PCI DSS : Comment déterminer son SAQ et comment se mettre en conformité ?
Pour être en conformité avec le PCI DSS (Payment Card Industry Data Security Standard), l’entreprise doit mettre en application le standard et prendre les mesures appropriées pour protéger les données des titulaires de cartes bancaires contre le vol (par une personne externe ou interne à l’entreprise) et leur utilisation frauduleuse.
Avant toute chose, l’entreprise qui souhaite ou doit se mettre en conformité PCI DSS doit accepter d’assumer la responsabilité de la sécurité des données de ses clients. La démarche est volontaire, même si le marché ou ses partenaires la lui imposent, et elle repose sur la confiance.
Elle doit comprendre comment fonctionne le processus de traitement des données de ses clients, qui deviennent critiques. L’entreprise doit accepter d’intervenir sur ce processus pour construire, maintenir et protéger un réseau sécurisé avec les mécanismes de contrôle et de sécurité, afin de protéger ces données.
La conformité PCI DSS repose sur une lourde documentation officielle de plus de 139 pages, publiée par le Conseil PCI, ainsi que sur le respect d’environ 250 contrôles de sécurité PCI DSS. C’est ce que nous allons évoquer ici.
Pour en savoir plus sur l’origine du PCI DSS, découvrez l’article Qu’est-ce que le PCI DSS et pourquoi se conformer à ce standard de sécurité de paiement ?
Le conseil du standard a adapté les exigences de PCI DSS à la diversité des organisations face au traitement des paiements par cartes bancaires. Cette adaptation s’exprime en 4 niveaux qui prennent en compte le volume des transactions sur 12 mois. Le conseil définit ces niveaux de conformité à titre indicatif, cependant ce sont les banques d’acquisition qui l’indiquent contractuellement aux marchands. Pour l’évaluation du niveau de conformité, deux types d’entreprises sont à distinguer : les entreprises de type “marchand” et les entreprises de type “fournisseur de services”.
Ce premier niveau concerne les marchands qui par an traitent plus de 6 millions de transactions Visa ou MasterCard, ou plus de 2,5 millions de transactions American Express. Les organismes émetteurs de cartes sont considérés “Niveau 1”. Sont également concernées les entreprises qui ont subi une atteinte à la sécurité des données.
Pour les fournisseurs de services, le “Niveau 1” est requis à partir de 300 000 transactions.
Les entreprises de ce niveau sont invitées à produire :
Les entreprises qui relèvent de ces trois niveaux (inférieur à 6 millions de transactions pour les marchands ou 300 000 pour les fournisseurs de services) sont invitées à répondre à des questionnaires d’auto-évaluation sur le PCI DSS, qui diffèrent selon la méthode d’intégration des paiements. 8 questionnaires d’auto-évaluation sur le mode questionnaire SAQ (“oui” ou “non”) sont disponibles.
Pour répondre au besoin des entreprises de niveau 2/3/4, Evidence propose une application d’auto-évaluation en ligne. Simple et didactique, les entreprises s’auto-évaluent en 3 étapes. La première pour déterminer son type de SAQ, la deuxième pour remplir son SAQ et la troisième pour télécharger et l’envoyer à sa banque.
Les 250 (environ) contrôles de sécurité, pour le respect du PCI DSS décrits dans la documentation du Conseil PCI, ont été subdivisés en 12 exigences. Chaque entreprise, commerçant ou fournisseur de services, doit s'y plier pour être en conformité.
Pour les entreprises qui ont fait le choix de collecter et transmettre des données de cartes bancaires de leurs clients, la conformité complète au PCI DSS s’impose. Pour toutes celles qui n'en ont pas le besoin et passent par un prestataire certifié, le nombre de contrôles applicables se trouve réduit.
L’entreprise doit collecter et transmettre les données sensibles des cartes bancaires de ses clients en toute sécurité. Ce qui repose sur la mise en place et la maintenance de systèmes de sécurité qui devront satisfaire jusqu’à 250 contrôles.
Le processus de sauvegarde s’inscrit dans les exigences de sécurité du PCI DSS, dont le chiffrement, le contrôle en continu et les tests de sécurité de l’accès aux données.
Un formulaire de validation PCI DSS doit être complété chaque année. Il est considéré comme le support de la démonstration de la conformité PCI DSS. Néanmoins, cela impose de maintenir les contrôles et le niveau de sécurité tout au long de l’année.
Comme vous avez pu le constater, ces exigences sont pour la plupart assez simples et relèvent du bon sens. Leur mise en application se révèle cependant plus complexe. L’entreprise pourra avantageusement, si elle le souhaite, se faire accompagner pour piloter et suivre un projet de mise en conformité PCI DSS.
Pour en savoir plus, découvrez notre article : Conformité au PCI DSS : Les 3 conseils de notre expert PCI DSS