worldline Direct
S'inscrire

PCI DSS

Objet de cette politique

La norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard "PCI DSS") contient les exigences de sécurité applicables à toutes les entités qui stockent, traitent, transmettent ou pourraient avoir un impact sur la sécurité des données de cartes. Elle définit une norme de conformité et de protection des données des titulaires de carte.

Cette politique vous est applicable si vous souhaitez traiter des transactions par carte de crédit avec Worldline. Pour ce faire, vous devez vous conformer à la norme PCI DSS. Après avoir lu cette politique, vous saurez comment :

  • Devenir conforme,
  • Rester conforme et comment en apporter la preuve à Worldline,
  • Comprendre les différents niveaux de validation,
  • Identifier le bon Questionnaire d'Auto-Évaluation (SAQ),
  • Agir en cas de violation des données liées aux cartes.

Worldline se tient à votre disposition pour toute question concernant le PCI DSS.

Download our certificate

Périmètre

Il est nécessaire que vous démontriez votre conformité PCI DSS. Nous nous efforçons de faciliter l’obtention et le maintien de la conformité PCI DSS afin de vous aider à protéger votre entreprise et vos clients des effets négatifs d'une violation des données de carte. La conformité est requise si vous acceptez les cartes de crédit. Les exigences s'appliquent à tous les canaux de paiement, y compris la vente au détail, par correspondance/téléphone, et le commerce électronique. Vous devez déclarer votre statut de conformité chaque année. Le non-respect de cette obligation peut entraîner des amendes ou des pénalités importantes de la part des associations de cartes qui vous seraient répercutées, voire le retrait des facilités d'acceptation des cartes. Vous êtes responsable de toutes les amendes, frais ou pénalités découlant du non-respect du PCI DSS. Cette politique est basée sur la version 4 du PCI DSS, obligatoire à partir de 2024 (et optionnelle avant cette date).

Parties prenantes PCI-DSS

Vous n'êtes pas le seul impliqué dans le PCI DSS. Il existe plusieurs parties prenantes principales :

PCI-SCC

Le Conseil des Normes de Sécurité PCI (PCI Security Standards Council ou "PCI SSC") est un forum mondial qui rassemble les parties prenantes de l'industrie des paiements pour développer et encourager l'adoption de normes de sécurité des données et des ressources pour des paiements sécurisés à l'échelle mondiale. Fondé en 2006 par les principaux émetteurs de cartes de paiement, le Conseil regroupe des centaines d'organisations participantes représentant des commerçants (comme vous), des banques, des processeurs et des fournisseurs à travers le monde.
Le PCI SSC gère les normes, certifie les évaluateurs, et établit la liste des matériels et logiciels validés pour utilisation dans le traitement des paiements. Les règles concernant les exigences spécifiques de conformité des commerçants sont définies par les marques de cartes.

Processeurs de paiement

Il existe différents types d'entreprises auxquelles vous pouvez faire appel pour vous fournir des services de traitement des paiements. Il s'agit notamment des Prestataires de Services de Paiement, Facilitateurs de Paiements, Acquéreurs, mais ils sont tous des maillons de la même chaîne qui relie le titulaire de carte à votre système et à la banque émettrice pour permettre le traitement des paiements.

Fournisseurs de services

Toute entité que vous engagez pour jouer un rôle dans le traitement des paiements est un fournisseur de services. Votre processeur de paiement est un fournisseur de services, tout comme l'entreprise qui héberge vos serveurs qui traitent les paiements (cloud ou physique), et l'entreprise qui développe votre logiciel de traitement de paiement (POS ou site web). Vous pouvez externaliser la fonction, mais vous restez responsable de la conformité. Même si vous utilisez un fournisseur de services certifié PCI, vous devez toujours valider votre propre conformité PCI. Utiliser un fournisseur certifié peut simplifier votre processus de conformité, mais ne vous exonère pas de vos responsabilités. Si vous utilisez une entité qui n'est pas certifiée PCI, votre propre évaluation doit inclure tout ce qu'ils font pour vous, tout comme si vous le faisiez vous-même. Consultez toujours votre acquéreur concernant vos obligations spécifiques de conformité.

Commerçant (vous)

Vous êtes une entité qui accepte les cartes de paiement portant les logos de l'une des marques de cartes exigeant la conformité au PCI DSS.

Consommateur (votre client)

Le titulaire de carte effectuant l'achat de biens et/ou services.

Marques de paiement

Une marque de paiement est toute marque de carte exigeant la conformité au PCI DSS. Cela inclut Visa, Mastercard, et plusieurs autres marques de cartes.

Objectifs de la Norme de Sécurité des Données PCI

Le PCI DSS comprend des exigences spécifiques regroupées sous les rubriques suivantes :

  • Construire et maintenir un réseau et des systèmes sécurisés.
  • Protéger les données de compte.
  • Maintenir un programme de gestion des vulnérabilités.
  • Mettre en œuvre des mesures de contrôle d'accès rigoureuses.
  • Surveiller et tester régulièrement les réseaux.
  • Maintenir une politique de sécurité de l'information.

La norme complète et les autres documents mentionnés dans cet article sont disponibles sur le site Web du PCI SSC ici :

Site officiel du PCI Security Standards Council

Principaux Avantages

Importance de la conformité au PCI DSS

La conformité au PCI DSS apporte des avantages majeurs à votre entreprise, tandis que le non-respect peut avoir de graves conséquences négatives à long terme. Voici les avantages pour votre entreprise :

  • Protection des données financières.
  • Augmentation de la confiance des clients grâce à un niveau de sécurité des données plus élevé.
  • Maintenir la confiance des clients et protéger la réputation.
  • Éviter le risque de sanctions financières.

La conformité est un processus continu, et non un événement ponctuel. Elle vous aide à prévenir les violations de sécurité et le vol de données de cartes de paiement, non seulement aujourd'hui, mais aussi à l'avenir car :

  • Vous voulez devancer les menaces alors que la compromission des données devient de plus en plus sophistiquée.
  • Vous bénéficierez des améliorations continues des Normes de Sécurité PCI.
  • Le PCI SSC propose des formations pour vous aider à garantir la sécurité de votre entreprise.
  • Lorsque vous restez conforme, vous faites partie de la solution – une réponse mondiale unie pour combattre la compromission des données de cartes de paiement.

La conformité a également des avantages indirects :

  • Si vous êtes conforme au PCI DSS, vous serez probablement mieux préparé à vous conformer à d'autres réglementations, telles que le RGPD.
  • Vous soutiendrez la gestion de la sécurité de l'information.

Plus que jamais, il est indispensable que vous mettiez en œuvre et mainteniez une sécurité renforcée autour des opérations, du stockage et de la transmission des données de cartes. Toujours considérer la sécurité à la lumière de :

  • Pertes dues à la fraude.
  • Préjudice à votre entreprise.
  • Coûts de réémission de cartes (ceux-ci vous sont répercutés).
  • Désagrément pour le titulaire de la carte.
  • Perte de confiance des consommateurs.
  • Publicité défavorable, dommages à la marque et à la réputation.

Flux de Processus

Étapes pour devenir et rester conforme au PCI DSS

Il y a deux étapes pour la conformité au PCI DSS : Évaluer et Rapporter.

Évaluer

Une fois que vous avez identifié où les données de carte touchent vos systèmes, vous avez défini le périmètre de l'évaluation. Si une partie des activités est réalisée par un fournisseur de services en votre nom, vous devrez obtenir des preuves qu'ils sont eux-mêmes conformes au PCI ou vous devrez étendre le périmètre de votre évaluation pour inclure leurs services comme si vous les effectuiez vous-même.
Si vous avez des adresses IP exposées à l'extérieur ("visibles sur internet") (sites e-commerce ou terminaux connectés IP), vous pourriez être obligé de passer des scans trimestriels ASV pour identifier les vulnérabilités existantes. Si vous devez effectuer des scans ASV, vous devrez avoir un scan réussi pour chaque trimestre de l'année précédant la date de l'évaluation. Si un scan échoue, vous devez avoir corrigé la cause et ensuite avoir reçu un scan réussi.
Une fois le périmètre confirmé, vous pourrez sélectionner le mécanisme de rapport correct pour votre conformité, comme décrit dans la section suivante.

Rapporter

  • Il n'y a qu'une seule "norme" contre laquelle rapporter – PCI DSS. Cette norme contient un grand nombre d'exigences et seules certaines d'entre elles peuvent s'appliquer à des types spécifiques d'entreprises. Pour aider les commerçants à rapporter leur conformité, le PCI SSC a créé deux types de rapports de conformité :
    1. Rapport de Conformité (ROC) : Contient toutes les exigences de la norme, peut être utilisé par toute entité en cours d'évaluation.
    2. Questionnaires d'Auto-Évaluation (SAQ) : Un ensemble de modèles contenant uniquement les exigences applicables à des environnements particuliers de paiement des commerçants. Ceux-ci incluent des modèles pour différents modes de paiements e-commerce et en face à face.
  • Si le scan ASV est requis par le modèle de rapport sélectionné, il sera inclus dans la liste des exigences que vous devrez satisfaire.
  • Vous serez tenu de nous fournir une preuve de votre conformité chaque année, qui sera soit :
    • Une copie de l'Attestation de Conformité (AOC) pour votre ROC,
    • Une copie du SAQ pour couvrir l'évaluation,
    • si applicable une copie du dernier rapport de scan ASV réussi.

Quel modèle de rapport puis-je utiliser ?

Si vous traitez plus de 6 millions de transactions par an, vous devrez documenter votre évaluation dans un Rapport de Conformité qui doit être signé par un Évaluateur de Sécurité Qualifié (Qualified Security Assessor ou QSA) externe ou par un employé actuellement certifié comme Évaluateur de Sécurité Interne (Internal Security Assessor ou ISA).

D'autres commerçants peuvent être éligibles pour s'auto-évaluer et rapporter leur conformité en utilisant un SAQ. Des directives sur les types de SAQ peuvent être trouvées sur le site du PCI SSC ici :

Site officiel du Conseil des Normes de Sécurité PCI

Fournisseur de Scan Approuvé

Si vous avez une adresse IP exposée sur internet, vous devez effectuer un scan réseau par un Fournisseur de Scan Approuvé (ASV). Le type de SAQ applicable à votre entreprise contiendra l'exigence de réaliser des scans ASV si cela est requis. Une liste de ASV peut être trouvée sur le site du PCI SCC en utilisant le lien suivant :

Site officiel du Conseil des Normes de Sécurité PCI

Évaluateur de Sécurité Qualifié

Si vous avez été déterminé comme étant classifié comme un commerçant de niveau 1 (plus de 6 millions de transactions annuelles), le Rapport de Conformité peut devoir être complété par un Évaluateur de Sécurité Qualifié (QSA) ou un Évaluateur de Sécurité Interne (ISA) employé par votre entreprise. Vous pouvez trouver une liste des entreprises QSA en utilisant le lien suivant :

Site officiel du Conseil des Normes de Sécurité PCI

Informations Supplémentaires

Ce que vous devez faire en cas de suspicion de violation

Être conforme au PCI DSS réduit le potentiel de vol ou d'utilisation frauduleuse des données de carte de crédit. Cependant, une violation peut toujours se produire ou être suspectée en raison d'une erreur humaine, d'une fraude interne ou de vulnérabilités inconnues auparavant. Que devez-vous faire si vous soupçonnez ou constatez une violation des données de carte de paiement ?

Notification de Violation Suspectée

Initiée par vous-même

Si vous soupçonnez une violation de carte de paiement, vous devez immédiatement informer votre ou vos acquéreurs, prestataires de services de paiement, et/ou marques de cartes.

Vous pouvez envoyer une violation (suspectée) relative à Worldline par l'intermédiaire de votre gestionnaire de compte.

Initiée par les marques de cartes - Rapport de Point d'achat commun (Common Point-of-Purchase ou CPP)

Les marques de cartes enquêtent et déterminent si toutes les cartes déclarées comme ayant été sujettes à des activités frauduleuses ont été utilisées chez le même commerçant sur une période spécifique. Ce test, connu sous le nom de “point d'achat commun” ou CPP, est un des moyens principaux pour déterminer la source d'une violation de carte.

Vous pouvez recevoir un rapport de Point d'achat commun (CPP) via votre acquéreur ou votre prestataire de services de paiement.

Lorsqu'un rapport de Point d'achat commun (CPP) est reçu, il est vital d'agir rapidement et de communiquer directement avec votre ou vos acquéreurs et/ou prestataires de services de paiement. En le faisant, les conséquences financières et l'impact négatif sur l'entreprise résultant de la violation de carte peuvent être minimisés. Vous devez vous assurer que vous ne faites rien qui pourrait compromettre des preuves pouvant être requises lors d'une enquête ultérieure.

    Enquête complémentaire – si nécessaire

    Enquêteur forensique PCI (PCI Forensic Investigator ou PFI)

    Vous pourriez être contraint de recruter un Enquêteur forensique PCI (PFI). Le PFI visera à identifier où dans votre environnement une violation suspectée a eu lieu, l'étendue de la compromission des données, et les étapes de remédiation que vous devez prendre. Vous pouvez trouver une entreprise PFI appropriée sur la liste du Conseil des Normes de Sécurité PCI.

    Site officiel du Conseil des Normes de Sécurité PCI

    Atténuation

    Si le PFI détermine qu'il y a eu une violation de données, il est essentiel de prendre des mesures pour atténuer ou éliminer immédiatement l'exposition existante. Les retards entraînant des temps d'exposition plus longs peuvent augmenter la taille de la violation et également augmenter les amendes associées imposées par les marques de cartes. En général, les amendes des marques de cartes sont répercutées de l'acquéreur aux Prestataires de Services de Paiement et finalement à vous.

    Cette page vous a-t-elle été utile ?

    Avez-vous des commentaires ?

    Merci pour votre réponse.
    Aide & Informations
    Infos API
    Outils de développement
    © 2025 | Worldline | Terms of use | Notice relative à la vie privée | Notice relative aux cookies
    New Feature

    Try out our new chatbot and find answers to all your questions.