Dans le paysage français depuis 2012, PayPlug offre aux marchands une alternative aux solutions d’encaissement de paiement traditionnelles. PayPlug est un éditeur de paiement multicanal conçu pour simplifier le paiement aussi bien pour les pure players du e-commerce, que pour les commerçants dont l’activité en ligne se prolonge en magasin.
Arthur, Ingénieur sécurité et Responsable du PCI DSS chez PayPlug partage son retour d’expérience sur la mise en place du PCI DSS.
C’est en 2014, après seulement 2 années d'existence, que PayPlug s’intéresse au standard PCI DSS (1). Le déclencheur : le lancement d’un produit qui pose la question du stockage et du traitement des données bancaires. Pour pouvoir développer leur business, leur PSP (2) leur demande de se certifier PCI DSS.
A cette époque les transactions bancaires de PayPlug ne dépassent pas les 6 millions, ce qui leur permet de choisir l’auto-certification (3). Une démarche qui leur a pris entre 9 à 12 mois. En effet, l’auto-certification a été longue, car elle a été menée au fil de l’eau et a demandé des recherches. « Ce n’est pas l’aspect technique qui a été le plus difficile pour nous mais toute la documentation », explique Arthur. L’expansion business est rapide et PayPlug doit bientôt faire appel aux services d’un cabinet pour se conformer.
Depuis 4 ans, PayPlug fait appel au cabinet XMCO pour se certifier. « Avec XMCO nous avons des dialogues constructifs, des retours de consultants compétents. Toutes les recommandations et justifications sont pertinentes. C’est assez agréable ! » témoigne Arthur.
Au cours de notre entretien, on comprend que les objectifs principaux de PayPlug face à cette mise en conformité sont non seulement de répondre à la demande de leur PSP mais aussi celle des marchands pour qui c’est une condition inhérente au contrat.« C’est une nécessité pour nous d’être certifié PCI DSS, c’est inhérent à notre business model, si on ne se conforme pas nous ne sommes pas à l’abri que nos transactions soient bloquées » répond Arthur sur la question de ses objectifs de conformité. Il ajoute que « Ce n’est pas nécessairement un avantage concurrentiel mais plutôt un pré-requis pour notre business ».
Lorsque l’on parle de données bancaires, on parle aussi de données personnelles, le lien entre le PCI DSS et le RGPD est légitime. En effet, il y a une base commune : « Nous sommes certifiés PCI DSS depuis 2012, cela nous a aidé à accueillir plus sereinement la mise en conformité RGPD » explique Arthur. Les exigences du standard PCI DSS se basent sur les bonnes pratiques de sécurité informatique qui permettent de contribuer à une partie des recommandations RGPD.
Aujourd’hui PayPlug continue son expansion et participe à la croissance de plus de 10 000 commerçants en France et en Italie, en leur permettant d’accepter les paiements par cartes bancaires en ligne comme en magasin.
(1) Standard de sécurité des données qui s'applique aux différents acteurs de la chaîne monétique, afin d’augmenter le contrôle des informations du titulaire de la carte dans le but de réduire les fraudes au paiement.
(2) Fournisseur de services de paiement
(3) Les entreprises ayant un petit volume de transactions peuvent remplir un questionnaire d’auto-évaluation (SAQ). A contrario les entreprises ayant un volume de transaction supérieur à 6 millions doivent faire appel à entité externe que l’on appelle l’évaluateur de sécurité qualifié (QSA).