PCI DSS
Introduction
Lorsque vos clients paient en ligne avec leurs cartes de paiement, vous souhaitez qu'ils se sentent en sécurité. Par conséquent, le transfert sécurisé de leurs données de carte est l'un des piliers du commerce des transactions en ligne.
En reconnaissant cela, les principaux systèmes de cartes (c'est-à-dire Visa, MasterCard, American Express) et les prestataires de paiement appliquent une norme mondiale établie pour protéger les données des titulaires de carte et aider les entreprises à traiter les paiements par carte en toute sécurité. La norme Payment Card Industry Standard (PCI DSS) est obligatoire pour toutes les parties manipulant des données de carte.
En tant que commerçant, vous avez au minimum la responsabilité de remplir un questionnaire d'auto-évaluation chaque année, prouvant que vous êtes conforme à la norme. La longueur et la rigueur des questions ainsi que le questionnaire lui-même dépendent largement de la façon dont vous traitez les paiements et choisissez d'intégrer nos systèmes de paiement.
Alors, comment déterminer quel questionnaire vous concerne ? Le chapitre suivant vous aidera à mieux comprendre l'impact du PCI DSS sur les opérations de votre entreprise.
Download our certificate
Qu'est-ce que la Conformité PCI DSS ?
Le PCI DSS est une norme de sécurité conçue pour protéger les données des titulaires de carte. La conformité prévient la fraude, maintient la confiance des clients et évite les pénalités.
Pour devenir conforme au PCI DSS, les commerçants doivent suivre des étapes spécifiques pour garantir la sécurité de leurs données de paiement et adhérer aux normes :
- Comprendre les Exigences PCI DSS: Familiarisez-vous avec les normes PCI DSS qui protègent les données des titulaires de carte et garantissent des transactions de paiement sécurisées.
- Consultation et Formation: Utilisez les services de Worldline pour obtenir des informations sur les critères que vous devez respecter.
- Utiliser des Solutions Validées PCI DSS: Implémentez des solutions tierces validées pour le traitement des données de paiement.
- Mettre en Œuvre les Normes de Sécurité: Traitez les données de carte conformément aux normes de sécurité et assurez-vous que votre équipement et vos systèmes respectent ces exigences.
- Identifier le SAQ Pertinent: Remplissez le Questionnaire d'Auto-Évaluation (SAQ) approprié en fonction de votre méthodologie de traitement de paiement par carte (voir les types de SAQ sur la première diapositive).
- Rapport de Conformité: En fonction de votre niveau de commerçant (de 1 à 4), soumettez régulièrement des rapports de conformité par les méthodes respectives comme les audits, les scans ASV ou les SAQ.
- Utiliser les Portails Worldline: Tirez parti du portail en libre-service basé sur le Web de Worldline qui offre des outils pour valider la conformité PCI DSS et fournit les ressources nécessaires pour un parcours de conformité complet.
- Obligations Contractuelles: N'oubliez pas que les obligations de conformité font partie des conditions générales pour les commerçants utilisant les services Worldline.
En suivant ces étapes, les commerçants peuvent s'assurer qu'ils répondent aux exigences PCI DSS, sécurisant ainsi les données de paiement et se conformant aux normes réglementaires.
Maintenir la Conformité
Mettez régulièrement à jour vos mesures de sécurité, examinez vos politiques et informez votre personnel des meilleures pratiques. Nous sommes ici pour vous assister avec des conseils d'experts. Contactez-nous pour plus d'informations.
Type de conformité PCI
Notre API expose plusieurs ressources POST. Ces ressources POST varient considérablement en termes de données sensibles échangées ou non. Dans certains cas, une seule ressource peut même être utilisée avec ou sans données sensibles (par exemple, CreatePayment avec la propriété card ou token respectivement).
Cependant, le type PCI requis pour toute requête POST repose sur cette question :
Comment avez-vous traité le numéro de carte de vos clients pour leur paiement initial ?
La réponse à cette question définit le type PCI requis pour toute demande ultérieure liée à la transaction initiale.
Examinez ces cas d'utilisation pour comprendre l'impact de la conformité PCI sur le traitement quotidien des transactions dans votre entreprise :
Cas d'utilisation 1 : Traiter les transactions via Server-to-server avec la propriété card
| Opération | Ressource POST | Type PCI requis |
|---|---|---|
| Paiement initial via Server-to-server avec la propriété card |
Avec des données sensibles échangées |
SAQ D |
| Capturer le paiement |
Pas de données sensibles échangées |
SAQ D |
| Rembourser le paiement |
Pas de données sensibles échangées |
SAQ D |
Cas d'utilisation 2 : Traiter les transactions via Hosted Checkout Page
| Opération | Ressource POST | Type PCI requis |
|---|---|---|
| Paiement initial via Hosted Checkout Page |
Pas de données sensibles échangées |
SAQ A |
| Capturer le paiement |
Pas de données sensibles échangées |
SAQ A |
| Rembourser le paiement |
Pas de données sensibles échangées |
SAQ A |
Bien que les deux cas d'utilisation ciblent les mêmes points de terminaison (CapturePayment / RefundPayment) pour le suivi de la transaction initiale, les types PCI requis diffèrent. Ainsi, vos exigences de conformité PCI pour chaque ressource POST sont définies par la manière dont vous traitez les transactions initiales.
Cette définition de la conformité PCI est également applicable lorsque vous ciblez la même ressource dans un scénario comme celui-ci :
Cas d'utilisation 3 : Créer un jeton pour les paiements Card On File
| Opération | Ressource POST | Type PCI requis |
|---|---|---|
| Paiement initial et création de jeton via Server-to-server avec la propriété card | CreatePayment
|
SAQ D |
| Utiliser le token pour un Card On File payment |
Pas de données sensibles échangées |
SAQ D |
La manière dont vous traitez les paiements initiaux est déterminée par votre méthode d'intégration. Conséquemment, la méthode d'intégration que vous choisissez définit vos exigences PCI globales.