Systèmes de paiements électroniques, êtes-vous conformes au standard PCI DSS ?

Établi par les principaux schémas de paiement (Visa, Mastercard, …), ce standard s'applique à :

• toutes les entités qui traitent, stockent ou transmettent des données de cartes bancaires ;
• toutes les entités qui peuvent avoir un impact sur la sécurité des données de cartes bancaires

Cela inclut les e-commerçants, les prestataires de services de paiement (PSP), les supermarchés, les banques, les call-centers, les datacenters, etc. La conformité à ce standard est essentielle pour garantir la sécurité des informations sensibles des titulaires de cartes et prévenir les fraudes bancaires. 

Les exigences de PCI DSS s'appliquent indépendamment de la taille de l'entreprise ou du volume des transactions traitées, assurant ainsi une protection uniforme des données à travers l'industrie des paiements. Toutefois, c’est l’entité responsable du programme de conformité (banque acquéreur pour les commerçants, schémas de paiement pour les prestataires

Le PCI DSS comprend 12 chapitres d’exigences et 3 annexes, traitant de :

• la sécurité technique comme la mise en place de pare-feu, l’application de patchs de sécurité
• la sécurité physique (systèmes de contrôle d'accès, caméras de vidéo-surveillance, …) 
• la sécurité organisationnelle (développement, sensibilisation, gestion des prestataires, contrôle préalable à l’embauche, …)

L'objectif est de garantir la sécurité des données des titulaires de cartes et de prévenir les fraudes et les violations de données. La conformité à ce standard est essentielle pour les entités souhaitant maintenir la confiance de leurs clients et éviter des sanctions financières.

Nous vous proposons une large gamme de services dans le cadre d’une conformité au standard PCI DSS :

• réaliser des analyses d’écarts (gap analyzis)
• vous accompagner pour la mise en conformité (suivi de la conformité, rédaction de politiques de sécurité, …)
• réaliser des audits de conformité,
• sensibiliser vos utilisateurs à PCI DSS,
• réaliser des scans de vulnérabilité internes en autonomie ou en service managé,
• réaliser des scans de vulnérabilité externes ASV en autonomie ou en service managé,
• réaliser des scans permettant de détecter des changements non autorisés sur les pages de paiement (« tests anti-skimming »)
• réaliser des tests d’intrusion,

Pour aller plus loin, vous former ou pour former vos équipes, consultez nos formations en cybersécurité :

Nos consultants PCI QSA sont des auditeurs ayant satisfait à l’ensemble des exigences qui leur incombe en matière de compétences, de déontologie et d’impartialité. Basés en France, ils interviennent partout en Europe et en Afrique.

Nous proposons les étapes suivantes :

• workshop stratégique de définition des enjeux et du périmètre,
• analyse d’écarts, formalisation et suivi des non-conformités, pour une première certification
• Pré-audit (optionnel, en fonction de la taille de l’entité)
• audit de conformité,
• réalisation des livrables :
  •  rapport de conformité : Report on Compliance (ROC) ou Questionnaire d’Auto-évaluation (SAQ)
  • attestation of Compliance (AOC)
  • certificat de conformité à des fins d’illustration de votre conformité.

L’exigence 12.6.3 du standard PCI DSS prévoit la sensibilisation à la sécurité à destination de l’ensemble du personnel à la politique et aux procédures de sécurité relatives aux données de titulaires de cartes bancaires.

Nous proposons des modules de sensibilisation en e-learning permettant une mise en œuvre simple et rapide avec la possibilité de toucher un grand nombre de collaborateurs de manière simultanée.

L’exigence 6.2.2 du standard PCI DSS prévoit la formation au développement sécurisé à destination de l’ensemble des développeurs inclus dans le périmètre PCI DSS.

Nous proposons des modules de formation en e-learning permettant une mise en œuvre simple et rapide avec la possibilité de toucher un grand nombre de collaborateurs de manière simultanée.

L’exigence 11.3.2 du standard PCI DSS prévoit la réalisation trimestrielle de scans de vulnérabilités ASV (Approved Scanning Vendors) dans le but de détecter les vulnérabilités des sites web exposés au public.

Dans ce cadre, nous réalisons ces scans ASV selon plusieurs méthodes :

• Scans managés : solution « clé en main » qui repose à la fois sur des compétences humaines et des outils spécifiques (nos consultants spécialisés interviennent sur la réalisation des scans, l’étude des résultats et la qualification des vulnérabilités, l’édition des rapports et leur présentation aux équipes, le suivi et l’assistance pour la correction des vulnérabilités).
• Solution autonome : mise à disposition des solutions applicatives auprès des équipes IT de nos clients.

L’exigence 11.3.2 du standard PCI DSS prévoit d’effectuer des tests d’intrusion internes au moins une fois par an et après tout changement ou mise à niveau significatif de l’infrastructure ou de l’application (par exemple, mise à niveau du système d’exploitation ou ajout d’un sous-réseau ou d’un serveur Web dans l’environnement).

Le standard PCI DSS prévoit d’effectuer des tests anti-skimming (exigence 11.6.1) permettant de détecter tout ajout de code malveillance dans les pages de paiement.

Dans ce cadre, nous réalisons ces tests sous forme de scan afin de détecter tout changement non autorisé et de vous prévenir au plus tôt conformément à l’exigence PCI DSS.

La version 4.0 du PCI DSS est entrée en vigueur le 31 mars 2024.

 Cette mise à jour apporte des améliorations significatives en matière de sécurité et de flexibilité pour les entreprises qui traitent des données de cartes bancaires.

• Personnalisation accrue : Le PCI DSS v4.0 permet aux entités d'adapter leurs mesures de sécurité en fonction des risques spécifiques et des modèles commerciaux, offrant ainsi plus de flexibilité.
• Approche basée sur les risques : La nouvelle version du standard met davantage l'accent sur les évaluations des risques, permettant aux entités de prioriser les menaces et d'allouer les ressources de manière plus efficace.
• Exigences de sécurité renforcées : Des mesures de sécurité supplémentaires ont été introduites pour répondre aux menaces émergentes et aux avancées technologiques.
• Clarifications et corrections : La version 4.0.1 inclut des corrections de mise en forme et des clarifications pour améliorer la compréhension et l'efficacité de la norme.

Pour approfondir le sujet de la sécurité des paiements, nous vous invitons à télécharger notre livre blanc « Paiements électroniques, bonnes pratiques et exigences de sécurité »