Conformité au PCI DSS : Les 3 conseils de notre expert PCI DSS
En bref, les 3 conseils d’expert pour se lancer dans la conformité au PCI DSS
Définissez vos objectifs : S’agit-il d’établir la confiance avec votre banque, vos partenaires, et vos clients ? Ou plutôt de compléter votre mise en place du RGPD ? Ou encore de suivre les bonnes pratiques de sécurité informatique du standard reconnues par l’ensemble du marché ?
Choisissez votre stratégie : Définissez votre périmètre de certification en fonction de vos besoins métier et de votre environnement. Préférez-vous vous appuyer sur un fournisseur de services ? Vous auto-évaluer ? Faire appel à des experts pour gérer votre mise en conformité ?
Si vous n’avez pas besoin de traiter ou de stocker des données de cartes bancaires, ne le faites pas !
Faîtes vous accompagner : Pour gagner du temps dans votre auto-évaluation ou pour choisir votre type de SAQ1, faites le choix de la simplicité face à ce standard complexe et entourez-vous d’experts.
Stéphane Marcault, expert sécurité et auditeur PCI QSA répond à nos questions et explique comment fonctionne Evidence, l’application française d’auto-évaluation au PCI DSS.
La carte bancaire est le moyen de paiement le plus largement utilisé par les e-commerçants et pour les ventes dématérialisées. Mais le paiement et les données de cartes bancaires sont un domaine qui est soumis à énormément de menaces. Le PCI DSS est un standard mondial de sécurité des données liées aux cartes de paiement, créé et reconnu par les opérateurs des cartes bancaires. C’est pourquoi PCI DSS s’impose aux entreprises qui enregistrent des transactions. Son respect permet d’établir la confiance avec sa banque, ses partenaires, et les clients qui paient en ligne.
En effet… et d’ailleurs la démarche de certification est rarement volontaire ! C’est souvent à la demande des banques et des fournisseurs de services, ou par la crainte du RGPD que la plateforme de paiement par CB adoptée par le marchand doit satisfaire aux exigences de conformité PCI DSS. C’est pourquoi certains marchands adoptent la stratégie de passer par des fournisseurs de services certifiés, sur lesquels ils déportent la responsabilité de la cinématique de paiement. D’autres stratégies peuvent également être adoptées, comme ne pas aller vers la certification… Néanmoins, si l’entreprise veut gérer les paiements, il lui est fortement conseillé d’adhérer au standard PCI DSS.
La mise en conformité peut être segmenté ainsi : ⅓ de documentation, ⅓ de procédure et un ⅓ de moyens sécurité. Si vous n’avez pas toutes les compétences et ressources en interne, c’est intéressant de faire appel à un expert.
C’est une démarche qui demande de comprendre l’activité et le métier de l’entreprise afin de définir le périmètre de la certification, mais également d’identifier quels sont les flux de cartes bancaires et par où ils passent. Cette étape préliminaire permet ainsi d’inventorier les équipements, les composants réseaux, etc pour définir un périmètre d'application du standard. Avec cette analyse de l’environnement, l’entreprise va définir une stratégie de certification.
En fonction de la stratégie déterminée, l’entreprise devra répondre à un ensemble d’exigences présentes dans le questionnaire SAQ. Pour être conforme à ces exigences (et donc répondre oui à toutes les exigences du SAQ), l’entreprise devra mettre en œuvre un ensemble d’actions.
En effet ! Evidence est une application en ligne en 3 étapes. La première est de déterminer son type de SAQ. La deuxième de remplir le SAQ et enfin de l’envoyer à sa banque. Nous proposons un parcours simple et didactique adapté à des profils métiers.
Le marchand est accompagné de manière autonome vers la définition des certifications à mettre en œuvre et du périmètre à certifier. Par exemple, Evidence conseille sur la réduction éventuelle du périmètre et des composants des exigences pour simplifier la mise en conformité. La réduction d’un flux de transaction de cartes bancaires, de son traitement et du transit, doit permettre d’optimiser des flux sous le contrôle de la certification, et de ne pas contaminer les autres applications. Au commerçant de s’assurer de la liste des utilisateurs sur les webshops, qu’il n’y a pas de comptes génériques mais des comptes nominatifs, et d’être capable d’appliquer les exigences sur l’ensemble du périmètre défini.
Evidence aide à l’auto-évaluation PCI DSS, garantit la compréhension et la mise à niveau du client, la simplification du processus, mais pas le déport de responsabilité en cas de compromission.
Pour les cas qui sortent des cases SAQ, nous proposons un accompagnement. Passer par un cabinet de conseil, à la différence de l’auto-évaluation SAQ, permet la délivrance d’une attestation signée par un cabinet QSA2 ce qui assure un déport de responsabilité et de la conformité avec les partenaires et les banques.
1 Un SAQ est un questionnaire d’auto-certification défini par le PCI SSC donnant la possibilité aux marchands de niveau 2, 3 et 4 de se certifier PCI DSS. Il existe 8 types de SAQ, ils sont attribués en fonction de la méthode d'intégration des paiements
2 Un QSA est une personne ou une société autorisée par le PCI SSC à valider l'adhésion d'une organisation aux exigences du PCI DSS