PCI DSS version 4 QSA et SAQ

La certification PCI DSS est la seule évaluation de conformité autorisée pour les commerçants et les prestataires de services qui traitent des cartes de crédit. Elle est obligatoire pour toutes les entreprises qui traitent des cartes de crédit de se faire certifier chaque année.

La norme PCI DSS s'applique à toutes les entités impliquées dans le traitement des cartes de paiement, y compris les commerçants, les processeurs, les acquéreurs, les émetteurs et les prestataires de services. La norme PCI DSS s'applique également à toutes les autres entités qui stockent, traitent ou transmettent des données de titulaire de carte (CHD) et/ou des données d'authentification sensibles (SAD).

Les modules comprennent:

  • Marchand et fournisseur de services de niveau 1 ROC et AOC
  • Niveau 2, 3 et 4 SAQ A
  • Niveaux 2, 3 et 4 SAQ A-EP
  • Niveau 2, 3 et 4 SAQ B
  • Niveaux 2, 3 et 4 du SAQ B-IP
  • Niveau 2, 3 et 4 SAQ C
  • Niveaux 2, 3 et 4 du SAQ C-VT
  • Marchands SAQ D de niveaux 2, 3 et 4
  • Fournisseurs de services SAQ D de niveaux 2, 3 et 4

Marchand de niveau 1

  • RoC PCI DSS
    PCI DSS AoC pour les commerçants
    Annexe E de la norme PCI DSS : Explication des exigences non testées
    Annexe D de la norme PCI DSS : Explication de la non-applicabilité
    Annexe C de la norme PCI DSS : Feuille de travail sur les contrôles compensatoires
    Annexe A de la norme PCI DSS : exigences supplémentaires pour les fournisseurs d'hébergement partagé
    Plan d'action PCI DSS pour les exigences non conformes

Fournisseur de services de niveau 1

  • RoC PCI DSS
    Fournisseurs de services PCI DSS AoC
    Annexe E de la norme PCI DSS : Explication des exigences non testées
    Annexe D de la norme PCI DSS : Explication de la non-applicabilité
    Annexe C de la norme PCI DSS : Feuille de travail sur les contrôles compensatoires
    Annexe A de la norme PCI DSS : exigences supplémentaires pour les fournisseurs d'hébergement partagé
    Plan d'action PCI DSS pour les exigences non conformes

Niveau 2, 3 et 4

  • SAQ A et AOC SAQ A : Commerçants sans carte (commerce électronique ou commande par correspondance/téléphone) qui ont entièrement externalisé toutes les fonctions de données des titulaires de carte à des prestataires de services tiers validés PCI DSS, sans stockage, traitement ou transmission électronique des données des titulaires de carte sur les systèmes ou locaux du commerçant. Ne s'applique pas aux canaux en face à face.
  • SAQ A-EP et AOC SAQ A-EP : Commerçants en ligne qui sous-traitent l'ensemble du traitement des paiements à des tiers certifiés PCI DSS et qui disposent d'un ou plusieurs sites Web qui ne reçoivent pas directement les données des titulaires de carte, mais qui peuvent avoir un impact sur la sécurité de la transaction de paiement. Aucun stockage, traitement ou transmission électronique des données des titulaires de carte sur les systèmes ou locaux du commerçant. Applicable uniquement aux canaux de commerce électronique.
  • SAQ B et AOC SAQ B : Commerçants utilisant uniquement des machines d'impression sans stockage électronique des données des titulaires de cartes et/ou des terminaux autonomes à accès commuté sans stockage électronique des données des titulaires de cartes. Ne s'applique pas aux canaux de commerce électronique.
  • SAQ B-IP et AOC SAQ B-IP : Commerçants utilisant uniquement des terminaux de paiement autonomes, approuvés par le PTS, avec une connexion IP au processeur de paiement, sans stockage électronique des données des titulaires de cartes. Ne s'applique pas aux canaux de commerce électronique.
  • SAQ C et AOC SAQ C : Commerçants disposant de systèmes d'application de paiement connectés à Internet, sans stockage électronique des données des titulaires de cartes. Ne s'applique pas aux canaux de commerce électronique.
  • SAQ C-VT et AOC SAQ C-VT : Commerçants qui saisissent manuellement une seule transaction à la fois à l'aide d'un clavier dans une solution de terminal virtuel basée sur Internet fournie et hébergée par un fournisseur de services tiers validé PCI DSS. Pas de stockage électronique des données des titulaires de cartes. Ne s'applique pas aux canaux de commerce électronique.
  • SAQ D Marchand et AOC SAQ D - Marchands : Tous les commerçants non inclus dans les descriptions des types de SAQ ci-dessus.
  • SAQ D Fournisseur de services et AOC SAQ D - Fournisseurs de services Formulaire supplémentaire AOC pour les fournisseurs de services - Section 2g : Tous les prestataires de services définis par une marque de paiement comme étant éligibles pour remplir un SAQ.

Conformité et conseils en matière de préparation à la norme PCI DSS

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble d'exigences spécifiques et rigoureuses que les entreprises doivent respecter pour protéger les données de cartes de crédit. Ces mesures visent à prévenir la fraude et les violations de données. Les commerçants en ligne et hors ligne, ainsi que tous les prestataires de services qui traitent les données des titulaires de cartes, doivent s'y conformer.

La conformité implique la configuration du pare-feu, la sécurité du réseau, une surveillance rigoureuse et des analyses régulières pour détecter les vulnérabilités. Le niveau de conformité requis est déterminé par le volume de transactions par carte traitées chaque année, du plus bas (moins de 20,000 6) au plus élevé (XNUMX millions ou plus).

Des fonctionnalités rapides pour une conformité rapide

Accélérez votre mise en conformité PCI DSS grâce à des ressources automatisées qui évaluent votre système, détectent les failles et génèrent des rapports. Utilisez des systèmes rationalisés pour une surveillance continue et des rapports en temps réel, permettant ainsi une résolution plus rapide des problèmes de sécurité des données de carte.

Concentrez-vous sur les aspects clés de la gestion des risques (identification et correction) pour agir rapidement. Incluez vos fournisseurs dans ces normes.

Renforcez vos contrôles de sécurité, notamment en effectuant régulièrement des mises à jour logicielles avec les dernières mises à jour et correctifs de sécurité. Adoptez des mots de passe plus robustes et standardisez-les. Réduisez les risques de fuites de données et d'exposition en ne stockant que les informations essentielles.

Voici quelques étapes rapides vers la conformité PCI DSS.

Identifier, exploiter et documenter les politiques

La conformité PCI repose sur la mise en œuvre de politiques clés pour protéger les données du secteur des cartes de paiement. L'objectif principal est de protéger les informations des titulaires de cartes. Cette approche de gestion des vulnérabilités nécessite des mises à jour régulières des logiciels et des antivirus, la limitation de l'accès aux données des titulaires de cartes et la garantie de la sécurité des systèmes réseau, avec chiffrement de toutes les transmissions.

Les exigences PCI DSS exigent des systèmes fournissant des informations en temps réel sur les points à améliorer. Identifiez les atouts de votre organisation et vos besoins. Documenter les politiques de sécurité internes est également essentiel pour prouver votre conformité à la norme de sécurité des données PCI.

Les audits PCI de Continuum GRC peuvent grandement rationaliser ce processus.

QFP 

Cela dépend du volume de transactions traitées chaque année. Les commerçants de niveau 1 (ceux dont le nombre de transactions atteint les 6 millions et plus) sont tenus de se soumettre à des audits PCI annuels sur site. Les prestataires de services des commerçants de niveau 1 doivent également se soumettre à un audit annuel, tout comme toute organisation ayant subi une violation de données. Les autres niveaux peuvent procéder à des auto-évaluations trimestrielles.

Il existe quatre niveaux de conformité PCI, basés sur le volume annuel de transactions par carte de crédit effectuées.

  • Niveau 1 : Plus de 6 millions de transactions.
  • Niveau 2 : 1 à 6 millions de transactions.
  • Niveau 3 : 200,000 1 à XNUMX million de transactions.
  • Niveau 4 : Moins de 200,000 XNUMX transactions.

Une fois votre audit de conformité PCI DSS terminé, vous recevrez un rapport de conformité complet. Ce rapport met en évidence les failles de sécurité et propose des recommandations pour y remédier. Vous recevrez également d'autres mesures à prendre pour respecter les normes de sécurité PCI. Ce rapport comprendra des documents justificatifs attestant de la conformité PCI DSS, à partager avec les parties prenantes.

Le coût des audits PCI varie selon la taille de l'entreprise. Les grandes entreprises débourseront entre 50,000 200,000 et 20,000 XNUMX dollars. Les petites entreprises débourseront XNUMX XNUMX dollars ou moins. Nombre d'entre elles peuvent s'auto-évaluer à l'aide d'un questionnaire d'auto-évaluation (QAE) et d'une attestation de conformité (AOC).

Un audit de conformité PCI DSS fait appel à un évaluateur de sécurité qualifié. Au sein de l'organisation auditée, des membres du service informatique interne et des équipes de conformité participent également à l'audit. Enfin, le Conseil des normes de sécurité PCI (PCI SSC) définit les normes des audits et en supervise l'intégrité.

Qu'attendez-vous?

Vous n’êtes qu’à une conversation de mettre la puissance de Continuum GRC à votre service. 

Contactez-nous en utilisant le formulaire ci-dessous ou en nous appelant au 1-888-896-6207 pour une assistance immédiate.

Téléchargez notre brochure d'entreprise.

À propos de la norme

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité conçues pour garantir que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations de carte de crédit bénéficient d'un environnement sécurisé. Vous trouverez ci-dessous un aperçu concis de la conformité à la norme PCI DSS, en mettant l'accent sur ses principaux composants, exigences et processus de conformité.

Présentation de PCI DSS

La norme PCI DSS a été établie par le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC), fondé par les principales marques de cartes (Visa, MasterCard, American Express, Discover et JCB). Elle s'applique à toute organisation manipulant des données de titulaires de cartes, notamment les commerçants, les processeurs, les acquéreurs, les émetteurs et les prestataires de services. Elle vise à protéger les données des titulaires de cartes et à réduire les risques de violation de données.

La version actuelle de PCI DSS (en date d'août 2025) est 4.0, qui a été publié en mars 2022 et est pleinement en vigueur à compter du 31 mars 2024, avec une période de transition pour les nouvelles exigences s'étendant jusqu'au 31 mars 2025.

Objectifs clés de la norme PCI DSS

La norme PCI DSS s'articule autour de six objectifs principaux :

  1. Construire et maintenir un réseau et des systèmes sécurisés
  2. Protéger les données des titulaires de carte
  3. Maintenir un programme de gestion des vulnérabilités
  4. Mettre en œuvre des mesures de contrôle d'accès strictes
  5. Surveiller et tester régulièrement les réseaux
  6. Maintenir une politique de sécurité de l'information

12 exigences fondamentales de la norme PCI DSS

Ces objectifs sont décomposés en 12 exigences de haut niveau, chacune avec des sous-exigences détaillées :

  1. Installer et maintenir les contrôles de sécurité du réseau (par exemple, pare-feu, configurations sécurisées).
  2. Appliquer des configurations sécurisées aux systèmes (par exemple, supprimer les comptes par défaut, désactiver les services inutiles).
  3. Protégez les données de titulaire de carte stockées (par exemple, chiffrement, troncature ou tokenisation).
  4. Crypter la transmission des données du titulaire de la carte sur des réseaux ouverts ou publics (par exemple, en utilisant TLS).
  5. Protéger les systèmes contre les logiciels malveillants et mettez régulièrement à jour votre logiciel antivirus.
  6. Développer et maintenir des systèmes et des logiciels sécurisés (par exemple, appliquer des correctifs de sécurité, suivre des pratiques de codage sécurisées).
  7. Restreindre l'accès aux données des titulaires de carte par le besoin de savoir des entreprises.
  8. Identifier les utilisateurs et authentifier l'accès aux composants du système (par exemple, identifiants uniques, mots de passe forts).
  9. Restreindre l'accès physique aux données des titulaires de cartes (par exemple, sécuriser les centres de données, limiter l'accès des employés).
  10. Surveiller et enregistrer les accès aux ressources réseau et aux données des titulaires de cartes.
  11. Tester régulièrement les systèmes et processus de sécurité (par exemple, analyses de vulnérabilité, tests de pénétration).
  12. Soutenir la sécurité de l'information avec les politiques et les programmes organisationnels.

Niveaux de conformité

La conformité PCI DSS est classée en quatre niveaux de commerçants en fonction du volume de transactions (par marque de carte et par an) :

  • Niveau 1:Les commerçants traitant plus de 6 millions de transactions ou ceux qui ont subi une violation de données.
  • Niveau 2:Commerçants traitant de 1 à 6 millions de transactions.
  • Niveau 3:Commerçants traitant entre 20,000 1 et XNUMX million de transactions de commerce électronique.
  • Niveau 4:Commerçants traitant moins de 20,000 1 transactions de commerce électronique ou jusqu'à XNUMX million de transactions au total.

Les fournisseurs de services (par exemple, les passerelles de paiement, les fournisseurs d'hébergement) sont classés en :

  • Niveau 1:Ceux qui traitent plus de 300,000 XNUMX transactions par an.
  • Niveau 2:Ceux qui traitent moins de 300,000 XNUMX transactions.

Processus de conformité

  1. Évaluer: Identifier les données des titulaires de cartes, évaluer les systèmes et les processus et évaluer la conformité aux exigences PCI DSS.
  2. Remédier: Combler les lacunes ou les vulnérabilités constatées lors de l’évaluation.
  3. Rapport: Soumettre des documents de conformité, tels qu'un questionnaire d'auto-évaluation (SAQ) pour les petits commerçants ou un rapport de conformité (ROC) pour les commerçants de niveau 1, validé par un Évaluateur de sécurité qualifié (QSA) ou évaluateur de la sécurité intérieure (ISA).
  4. Surveiller et maintenir:Surveiller en permanence les systèmes, effectuer des analyses de vulnérabilité trimestrielles et procéder à des réévaluations annuelles.

Changements clés dans PCI DSS 4.0

  • Implémentation personnalisée:Permet aux organisations d’utiliser des contrôles alternatifs pour répondre aux exigences, à condition qu’ils atteignent les mêmes objectifs de sécurité.
  • Souplesse accrue: Se concentrer sur les approches basées sur les risques, permettant aux organisations d’adapter les contrôles à leur environnement.
  • Exigences futures:Certaines exigences (par exemple, les méthodes d’authentification améliorées) sont devenues obligatoires après le 31 mars 2025.
  • Validation améliorée:Une plus grande importance est accordée à la conformité continue plutôt qu’aux évaluations ponctuelles.

Conséquences de la non-conformité

Le non-respect de la norme PCI DSS peut entraîner :

  • Amendes imposées par les marques de cartes (allant de 5,000 100,000 $ à XNUMX XNUMX $ par mois).
  • Frais de transaction augmentés.
  • Perte des privilèges de traitement des cartes.
  • Atteinte à la réputation et responsabilités légales en cas de violation de données.

Meilleures pratiques de conformité

  • Minimiser le stockage des données: Ne stockez les données du titulaire de la carte que lorsque cela est absolument nécessaire.
  • Utiliser un cryptage fort:Protégez les données au repos et en transit.
  • Formation régulière: Sensibiliser les employés aux politiques de sécurité.
  • Engager des experts: Travailler avec des QSA ou des consultants pour des environnements complexes.
  • Contrôle continu: Mettre en œuvre une analyse et une journalisation continues des vulnérabilités.

Ressources

Des avantages incroyables

Vignette YouTubeYouTube icône