Que votre entreprise traite 10 transactions par carte par an ou 10 millions, vous êtes tenu de vous conformer au PCI DSS.

Plus vous traitez de transactions par carte, plus le risque de violations de données et d'incidents de sécurité est élevé. Pour aider à remédier à cela, la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) catégorise les entreprises en niveaux de conformité PCI.

Comprendre à quel niveau de conformité votre entreprise appartient est une première étape cruciale dans votre parcours de conformité PCI. Votre niveau dictera vos exigences de reporting et servira de feuille de route pour la conformité.

Ci-dessous, nous décomposons les critères pour vous aider à déterminer votre niveau de conformité PCI.

Commerçant PCI vs. prestataire de services

Avant de déterminer votre niveau PCI DSS, vous devez identifier dans quelle catégorie se situe votre entreprise : commerçant ou prestataire de services.

Les commerçants sont des entreprises qui acceptent les paiements par carte de l'un des cinq membres du Conseil des normes de sécurité PCI (American Express, Discover, JCB, MasterCard ou Visa).

Les prestataires de services ne sont pas des marques de paiement par carte, mais peuvent être directement impliqués dans le traitement, le stockage et la transmission des données des titulaires de carte pour le compte d'un commerçant, impactant généralement la sécurité des données des titulaires de carte de leurs clients.

Les prestataires de services incluent également les entreprises qui fournissent des services pouvant affecter la sécurité des données des titulaires de carte. Des exemples de prestataires de services incluent les fournisseurs de services gérés qui offrent des pare-feu gérés et des fournisseurs d'hébergement.

Les marques de cartes de paiement divisent les commerçants et les prestataires de services en différents niveaux de reporting en fonction du nombre de transactions qu'ils traitent en une année donnée. Voyons les niveaux pour chaque groupe ci-dessous.

Niveaux de commerçant PCI

Pour les commerçants, il existe généralement quatre niveaux de conformité PCI DSS commençant par le niveau 4 et allant jusqu'au niveau 1.

• Niveau PCI 1 : Entreprises traitant plus de 6 millions de transactions par carte par an
• Niveau PCI 2 : Entreprises traitant de 1 million à 6 millions de transactions par carte par an
• Niveau PCI 3 : Entreprises traitant de 20 000 à 1 million de transactions par carte par an
• Niveau PCI 4 : Entreprises traitant moins de 20 000 transactions par carte par an

Chaque niveau de conformité PCI peut avoir un ensemble différent d'exigences de reporting, le niveau 4 nécessitant une auto-attestation et le niveau 1 nécessitant un audit par un tiers.

Niveau PCI 1

Les commerçants de niveau 1 traitent plus de 6 millions de transactions par carte par an. Ce niveau de conformité PCI est soumis aux exigences de reporting les plus strictes des quatre niveaux.

Plutôt que de remplir un questionnaire d'auto-évaluation (SAQ), les commerçants de niveau 1 doivent compléter un rapport annuel de conformité (RoC).

Pour remplir un RoC, une entreprise travaillera avec un Évaluateur de Sécurité Qualifié (QSA) tiers. Le QSA effectuera un audit rigoureux qui examinera si une entreprise a effectivement satisfait aux exigences PCI DSS et compilera ses conclusions dans un RoC. Ces audits doivent avoir lieu chaque année.

En plus du RoC, les marchands de niveau 1 doivent subir deux types de tests : des analyses de réseau trimestrielles et des tests de pénétration annuels.

Les audits de niveau 1 incluent également un formulaire d'Attestation de Conformité (AoC). Ce document indique que l'entreprise a respecté les exigences de la norme PCI DSS et est signé par le QSA.

Il est également très important de noter que tout marchand ayant subi une violation de données ayant entraîné la compromission des données des titulaires de carte peut être placé au niveau 1 par ses banques acquéreuses ou les parties requérantes.

Niveau PCI 2

Les marchands de niveau 2 traitent de 1 à 6 millions de transactions par carte par an. Ces marchands ne sont pas tenus de subir un audit annuel de conformité mené par un QSA. Au lieu de cela, ils rempliront un SAQ. Il est possible que vous deviez faire attester un SAQ par une société de QSA tiers au niveau PCI 2.

Un SAQ contient une série de questions autoguidées qui évaluent votre conformité PCI. Il existe huit types de SAQ, et celui que vous remplissez dépend si vous êtes un fournisseur de services ou un marchand et du type de marchand que vous êtes.

Par exemple, un marchand de commerce électronique qui traite des transactions sans carte et utilise un tiers pour rediriger l'ingestion des données du titulaire de la carte remplirait un SAQ A. Un marchand de commerce électronique qui collecte les données des titulaires de carte via son application gérée et transmet ces données à un tiers remplirait un SAQ A-EP.

Le nombre de questions varie selon le type de SAQ. Le SAQ A est le plus court avec 24 questions, tandis que le SAQ D contient 328 questions.

Niveau PCI 3

Les marchands de niveau 3 traitent de 20 000 à 1 million de transactions par an. Les marchands de ce niveau doivent remplir un SAQ pour leur entreprise, y compris les exigences applicables en matière de balayage ASV et de test de pénétration.

Ils doivent également effectuer des analyses trimestrielles par un ASV et remplir un AoC.

Niveau PCI 4

Les marchands de niveau 4 traitent moins de 20 000 transactions par an et ont les exigences de déclaration les moins strictes de tous les quatre niveaux de conformité. Les petites entreprises tombent souvent dans cette catégorie de conformité et ne nécessitent qu'un SAQ comprenant les exigences applicables en matière de balayage ASV et de test de pénétration.

Niveaux de fournisseurs de services

Comme les marchands, les fournisseurs de services sont également répartis en niveaux de conformité en fonction du nombre de transactions de données de titulaires de carte qu'ils traitent ou des exigences de leurs clients.

Niveau 1

Les fournisseurs de services de niveau 1 stockent, traitent, transmettent ou impactent plus de 300 000 transactions par carte par an.

Tout comme un marchand de niveau 1, les fournisseurs de services de niveau 1 doivent subir un audit annuel dirigé par un QSA. Une fois l'audit terminé, le QSA émettra un RoC.

Les fournisseurs de services de niveau 1 doivent également effectuer des tests de pénétration annuels, des analyses de réseau trimestrielles par un ASV et compléter un formulaire AoC.

Niveau 2

Les fournisseurs de services de niveau 2 stockent, traitent, transmettent ou impactent moins de 300 000 transactions par carte par an.

Ce niveau doit remplir un SAQ D pour les fournisseurs de services et un formulaire AoC pour prouver la conformité PCI. Il est possible à ce niveau que les clients exigent que le SAQ soit attesté par un QSA. Les fournisseurs de services de niveau 2 doivent également effectuer des tests de pénétration annuels et effectuer des analyses trimestrielles du réseau par un ASV.

Comment déterminer votre niveau de conformité PCI DSS

Vous pouvez déterminer votre niveau de conformité PCI DSS en vérifiant votre volume de transactions par carte pour la période des 52 semaines les plus récentes et en communiquant avec votre banque acquéreuse ou vos clients concernant leurs exigences PCI pour votre entreprise.

Les marques de paiement par carte ont chacune leurs propres critères standard pour les niveaux de conformité, mais tous sont généralement similaires aux seuils ci-dessus.

Si vous avez du mal à accéder aux informations sur votre volume de transactions ou si vous souhaitez obtenir une confirmation de votre niveau de conformité, vous pouvez contacter les marques de paiement par carte que vous acceptez, votre banque acquéreuse, vos clients ou toute autre organisation qui demande la conformité PCI DSS à votre entreprise.