FAQ PCI-DSS

Questions générales

PCI DSS est l'acronyme anglais de Payment Card Industry Data Security Standard. Une traduction française serait « standard de sécurité des données pour l’industrie des cartes de paiement ».
Vous pourrez trouver d'autres informations ici (en anglais).
Les données de la carte bancaire que sont le numéro de carte, la date de fin de validité et les trois chiffres au dos de la carte sont devenues sensibles car elle permettent de faire un paiement sur internet sans présence physique de la carte. Les fraudeurs cherchent à capturer ces numéros en attaquant les systèmes d'information des acteurs qui stockent ces données. Le programme PCI DSS vise à améliorer la sécurité physique et logique des systèmes d'information en demandant aux acteurs de respecter des bonnes pratiques de sécurité.
Vous pouvez obtenir plus d'informations en lisant PCI for the Dummies (uniquement en anglais).
Le standard PCI DSS liste un ensemble de points de contrôles relatifs aux systèmes d'informations qui capturent, transportent, stockent et traitent des données de cartes bancaires. Les points de contrôles sont relatifs à des techniques informatiques mais également àdes procédures et à des contrôles organisationnels sur ces systèmes. Le standard PCI DSS et les autres standards associés sont disponibles sur le site de PCI Security Standards Council (PCI SSC, voir ci-dessous) à cette adresse
La conformité à PCI DSS permet de vérifier que les points de contrôles sont bien mis en œuvre et qu'ils sont efficaces pour la protection des données de cartes bancaires. Cette conformité passe selon la taille du commerçant (voir niveau de commerçant) par un audit effectué par un auditeur agréé ou par un questionnaire d'auto-évaluation à remplir par l'acteur concerné et à le transmettre à sa banque. Cette conformité doit être vérifiée annuellement ainsi que par des tests techniques validant la bonne protection du site de l'acteur.
Aux Banques, aux commerçants et aux processeurs de transactions monétiques .
Le programme PCI DSS s’adresse à tous les acteurs qui capturent, transportent, stockent et/ou traitent des données de cartes bancaires. Les commerçants de proximité, les marchands sur internet, les réseaux de transport, les centres d’appels, les banques, les émetteurs de cartes font partie des acteurs concernés par PCI DSS.
Le programme PCI DSS s’applique à tout acteur qui stocke, traite ou transmet des données de cartes bancaires. Le nombre de données cartes manipulées importe peu même si le risque est proportionnel au volume de transactions de paiement traitées. Les acteurs qui traitent manuellement et stockent des supports papier contenant des données de cartes bancaires sont également concernés (reçus papier, talon de commande, données reçues par fax ou mail.
Source : GIE-CB