséquences pour les entreprises qui ne respectent pas le PCI DSS.

Le plus notable est que vous pourriez perdre la capacité d'accepter les paiements par carte. Votre acquéreur (c'est-à-dire votre banque acquéreuse) pourrait choisir de mettre fin à votre relation, vous laissant dans l'incapacité d'accepter les paiements par carte.

Les entreprises peuvent également faire face à des amendes pour non-conformité et une augmentation des frais de transaction.

Une autre conséquence potentielle de la non-conformité est une violation des données. Puisque PCI DSS exige que les entreprises maintiennent des contrôles de sécurité pour garder les données des détenteurs de cartes en sécurité, la non-conformité pourrait signifier que ces données sont vulnérables à une violation.

Si votre entreprise subit une violation des données des détenteurs de cartes, vous pourriez être tenu de suivre les exigences de validation d'un niveau de conformité supérieur. Par exemple, si une entreprise de niveau 4 subit une violation de données, elle pourrait être tenue de suivre les étapes de reporting d'un commerçant de niveau 1, ce qui est un processus beaucoup plus strict.

Lectures recommandées

Pourquoi la conformité PCI est-elle importante ?

Comment Secureframe peut vous aider à atteindre la conformité PCI

Devenir conforme au PCI n'est pas une tâche facile.

Notre équipe peut vous aider à naviguer parmi les plus de 300 contrôles de sécurité et les 12 exigences pour atteindre et maintenir la conformité PCI, et ainsi alléger une partie de la charge de conformité des épaules de votre équipe.

Demandez une démo pour en savoir plus dès aujourd'hui.