Vous lancez une boutique en ligne. Vous allez accepter des paiements par carte.
Quelqu'un vous parle de "conformité PCI". Vous hochez la tête, mais vous ne savez pas vraiment ce que c'est.
Voici l'explication simple.
PCI, ça veut dire quoi ?
Payment Card Industry Data Security Standard.
En français : les règles de sécurité pour manipuler les données de cartes de crédit.
Créé en 2004 par Visa, Mastercard, American Express et les autres grands réseaux.
Pourquoi ça existe ?
Dans les années 90-2000, c'était le chaos. Chaque commerçant gérait les paiements à sa façon.
Résultat : des millions de cartes volées chaque année.
Les compagnies de cartes ont dit : "Assez. Voici les règles. Tout le monde les suit."
Qui doit être conforme ?
Tout le monde qui touche à des données de cartes.
- Vous vendez en ligne ? Oui.
- Vous avez un terminal de paiement en magasin ? Oui.
- Vous stockez des numéros de carte ? Absolument oui.
- Vous sous-traitez tout à Stripe ? Presque non (on y revient).
Les 4 niveaux de conformité
PCI classe les commerçants selon leur volume de transactions annuelles.
Niveau 1 : Plus de 6 millions de transactions/an
- Audits annuels obligatoires par un expert externe
- Scans de sécurité trimestriels
- Coût : 50 000 $ à 200 000 $/an
- Questionnaire d'auto-évaluation annuel
- Scans de sécurité trimestriels
- Coût : 5 000 $ à 20 000 $/an
- Questionnaire d'auto-évaluation annuel
- Scans de sécurité trimestriels
- Coût : 2 000 $ à 10 000 $/an
- Questionnaire d'auto-évaluation annuel
- Coût : gratuit à 1 000 $/an
Les 12 exigences de base
PCI définit 12 règles principales. En résumé :
1-2. Sécurité réseau
- Pare-feu configuré correctement
- Pas de mots de passe par défaut
- Chiffrer les données stockées
- Chiffrer les transmissions sur réseaux publics
- Antivirus à jour
- Systèmes et applications sécurisés
- Limiter l'accès aux données
- Authentification unique par utilisateur
- Restreindre l'accès physique
- Journaliser tous les accès
- Tester régulièrement la sécurité
- Maintenir une politique de sécurité
La solution moderne : déléguer
Quand vous utilisez Stripe Checkout ou PayPal, voici ce qui se passe :
1. Votre client clique "Payer" 2. Il est redirigé vers Stripe/PayPal 3. Il entre sa carte là-bas 4. Stripe/PayPal traite le paiement 5. Votre site reçoit une confirmation
Les données de carte ne touchent jamais vos serveurs.
Techniquement, vous ne les "manipulez" pas. Vous êtes donc dans la catégorie la plus simple : SAQ-A.
SAQ-A : le questionnaire facile
SAQ = Self-Assessment Questionnaire (questionnaire d'auto-évaluation).
Il existe plusieurs versions selon votre situation. SAQ-A est la plus courte.
22 questions. Exemples :
- Votre site est-il en HTTPS ?
- Utilisez-vous un processeur de paiement externe ?
- Avez-vous une politique de sécurité ?
Vous le remplissez une fois par an.
Que se passe-t-il si vous n'êtes pas conforme ?
Amendes :
- 5 000 $ à 100 000 $ par mois de non-conformité
- Jusqu'à 500 000 $ en cas de violation de données
- Votre processeur de paiement peut vous couper
- Vous ne pouvez plus accepter de cartes
- Votre réputation est détruite
Ce qu'il faut retenir
PCI existe pour protéger les données de cartes.
Si vous débutez :
- Choisissez Stripe ou PayPal
- Gardez votre site en HTTPS
- Remplissez le questionnaire SAQ-A une fois par an
- Ne stockez jamais de numéros de carte
- Préparez-vous aux vérifications d'identité
Ressources
Site officiel PCI : pcisecuritystandards.org
Questionnaires SAQ : Disponibles gratuitement sur le site PCI
Stripe et conformité : stripe.com/guides/pci-compliance
PayPal et conformité : paypal.com/pci
La conformité PCI n'est pas optionnelle. Mais elle n'a pas besoin d'être compliquée.