Qu’est-ce que le PCI DSS et pourquoi se conformer à ce standard de sécurité de paiement ?
L’acronyme PCI DSS (Payment Card Industry Data Security Standard) désigne un référentiel mondial de sécurité applicable à l’industrie des cartes de paiement comme aux entreprises qui enregistrent des transactions bancaires.
Il est de la responsabilité de l’entreprise d’assurer la sécurité des données de ses clients, que ce soit dans la collecte, le stockage, le traitement, ou la transmission des données des titulaires de cartes bancaires.
La conformité de l’entreprise au PCI DSS définit les exigences minimales en matière de sécurité des données. Elle repose sur un standard mondialement reconnu, et sur le respect des exigences qui forment la base de la conformité. Ce qui se traduit par un standard officiel (le PCI DSS) publié par le Conseil PCI qui comprend plus de 139 pages, et environ 250 exigences de sécurité.
Le PCI DSS demande aux entreprises de construire un réseau informatique sécurisé permettant notamment de gérer les vulnérabilités et de suivre les correctifs. Les entreprises se doivent, entre autres, de mettre en place des mécanismes de contrôle d’accès.
Ainsi, sa mise en conformité est un signe fort donné par une entreprise à ses clients et partenaires. Elle indique qu’elle a pris des mesures appropriées pour protéger les données des titulaires de cartes de paiement.
Pour plus d’information sur le fonctionnement technique du PCI DSS, se référer à nos articles PCI DSS : Comment déterminer son SAQ et comment se mettre en conformité ? et Conformité au PCI DSS : Les 3 conseils de notre expert PCI DSS.
La carte bancaire est le moyen de paiement favori des acheteurs. Mais la dématérialisation du paiement par carte ouvre de nombreuses voies aux cybercriminels (lire notre article Le prix d’une cyberattaque et les conséquences du non-respect du standard PCI DSS). Ainsi les entreprises et leurs clients sont des cibles pour les cyberattaques. Elles peuvent se traduire par des vols de données en ligne ou par des fraudes sur les systèmes de paiement par carte bancaire.
Les exigences de conformité au PCI DSS correspondent aux bonnes pratiques dans le domaine de la cybersécurité pour protéger les infrastructures, et pour rendre le mode de paiement des cartes bancaires plus sûr. Sa mise en place apporte aux clients de l’entreprise la garantie qu’elle dispose d’une vision mature de la sécurité de son système d’information, avec la maîtrise du risque. Sans oublier qu’elle représente un avantage concurrentiel et de compétitivité.
Le PCI DSS est le seul standard qui permet de sécuriser au maximum l’environnement qui traite les données de cartes bancaires. Pour protéger entièrement les données personnelles de ses clients il faut aussi suivre les directives annoncées par le RGPD, le règlement général sur la protection des données.
Selon la Fevad (1), le marché de l'e-commerce a explosé ces 20 dernières années. Ce sont désormais 103,4 milliards d'euros dépensés en ligne en France en 2020 contre seulement 5,5 milliards en 2004. Mais le secteur de la finance constate les dérives des fraudes sur les moyens de paiement et la dispersion des programmes normatifs de sécurité, qui pourtant répondent aux mêmes exigences.
L’Observatoire de la sécurité des moyens de paiement (https://www.banque-france.fr/sites/default/files/medias/documents/rapport-annuel-osmp_2019.pdf) met en exergue une augmentation de la fraude de 7% entre 2018 et 2019. En valeur ce sont 470 millions d’euros, contre 439 en 2018 qui sont concernés.
Le grand public sollicite de plus en plus des outils, comme la Perceval. La plate-forme permet, après avoir fait opposition auprès de sa banque, de signaler toute utilisation frauduleuse d’une carte bancaire aux forces de l’ordre. Le ministère de l’intérieur annonce qu’en 2018 la plateforme reçoit presque 300 signalements par jour (https://mobile.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Le-ministere-present-au-FIC-2019/Cybersecurite-l-action-du-ministere-en-chiffres) contre 450 signalements par jour en 2019.
A l’ère d’internet, les banques comme leurs clients doivent disposer d’une référence commune en matière de sécurité et de protection des données.
C’est pourquoi, en 2006, cinq sociétés de cartes de paiement - Visa, Mastercard, American Express, Discover et JCB - créent le PCI SSC (Payment Card Industry Security Standards Council), dans le but d’unifier les règles en matière de sécurité pour les sociétés traitant des données de cartes bancaires.
Les programmes de ces fondateurs sont alors harmonisés sur un standard commun appelé PCI DSS (Payment Card Industry Data Security Standard) dont la dernière version a vu le jour en mai 2018. Ce standard évolue de manière continue en prenant en compte les nouveaux canaux de paiement, les défis de sécurité liés aux migrations vers des technologies cloud. La version 4.0, aujourd'hui en cours de rédaction, devrait voir le jour en 2021.
La conformité au PCI DSS repose sur trois piliers principaux :
La documentation sert de référence à toute action de manière à ce que la réalisation d'une quelconque action soit contrôlée et conforme à la procédure associée. Il faudra alors s’appuyer sur des politiques (PSSI, analyse de risque, gestion des accès...), des procédures (standards de sécurité…), des rapports/compte-rendus (gestion du changement, formulaire des habilitations...).
Pour s’assurer de l'efficacité de cette démarche, il est conseillé d’identifier et de responsabiliser toutes les personnes impliquées sur ce sujet. Cela impose de définir des responsables, former les parties prenantes et mettre en place des circuits d'information. L’objectif étant que les mesures de sécurité soient mises en œuvre et maintenues dans le temps.
La conformité n’est pas seulement un mode déclaratif. Il s’agit aussi de l'implémentation technique des mesures de sécurité pour protéger les systèmes impliqués dans le traitement des paiements par carte.
Depuis 2015, le PCI SSC recommande à toute organisation qui transmet, traite ou stocke des données bancaires issues des cartes de paiement de se mettre en conformité vis-à-vis de ce standard. Il peut s’agir de plateformes de paiement, d’un commerçant, de prestataires ...
Les marques, banques, partenaires ou services de cartes de paiement peuvent l’exiger dans un cadre contractuel.
Beaucoup de partenaires commerciaux l’exigent également en pré-requis à un contrat commercial.
Le conseil du PCI DSS a également pris en compte la taille des organisations, exprimée en volume annuel de transactions par carte de paiement, répartie en 4 niveaux de conformité pour les commerçants :
La première catégorie doit détenir une certification PCI DSS délivrée par un cabinet d’audit habilité QSA, les trois dernières peuvent prouver leur conformité par le biais d’une auto-évaluation.
Le PCI DSS représente une garantie de traitement sécurisé des données. Pour autant, le standard n’est pas obligatoire dans toutes les régions du monde. En effet, seules les cartes appartenant aux réseaux des 5 marques de cartes (American Express, Discover, JCB International, MasterCard and Visa Inc) du PCI SSC requièrent cette conformité. Cela ne concerne pas les transactions avec d’autres réseaux de cartes bancaires comme Unionpay.
1 La Fédération du e-commerce et de la vente à distance (Fevad) est l'organisation professionnelle représentative des acteurs du commerce électronique.