PCI DSS : Comment déterminer son SAQ et comment se mettre en conformité ?

Les premières étapes pour se mettre en conformité avec le PCI DSS

Pour être en conformité avec le PCI DSS (Payment Card Industry Data Security Standard), l’entreprise doit mettre en application le standard et prendre les mesures appropriées pour protéger les données des titulaires de cartes bancaires contre le vol (par une personne externe ou interne à l’entreprise) et leur utilisation frauduleuse.

Avant toute chose, l’entreprise qui souhaite ou doit se mettre en conformité PCI DSS doit accepter d’assumer la responsabilité de la sécurité des données de ses clients. La démarche est volontaire, même si le marché ou ses partenaires la lui imposent, et elle repose sur la confiance.

Elle doit comprendre comment fonctionne le processus de traitement des données de ses clients, qui deviennent critiques. L’entreprise doit accepter d’intervenir sur ce processus pour construire, maintenir et protéger un réseau sécurisé avec les mécanismes de contrôle et de sécurité, afin de protéger ces données.

La conformité PCI DSS repose sur une lourde documentation officielle de plus de 139 pages, publiée par le Conseil PCI, ainsi que sur le respect d’environ 250 contrôles de sécurité PCI DSS. C’est ce que nous allons évoquer ici.

Pour en savoir plus sur l’origine du PCI DSS, découvrez l’article Qu’est-ce que le PCI DSS et pourquoi se conformer à ce standard de sécurité de paiement ?

Les 4 niveaux de la conformité, ou qui fait quoi ?

Le conseil du standard a adapté les exigences de PCI DSS à la diversité des organisations face au traitement des paiements par cartes bancaires. Cette adaptation s’exprime en 4 niveaux qui prennent en compte le volume des transactions sur 12 mois. Le conseil définit ces niveaux de conformité à titre indicatif, cependant ce sont les banques d’acquisition qui l’indiquent contractuellement aux marchands. Pour l’évaluation du niveau de conformité, deux types d’entreprises sont à distinguer : les entreprises de type “marchand” et les entreprises de type “fournisseur de services”.

Niveau 1 : Un accompagnement obligatoire par un tiers

Ce premier niveau concerne les marchands qui par an traitent plus de 6 millions de transactions Visa ou MasterCard, ou plus de 2,5 millions de transactions American Express. Les organismes émetteurs de cartes sont considérés “Niveau 1”. Sont également concernées les entreprises qui ont subi une atteinte à la sécurité des données.

Pour les fournisseurs de services, le “Niveau 1” est requis à partir de 300 000 transactions.

Les entreprises de ce niveau sont invitées à produire :

  • Une évaluation de niveau 1, un rapport et une attestation de conformité annuel (ROC et AOC) effectués par un auditeur qualifié en matière de sécurité (QSA) comme XMCO ou par un contrôleur de gestion si le rapport est signé par un dirigeant de la société ;
  • Une analyse trimestrielle du réseau par un fournisseur d'analyse approuvé (ASV) ;
Niveau 2, 3 et 4 : Le choix de l’auto-évaluation

Les entreprises qui relèvent de ces trois niveaux (inférieur à 6 millions de transactions pour les marchands ou 300 000 pour les fournisseurs de services) sont invitées à répondre à des questionnaires d’auto-évaluation sur le PCI DSS, qui diffèrent selon la méthode d’intégration des paiements. 8 questionnaires d’auto-évaluation sur le mode questionnaire SAQ (“oui” ou “non”) sont disponibles.

Pour répondre au besoin des entreprises de niveau 2/3/4, Evidence propose une application d’auto-évaluation en ligne. Simple et didactique, les entreprises s’auto-évaluent en 3 étapes. La première pour déterminer son type de SAQ, la deuxième pour remplir son SAQ et la troisième pour télécharger et l’envoyer à sa banque.

Les 12 exigences de conformité PCI DSS

Les 250 (environ) contrôles de sécurité, pour le respect du PCI DSS décrits dans la documentation du Conseil PCI, ont été subdivisés en 12 exigences. Chaque entreprise, commerçant ou fournisseur de services, doit s'y plier pour être en conformité.

  1. Installer, piloter et mettre à jour une configuration avec pare-feu pour protéger les données des titulaires de cartes bancaires.
  2. Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe des systèmes et les autres paramètres de sécurité.
  3. Protéger les données des titulaires de cartes, ne pas stocker les données critiques (contenu de la bande magnétique, numéro de vérification, numéro d’identification personnel), et chiffrer les données avant de les stocker.
  4. Chiffrer la transmission des données des titulaires de cartes sur les réseaux publics ouverts (Internet, Wi-Fi, cellulaire et satellite).
  5. Installer, utiliser et mettre régulièrement à jour les logiciels de gestion des vulnérabilités et les antivirus.
  6. Développer et maintenir des systèmes et des applications sécurisés, s’assurer de leur mise à jour.
  7. Contrôler les accès, restreindre l’accès aux données aux seules personnes autorisées.
  8. Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur, et conserver un historique de ces accès.
  9. Limiter et surveiller l’accès physique aux données des cartes bancaires, réglementer ces accès, détruire les supports qui ne sont plus actifs.
  10. Contrôler, tracer, surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes. Les contrôles doivent être journalisés via des pistes d’audit sécurisées afin de détecter et contenir les risques de violations de données. Et les journaux doivent être audités régulièrement.
  11. Tester régulièrement les systèmes et processus de sécurité via des tests d’intrusion menés chaque année et après toute modification importante sur le réseau.
  12. Maintenir une politique de sécurité des informations pour les employés et les prestataires. Instaurer un programme de sensibilisation et l’alimenter ou le reproduire régulièrement. Communiquer sur les nouveaux protocoles de sécurité.

Les 3 axes de la sécurité des données

Pour les entreprises qui ont fait le choix de collecter et transmettre des données de cartes bancaires de leurs clients, la conformité complète au PCI DSS s’impose. Pour toutes celles qui n'en ont pas le besoin et passent par un prestataire certifié, le nombre de contrôles applicables se trouve réduit.

La gestion des données des cartes bancaires

L’entreprise doit collecter et transmettre les données sensibles des cartes bancaires de ses clients en toute sécurité. Ce qui repose sur la mise en place et la maintenance de systèmes de sécurité qui devront satisfaire jusqu’à 250 contrôles.

La sauvegarde sécurisée des données

Le processus de sauvegarde s’inscrit dans les exigences de sécurité du PCI DSS, dont le chiffrement, le contrôle en continu et les tests de sécurité de l’accès aux données.

Le maintien annuel de la conformité

Un formulaire de validation PCI DSS doit être complété chaque année. Il est considéré comme le support de la démonstration de la conformité PCI DSS. Néanmoins, cela impose de maintenir les contrôles et le niveau de sécurité tout au long de l’année.

Un accompagnement nécessaire

Comme vous avez pu le constater, ces exigences sont pour la plupart assez simples et relèvent du bon sens. Leur mise en application se révèle cependant plus complexe. L’entreprise pourra avantageusement, si elle le souhaite, se faire accompagner pour piloter et suivre un projet de mise en conformité PCI DSS.

Pour en savoir plus, découvrez notre article : Conformité au PCI DSS : Les 3 conseils de notre expert PCI DSS