Nous avons reçu beaucoup de questions ces derniers temps sur la conformité PCI des commerçants et des fournisseurs de services, nous avons donc pensé que nous écririons ceci pour tout le monde. Si vous débutez dans la conformité PCI, voici un aperçu pour vous mettre au courant. La norme PCI DSS s’applique à tout commerçant ou fournisseur de services qui gère, traite, stocke ou transmet des données de carte de crédit.
Marchands
Pour les commerçants, le Conseil des normes de sécurité PCI a fourni des outils de validation de la conformité sur votre honneur sous la forme de Questionnaires d’auto-évaluation (SAQ). Il y a quatre SAQ: A, B, C et D. Les SAQ ont été conçues pour s’adapter à la fois à différents types d’entreprises, c’est-à-dire le restaurant / commerce électronique, et à différentes méthodes de traitement des affaires, c’est-à-dire que le commerçant ne traite pas, ne traite pas ou ne stocke pas les données de carte de crédit. Les grands commerçants qui traitent des millions de transactions par an doivent faire réaliser un audit sur place par un évaluateur de sécurité qualifié.
Voici deux exemples de la façon dont un commerçant choisirait une SAQ en particulier:
Si un commerçant en commerce électronique accepte le paiement par carte de crédit via son site Web et stocke ensuite les informations de carte de crédit pour de futurs achats, il devra remplir le formulaire SAQ D, ou le formulaire long tel qu’il est connu, car il gère, traite et stocke les données de carte de crédit. SAQ D inclut les ~ 250 contrôles complets de la norme PCI DSS et nécessite la plus grande quantité de temps, d’énergie et d’argent.
Inversement, si un commerçant en commerce électronique n’accepte que le paiement par carte de crédit via son site Web et ne gère pas, ne traite pas et ne stocke pas les données de carte de crédit en utilisant une API comme la nôtre ou une page hébergée, le commerçant peut prétendre à la SAQ A, la plus courte des quatre. Il comprend environ 20 contrôles et peut être complété très rapidement. En plus de cette SAQ, certains processeurs et / ou QSA exigeront également que le commerçant s’inscrive à un service de numérisation des adresses IP orientées vers l’extérieur – même s’il n’y a pas de données de carte de crédit à voler. Nous l’avons vu se disputer dans les deux sens.
Il est important de noter dans ce deuxième exemple que si ce commerçant accepte des paiements par carte de crédit par téléphone, en plus du site Web, il ne sera plus admissible à la formule abrégée SAQ A car il traite, transmet et potentiellement stocke désormais des données de carte de crédit dans son environnement. Ils devront plutôt remplir le C de la SAQ.
Fournisseurs de services
Comme les commerçants, toute entreprise qui traite, manipule ou stocke des données de carte de crédit pour le compte d’un commerçant doit être conforme à la norme PCI DSS. Visa tient à jour une liste des Fournisseurs de Services mondiaux validés par la norme PCI DSS sur son site Web. Les commerçants sont tenus de s’assurer que leur fournisseur a été validé comme conforme à la norme PCI DSS. L’atteinte de la conformité de niveau 1 nécessite un audit sur site par un évaluateur de sécurité qualifié.
Principes de base de la conformité PCI
Coût d’une violation de carte de crédit