Conformité PCI DSS

L’acronyme PCI DSS (Payment Card Industry Data Security Standard) désigne les normes de sécurité des données applicables à l’industrie des cartes de paiement.

Les exigences PCI-DSS s’appliquent à toutes les entités juridiques impliquées dans le stockage, le traitement et la transmission des données de cartes de paiement.

En d’autres termes, les commerçants, les prestataires de paiement , les réseaux de transport, les centres d’appels, les banques, les émetteurs de cartes font partie des acteurs concernés par la conformité PCI DSS

Le standard PCI DSS et les autres standards associés sont disponibles sur le site de PCI Security Standards Council à l’adresse  https://fr.pcisecuritystandards.org.

Le standard PCI DSS comprend un ensemble de 12 clauses, détaillées ci-dessous:

Toutes les exigences des 12 rubriques de sécurité doivent être remplies. En revanche, certaines exigences peuvent ne pas être applicables par la nature même de l’activité du commerçant (vente à distance, proximité, commerce électronique, etc.).

La conformité PCI DSS permet de vérifier que les points de contrôles sont bien mis en œuvre et qu’ils sont efficaces pour la protection des données sensibles. Cette conformité passe selon la taille du commerçant (niveau du commerçant) par un audit effectué par un auditeur agréé ou par un questionnaire d’auto-évaluation à remplir par l’acteur concerné. 

Quatre niveaux de conformité sont applicables, en fonction de l’entreprise et du nombre de transactions effectuées par an :

• Niveau 1 : Plus de 6 millions de transactions par an.
• Niveau 2 : Entre 1 et 6 millions de transactions par an.
• Niveau 3 : Entre 20 000 et 1 million de transactions par an.
• Niveau 4 : Moins de 20 000 transactions par an.

Quels sont les prérequis pour valider la conformité ? 

Marchands de Niveau 1

• Rapport de conformité annuel (ROC)  effectué par un évaluateur qualifié en matière de sécurité (QSA) , également appelé évaluation de niveau 1 réalisée sur le terrain,.
• Analyse trimestrielle du réseau par un fournisseur d'analyse approuvé (ASV) 
• Attestation de conformité (AOC) pour les évaluations réalisées sur place.

Marchands de Niveau 2

• Questionnaire d'auto-évaluation annuel (SAQ) concernant la norme de sécurité PCI. 
• Analyse trimestrielle du réseau par un fournisseur d'analyse approuvé (ASV)
• Attestation de conformité (AOC).

Marchands de Niveau  3 & 4

• Questionnaire d'auto-évaluation annuel (SAQ) concernant la norme de sécurité PCI. 
• Analyse trimestrielle du réseau par un fournisseur d'analyse approuvé (ASV)*

Quel SAQ compléter ?

Pour les marchands de  niveaux 2, 3 et 4, le questionnaire d'auto-évaluation (SAQ) à fournir une fois par an est déterminé en fonction de la  méthode d'intégration des paiements :

• Intégration Hosted Field : SAQ A (Le marchand ne stocke pas, ne traite pas les données Toutes les fonctions de traitement des paiements sont entièrement externalisées, hébergées et gérées par Dalenys).
• Intégration via Hosted Form : SAQ A-EP (Le marchand ne stocke pas, ne traite pas les données Toutes les fonctions de traitement des paiements sont entièrement externalisées, hébergées et gérées par Dalenys, mais certains éléments de la page de paiement proviennent du site Web du marchand).
• Direct Link : SAQ D (marchand qui ne répond pas aux critères du type SAQ A ou SAQ A-EP).

Liens utiles

• QSA :  https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors/
• ASV :  https://listings.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors 
• ROC (Template) https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Reporting%20Template%20or%20Form/PCI-DSS-v3-2-1-ROC-Reporting-Template-r2.pdf
• SAQ :  https://www.pcisecuritystandards.org/document_library

Définitions / acronymes

*ASV : Scan report ASV attestant de la conformité n'est pas obligatoire sauf si le CMS est obsolète. Dans ce cas, il faut demander aux marchands concernés la migration vers la dernière version stable de leur CMS ou la mise en place de mesures de sécurité intermédiaires. Pour ces marchands un Scan Report délivré par un ASV est obligatoire.

*ROC: A Report on Compliance is a report documenting detailed results from a PCI DSS assessment. A ROC must be completed by a Qualified Security Assessor (QSA)

*AOC: The Attestation of Compliance is a form used by merchants and service providers to attest to the results of a PCI DSS assessment. An AOC must be completed by a Qualified Security Assessor (QSA)

*SAQ: The SAQ documents a merchant’s self-assessment of its security practices

*QSA: Qualified Security Assessor (QSA) companies are independent security organizations that have been qualified by the PCI Security Standards Council to validate an entity’s adherence to PCI DSS.

*ASV: An Approved Scanning Vendor is an organization with a set of security services and tools (“ASV scan solution”) to conduct external vulnerability scanning services to validate adherence with the external scanning requirements of PCI DSS

*ISA: The Internal Security Assessor performs internal assessments for his company and recommend solutions to remediate issues related to PCI DSS compliance. ISA can be seen as "internal QSA", and need to pass a new certification every year