Regulation
PCI DSS
La norme de sécurité des données de l'industrie des cartes de paiement, le cadre imposé par le système pour le traitement des données des titulaires de cartes.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un cadre mondialement obligatoire établi par les principaux systèmes de cartes — Visa, Mastercard, American Express, Discover et JCB — pour sécuriser les environnements de données des titulaires de cartes. Elle s'applique à toute entité qui stocke, traite ou transmet des numéros de compte principaux (PAN), exigeant le respect de douze exigences techniques et opérationnelles de base couvrant la sécurité du réseau, les contrôles d'accès et le chiffrement. Les niveaux de conformité sont déterminés par le volume annuel de transactions, allant du niveau 4 pour les petits commerçants au niveau 1 pour ceux qui traitent plus de 6 millions de transactions. La plupart des commerçants cherchent à réduire leur charge de conformité grâce à des techniques de réduction de portée, telles que l'utilisation de pages de paiement hébergées ou d'intégrations iframe fournies par un acquéreur ou un PSP. Cela garantit que les données sensibles ne restent pas sur l'infrastructure du commerçant, ce qui leur permet généralement de valider la sécurité via un questionnaire d'auto-évaluation (SAQ) simplifié plutôt qu'un audit complet d'un évaluateur de sécurité qualifié (QSA).
Questions posées fréquemment
Quelles sont les conséquences de la non-conformité à la norme PCI DSS ?
Le non-respect peut entraîner d'importantes amendes mensuelles de la part des systèmes de cartes, souvent répercutées par l'acquéreur. En cas de violation de données, les entités non conformes peuvent être confrontées à des frais de transaction accrus, à des responsabilités légales et à la révocation potentielle de leur compte commerçant (MID).
Comment la version 4.0 modifie-t-elle le paysage de la conformité pour les commerçants ?
La norme PCI DSS v4.0 introduit des exigences plus strictes concernant l'authentification multifacteur (MFA) et des tests plus fréquents des contrôles de sécurité. Elle s'oriente également vers une approche basée sur les risques, offrant aux organisations plus de flexibilité dans la manière dont elles démontrent qu'elles ont atteint des objectifs de sécurité spécifiques grâce à une approche de validation personnalisée.
Termes associés
Remplacement des données de carte sensibles par une valeur de remplacement non sensible qui peut être stockée et réutilisée sans être soumise à la portée de la norme PCI.
Un stockage conforme à la norme PCI-DSS de vos identifiants de carte tokenisés qui permet à un commerçant de re-débiter une carte sans détenir le PAN.
Prêt à accélérer ?
Parlez-nous de votre activité. Nous vous mettrons en relation avec les bons partenaires acquéreurs et la bonne route, généralement en moins d'une semaine.
