Afin d’assurer la sécurité des paiements par carte lors d’achats sur des sites e-commerce, il est crucial que les solutions de paiement implémentent et maintiennent des normes de sécurité très strictes. En effet, le traitement et la sécurisation des opérations par carte est un sujet très sensible, toute vulnérabilité pouvant être exploitée par des cybercriminels.
La conformité à la norme PCI-DSS permet de lutter contre les vulnérabilités et permet de protéger les données des porteurs de carte.
Depuis 2016, PayPlug est PCI-DSS (actuellement 3.2), cette certification est renouvelée tous les ans. PayPlug est également présent dans le listing publié par Visa Europe chaque année et dont la dernière version est disponible ici.
Le ROC (report of compliance) est également mis à disposition des banques et acquéreurs qui le demandent.
Qu'est-ce que la certification PCI-DSS ?
La certification PCI-DSS constitue un ensemble d’exigences concernant des procédures et aspects techniques et opérationnels. Le but de cette norme est de protéger les données de carte bancaire et toute autre information sensible devant être traitée, transmise ou sauvegardée. Nous pouvons notamment citer les institutions financières et leurs besoins en terme d'infrastructure et de logiciels informatiques.
Ces exigences sont établies par le conseil des normes de sécurité PCI dont les parties prenantes sont les membres fondateurs : American Express, Discover, JCB, MasterCard, Visa.
Le conseil a pour objectif, de diffuser, développer et améliorer les normes de sécurité existantes dans le secteur des paiements par carte.
Les procédures et points de contrôle requis par la norme PCI-DSS sont indispensables afin d’assurer la protection des paiements sur les sites e-commerce, notamment le numéro de carte, la date d’expiration, le nom du porteur et le code de sécurité (CVV).
Les thèmes principaux de la norme PCI-DSS sont les suivants :
- Concevoir et maintenir un réseau et une infrastructure sécurisée : la mise en place de mesures de sécurité concernant les réseaux permet d’empêcher les cybercriminels de pénétrer l’infrastructure de la solution de paiement et d’accéder à des données sensibles.
- Mettre en place un programme de gestion des vulnérabilités : la procédure de gestion des vulnérabilités vise à rechercher en permanence des failles de sécurité dans l’infrastructure réseau et serveurs. Cela inclut le matériel, les logiciels, processus et normes mises en place.
- Implémentation de fortes mesures de contrôle d’accès.
- Maintenir une politique d’information sur la sécurité.
Nous présentons ci-dessous une description des 12 exigences de la norme PCI-DSS :
| Liste des exigences | Définition de l'exigence |
| 1 : Installer et maintenir un pare-feu | “Les données relatives aux paiements par carte circulent via des réseaux informatiques. Un pare-feu (firewall) est un logiciel et/ou un matériel permettant de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communications autorisées sur le réseau informatique”. Les pare feux peuvent être impliqués dans toutes les composantes du réseau. |
| 2 : Ne pas utiliser les configurations ou mots de passe par défaut des fabricants ou prestataires | Le moyen le plus simple de hacker un réseau est souvent de retrouver les configuration et mots de passe par défaut après avoir, grâce à des outils spécifiques, retrouvé le type de matériel et les serveurs utilisés. Il est donc primordial de modifier et sécuriser tous les mots de passe et configurations existantes. |
| 3 : Protéger les données de carte Les données de carte ne doivent pas être sauvegardées. | Le numéro de carte doit notamment être rendu illisible ou partiellement masqué via l’utilisation du “masque de carte” (six premiers chiffres et quatre derniers). |
| 4 : Chiffrer la transmission des données de carte à travers les réseaux | La technologie du chiffrement est requise afin que les données de carte ne puissent en aucun cas être lisibles par des cybercriminels. |
| 5 : Protéger les systèmes contre les malwares et les virus grâce à une mise à jour permanente des logiciels | L’utilisation de ce type de logiciels sur toutes les machines de la solution de paiement est indispensable afin d’éviter l’intrusion de malwares ou l’infection des ordinateurs et serveurs par des virus. |
| 6 : Développer et maintenir la sécurité de l’infrastructure et des applications | Les failles de sécurité dans une infrastructure et les applications associées sont des portes d’entrée pour les cybercriminels. Pour pallier cette menace, les mise à jour logiciels et l’application de patchs de sécurité est un impératif. |
| 7 : Restreindre l’accès aux données du porteur de carte | Des procédures doivent notamment être mises en place afin que chaque strate opérationnelle au sein de la solution de paiement ait accès uniquement aux seules informations nécessaires à la réalisation des tâches. |
| 8 : Identifier et authentifier l’accès aux composantes de l'infrastructure | L’assignation d’un identifiant unique à chaque intervenant de l’organisation et de la chaîne de paiement assure que toute action effectuée sur des données sensibles peut être suivie et identifée. Cela concerne le personnel membre de la solution de paiement et les comptes marchands. |
| 9 : Restreindre l’accès physique aux porteurs de carte | Tout accès physique aux systèmes hébergeant les données de cartes doit être restreint autant que possible. |
| 10 : Identifier et monitorer l’accès au réseau des porteurs de carte | La faculté d’identifier et monitorer l’accès au réseau est cruciale dans la lutte contre la cybercriminalité. La présence de journaux d’erreur permet notamment d'effectuer des investigations dans le cas où des données seraient compromises. |
| 11 : Tester régulièrement les systèmes et processus | Toutes les composantes et procédures mises en place par la solution de paiement doivent être continuellement testés et monitorés afin de s’assurer que les mesures de sécurité sont en permanence appliquées avec la plus grande rigueur. En effet, les failles de sécuritées peuvent être découvertes à tout moment par les éditeurs de logiciels et fabricants. |
| 12 : Maintenir pour tout le personnel une politique informative et formatrice sur la sécurité | Une forte politique de sécurité doit être appliquée a sein de la solution de paiement. Chaque employé doit avoir connaissance de ses devoirs et responsabilités vis à vis des données de cartes et sur la façon de les protéger. |
En tant que e-marchand, la certification PCI-DSS est-elle obligatoire ?
La certification PCI-DSS s’applique à tous les acteurs du e-commerce devant stocker, traiter ou transmettre les données de carte bancaire, indépendamment de la taille de l’entreprise. Tous les e-commerçants doivent donc être conformes à PCI-DSS. Ce besoin de conformité s’applique à tous les canaux de distribution : téléphone, correspondance, vente à distance terminaux de paiements physiques ou virtuels. Il appartient au marchand de prouver qu’il est en conformité avec la norme PCI-DSS
PayPlug peut-il exiger de ses marchands de démontrer leur certification PCI-DSS ?
Pour le moment nous demandons seulement à nos marchands utilisant le payplugjs de prouver qu’ils sont PCI-DSS. Il est nécessaire pour cela de remplir un questionnaire d’auto-évaluation.
Il convient par ailleurs de noter qu’en France, le standard PCI DSS n’est pas une obligation légale, mais est imposé contractuellement par les principaux acteurs du marché : Visa et MasterCard. Une société non conforme à PCI DSS s’expose ainsi à des pénalités financières, qu’elles soient imposées directement par les réseaux, ou par un partenaire de la chaîne de paiement.
Comment obtenir la certification PCI- DSS ?
Vous devez remplir le questionnaire d’évaluation A-EP disponible sur la page suivante :
https://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/minisite/en/docs/PCI_DSS_v3-2_fr-FR.pdf
Une fois que le questionnaire et l’attestation de conformité ont été remplis et signés par le e-marchand, celui-ci doit le remettre à l’établissement de paiement avec lequel il travaille.
Combien de temps faut-il pour être certifié PCI-DSS ?
La durée du processus varie selon le type d’entreprise. Par exemple, pour un petit commerçant, il suffit en général de 15 à 30 minutes pour remplir le formulaire, en supposant qu’il n’y’ait aucun problème de conformité.
Est ce que le fait de disposer d’un site en HTTPS suffit à respecter la certification PCI-DSS ?
Non. Bien qu’étant un élément essentiel de la sécurisation de votre site, les certificats SSL ne protègent pas le site web d’attaques ou intrusions. Le respect de la norme PCI DSS permet de garantir que des mesures supplémentaires sont prises afin de sécuriser le traitement des données de carte bancaire.
Nous vous recommandons notamment la lecture des articles suivants :