En France, en 2022, les sites de ventes e-commerce ont enregistré 2,3 milliards de transactions. Un chiffre en hausse constante depuis l'avant crise de la COVID-19, qui place la sécurité des paiements, dont le respect de la norme PCI DSS, au centre des préoccupations des acteurs du commerce en ligne.
En effet, de plus en plus de sites e-commerce acceptent les paiements par carte bancaire, mais aussi par applications bancaires en ligne, comme Lydia, cagnottes et portefeuilles électroniques. Une multiplicité de paiements qui nécessite une sécurité rigoureuse et à la hauteur de l'attente de vos clients.
Une sécurité assurée entre autres par la norme PCI DSS, qui définit les bonnes pratiques à suivre pour les entreprises d’e-commerce françaises.
Dans cet article, vous trouverez toutes les informations sur ce qu'est la certification PCI DSS, comment être certifié et toutes les informations nécessaires à sa mise en place.
La certification PCI DSS, c'est quoi ?
La norme PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité mondiale qui protège les données bancaires sur internet.
Elle a été élaborée par le Conseil de sécurité de l'industrie des cartes de paiement (Payment Card Industry Data Security Standards Council, ou PCI SSC), qui a lui-même été fondé par les principales marques de cartes de paiement telles que Visa, Mastercard, American Express et Discover.
Avant que la conformité PCI DSS soit exigée, ces sociétés possédaient chacune un programme de sécurité propre, qui présentait néanmoins des objectifs similaires. Elles se sont donc unifiées autour d'une norme commune, la Norme de Sécurité de l'Industrie des Cartes de Paiement (Payment Card Industry Data Security Standard), également appelée PCI DSS.
Qui doit être certifié PCI DSS ?
La conformité PCI DSS est obligatoire pour toute entité qui stocke, traite ou transmet des informations de paiement par carte bancaire. Cela inclut les commerçants, les prestataires de services de paiement, les institutions financières et les fournisseurs de services technologiques.
Respecter les normes PCI DSS, c'est réduire vos risques de violation de données, de fraudes ou de dommages à votre réputation. Cela renforce aussi la confiance des clients pour votre site marchand et favorise la croissance des transactions par carte bancaire.
Quelles sont les 12 exigences de la norme PCI DSS ?
- Utiliser un pare-feu
- Installer une nouvelle protection par mot de passe
- Protéger les données des titulaires de cartes
- Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts
- Utiliser un logiciel antivirus
- Développer et gérer des systèmes et des applications sécurisés
- Restreindre l'accès aux données de paiement
- Attribuer un identifiant unique à chaque personne ayant accès aux données sensibles
- Restreindre l'accès physique aux données de paiement
- Surveiller et suivre tous les accès aux ressources réseau et aux données de paiement
- Tester régulièrement les systèmes et les processus de sécurité
- Maintenir une politique de sécurité de l'information
Protéger les données sensibles de sa clientèle demande un effort continu de la part de toute entreprise.
Il existe de nombreuses bonnes pratiques à suivre pour assurer la sécurité de votre site internet ou créer une page de paiement en ligne. Voici les 12 exigences à suivre selon la norme PCI DSS.
Utiliser un pare-feu
Un pare-feu, également appelé firewall en anglais, est un dispositif de sécurité des données qui contrôle l'accès au réseau et protège les systèmes contre les connexions non autorisées.
C'est un premier pas primordial pour la sécurité de votre entreprise qui permet de bloquer les tentatives d'intrusion sur votre site et vous permet de contrôler votre trafic.
Installer une nouvelle protection par mot de passe
Les mots de passe générés automatiquement sont des paramètres par défaut bien souvent connus du public, ce qui rend votre plate-forme vulnérable aux attaques.
La norme PCI DSS vous impose de proposer un nouveau mot de passe et un identifiant unique à votre clientèle, afin de renforcer la sécurité de leurs données personnelles.
Protéger les données des titulaires de cartes
Les données sensibles des titulaires de cartes, telles que les numéros de carte de crédit ou sa date d'expiration, doivent être protégées de façon adéquate.
Vous pouvez par exemple chiffrer ces informations en les convertissant en un format illisible, sans clé de déchiffrement appropriée.
Lecture conseillée : Comment Accepter les Paiements en Ligne par Carte Bancaire sur Votre Site en Ouvrant un Compte Marchand
Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts
Parfois, les données de paiement sont transmises sur des réseaux publics. Il est alors essentiel de les chiffrer et de les coder afin d'empêcher toute interception ou modification par des tiers non autorisés.
Il existe plusieurs protocoles de chiffrement, tels que les Secure Sockets Layer (SSL) ou le Transport Layer Security (TLS).
Utiliser un logiciel antivirus
Utilisés depuis le tout début d'internet, les logiciels antivirus sont d'une importance primordiale. Ils permettent de détecter, de prévenir et d'éliminer si besoin tout logiciel malveillant, virus ou autres menaces potentielles.
Veillez à mettre régulièrement votre logiciel antivirus à jour afin de garantir une protection adéquate contre les innovations des systèmes malveillants.
Développer et gérer des systèmes et des applications sécurisés
Lors de la création et du développement de système assurant la sécurité des données de vos clients, vous devez mettre en place un certain nombre de mesures appropriées. Cela peut inclure l'utilisation de protocoles sécurisés, la validation de l'enregistrement des profils consommateurs, le contrôle d'accès à certaines informations ou pages et la mise à jour régulière des logiciels, pour pallier toute vulnérabilité.
Restreindre l'accès aux données de paiement
Afin de garantir la sécurité des données, l'accès aux informations de paiement ne doit être autorisé que pour les personnes en ayant besoin pour effectuer leurs tâches professionnelles.
Vous devez mettre en place des contrôles qui limitent l'accès à ces informations sensibles, tels que l'utilisation d'identifiants uniques et de mots de passe robustes, ainsi qu'une séparation nette des rôles et des privilèges d'accès.
Attribuer un identifiant unique à chaque personne ayant accès aux données sensibles
Chaque utilisateur qui a accès aux informations de paiement doit être identifié de manière unique. Cela permet de suivre les actions effectuées par chaque utilisateur et de responsabiliser les individus en cas d'incident de sécurité.
Restreindre l'accès physique aux données de paiement
Établir des mesures électroniques pour la sécurité des données est d'une importance primordiale, mais avez-vous pensé à la sécurité physique de ces informations ?
La conformité PCI DSS impose aux commerçants de restreindre l'accès physique aux zones dans lesquelles sont stockées et traitées les données de paiement des utilisateurs.
Vous pouvez par exemple utiliser des serrures, des caméras de surveillance et des points de contrôle d'accès par badge afin de protéger ces environnements sensibles.
Surveiller et suivre tous les accès aux ressources réseau et aux données de paiement
Les mécanismes de surveillance mis en place lors du point ci-dessus vont vous permettre de sécuriser les lieux. Si, néanmoins, vous remarquez une activité suspecte ou non autorisée liée aux données sensibles de votre clientèle, utilisez les journaux d'accès et les outils de surveillance pour déterminer d'où le risque provient.
Tester régulièrement les systèmes et les processus de sécurité
Renforcez la sécurité des données en effectuant des tests réguliers de vos systèmes de sécurité.
Vous pouvez faire des analyses de vulnérabilité, des tests d'intrusion ou d'autres exercices permettant d'identifier une potentielle faille dans le système ou une vulnérabilité.
Vous pourrez alors prendre les mesures correctives nécessaires pour renforcer la sécurité de votre système.
Maintenir une politique de sécurité de l'information
Enfin, vous devez communiquer avec vos utilisateurs sur votre politique de sécurité.
Cette communication doit définir clairement vos responsabilités en matière de sécurité, les procédures opérationnelles et les mesures de conformité à suivre par tous les employés et les prestataires de services qui traitent les données de paiement.
L'importance de la conformité PCI DSS
- Protection des données sensibles
- Augmentation de la confiance client
- Réduction des risques
- Respect des exigences légales et contractuelles
La norme PCI DSS n'est pas une loi, mais possède une importance primordiale pour toute entreprise qui traite des informations de paiement par carte.
Selon l'institut Baymard, 17% des visiteurs d'un site e-commerce abandonnant leur achat citent comme raison le manque de confiance envers le système de protection des données du site.
La norme PCI DSS peut pallier cela, et vous éviter des amandes ou une mauvaise expérience utilisateur.
Protection des données sensibles
La conformité PCI DSS vous permet d'assurer des mesures de sécurité solides pour prévenir contre toute violation de données, vol d'identité ou fraude financière.
Selon une récente étude sur la sécurité du groupe Thalès, 47% des entreprises interrogées ont déclaré avoir constaté une augmentation des cyberattaques depuis 2020. Un chiffre qui peut alarmer, et c'est pourquoi les commerçants choisissent de suivre la norme PCI DSS.
En effet, les démarches mises en place permettent aux entreprises de créer un système de sécurité solide et de minimiser le risque de vol des données.
Augmentation de la confiance client
Est-ce que vous effectueriez un achat en ligne si vous pensiez que vos données puissent être volées et utilisées à des fins malveillantes ? Probablement pas.
La confiance et l'expérience utilisateur sont intimement liées à la sécurité de votre site internet. En étant conformes à la norme PCI DSS, vous envoyez un message clair à vos clients démontrant votre engagement envers la protection des données et en renforçant leur confiance, et donc leur fidélité.
Réduction des risques
La conformité PCI DSS aide votre entreprise à identifier et à atténuer les vulnérabilités potentielles de leurs systèmes de traitement des paiements.
En suivant chacune des 12 étapes de la norme PCI DSS, vous pouvez réduire les risques de violations de données ou de dommage à votre réputation. Si, malgré l'adhésion à ces 12 prérequis, votre entreprise est sujette à un vol de données, alors l'amende associée sera souvent minimisée grâce à votre respect des éléments de la norme.
La conformité PCI DSS vous permet ainsi de limiter les pertes financières en cas de problème.
Respect des exigences légales et contractuelles
En France, et contrairement à de nombreux pays, la conformité à la norme PCI DSS n'est pas obligatoire pour les entreprises d’e-commerce. Néanmoins, elle est fortement recommandée, et est imposée contractuellement par les principaux acteurs du marché, Visa et MasterCard.
Ne pas s'y conformer peut alors exposer votre entreprise à des sanctions financières et à des litiges juridiques.
Amélioration des processus de sécurité
La mise en œuvre des exigences de la norme PCI DSS amène les entreprises à adopter de bonnes pratiques de sécurité des données.
Si vous êtes déjà en adhésion avec la norme PCI DSS, alors il vous sera plus facile de mettre en place de nouvelles exigences de sécurité à l'avenir. Dès qu'une nouvelle loi sera passée, vous pourrez simplement ajuster votre système actuel sans avoir à créer un système de sécurité de toutes pièces.
Comment se déroule un audit PCI DSS
- En amont
- Sélectionner votre auditeur
- L'évaluation initiale
- L'évaluation détaillée
- Test de pénétration
-
Suivi et actions correctives
Si vous souhaitez évaluer votre entreprise avant de commencer le processus d'intégration de la norme PCI DSS ou effectuer un audit de votre conformité, voici un aperçu du déroulé d'un bon audit PCI DSS.
En amont
Avant l'audit, vous devez rassembler tous les documents et preuves nécessaires pour démontrer votre conformité aux exigences de la norme.
Sélectionner votre auditeur
Vous pouvez engager vous-même un auditeur qualifié et certifié PCI DSS pour effectuer l'audit. Nous vous conseillons de choisir un auditeur indépendant et réputé pour garantir l'objectivité du processus.
L'évaluation initiale
L'auditeur va effectuer une première évaluation de votre système de paiement, de la sécurité de vos systèmes et des contrôles mis en place. Cette étape permet d'identifier les domaines de risque potentiels à examiner plus en détail.
L'évaluation détaillée
L'auditeur examinera ensuite en détail les différents aspects de votre sécurité en se concentrant sur les 12 exigences spécifiques à la norme PCI DSS.
L'auditeur pourra à ce stade réaliser des tests de conformité technique, des entretiens avec le personnel concerné et des vérifications de documentations.
Test de pénétration
Dans certains cas, l'auditeur pourra choisir d'effectuer des tests de pénétration pour évaluer la résistance de vos systèmes à une attaque interne ou externe.
Suivi et actions correctives
En fonction des résultats de l'audit, l'auditeur vous conseillera un nombre de mesures et actions correctives à mettre en œuvre pour remédier aux non-conformités identifiées.