FAQ

B – Valider sa conformité à PCI DSS ?

Oui, tous les commerçants devront à terme être conformes à PCI DSS.
Qu’un marchand accepte quelques paiements par carte par an ou plusieurs millions, il peut être classé dans l’un des quatre niveaux suivants définis par les réseaux internationaux :

Niveau Type d'activité Actions requises pour la conformité
1 Tout commerçant traitant plus de 6 millions de transactions Visa ou MasterCard par an.
Tout commerçant ayant subit une compromission
Audit de sécurité sur site (ou SAQ pour Visa Europe) Scan de vulnérabilité trimestriel (si commerce en ligne)
2 Tout commerçant traitant de 1 à 6 millions de transactions Visa ou MasterCard par an. Questionnaire d’auto-évaluation annuel (SAQ) Scan de vulnérabilité trimestriel (si commerce en ligne)
3 Tout commerçant traitant de 20.000 à 1 million de transactions Visa ou MasterCard par an Questionnaire d’auto-évaluation annuel (SAQ) Scan de vulnérabilité trimestriel (si commerce en ligne)
4 Tout commerçant traitant moins de 20.000 transaction de commerce en ligne Visa ou MasterCard par an. Tous les autres commerçants traitant jusqu’à 1 million de transactions Visa ou MasterCard par an Questionnaire d’auto-évaluation annuel Scan de vulnérabilité trimestriel recommandé (si commerce en ligne) (cela dépend si les données sont capturées, stockées ou transmises par l’infrastructure du commerçant ou par un fournisseur de services)
Si une compromission intervient chez un commerçant ou l’un de ses prestataires, le commerçant est automatiquement reclassifié en niveau 1 pour 12 mois après avoir validé sa conformité.
Des tableaux similaires précisant les spécificités de chaque réseau peuvent être consultés sur les sites de Visa et MasterCard.

Un commerçant qui est de niveau 2 à 4 doit remplir un questionnaire d’auto-évaluation adapté à son activité. Les questionnaires d’auto-évaluation (SAQ, Self-Assessment Questionnaire) sont des documents contenant une série de questions auxquelles le commerçant doit répondre. Les formats types de ces questionnaires sont maintenus par le PCI SSC et sont disponibles sur son site.

Le commerçant doit remplir deux documents, le questionnaire d’auto-évaluation et l’attestation de conformité par laquelle il certifie que les réponses au questionnaire sont vraies et qu’il a mis en place toutes les mesures de PCI DSS pour protéger les données cartes de paiement, qu’il traite.
Une fois que le questionnaire et l’attestation de conformité ont été remplis et signés par l’acteur concerné, celui-ci doit le remettre à l’établissement de paiement ou de crédit avec lequel il a un contrat d’acceptation de cartes de paiement.
Il y a cinq types de questionnaires différents selon l’activité du commerçant :

  • Questionnaire A: s’applique à une activité où la carte est non-présente (commerce électronique ou commande par téléphone ou mail) ou lorsque toutes les fonctions liées aux données cartes bancaires sont externalisées.
  • Questionnaire B: s’applique à une activité où seule une empreinte de carte est prise sans stockage électronique des données ou pour un terminal autonome qui ne stocke pas les données.
  • Questionnaire C-VT: s’applique à une activité qui utilise des terminaux virtuels basés sur un site web sans stockage électronique des données.
  • Questionnaire C: s’applique à une activité qui utilise une application de paiement connectée à Internet sans stockage électronique des données.
  • Questionnaire D: s’applique à toutes les autres activités non décrites dans les types A à C ci-dessus et tous les fournisseurs de service définis par un réseau international éligibles à remplir un questionnaire d’auto-évaluation.
Toutes les exigences des 12 rubriques de sécurité doivent être remplies. En revanche certaines exigences peuvent ne pas être applicables par la nature même de l’activité du commerçant (vente à distance, proximité, commerce électronique, etc.). Par exemple, si un commerçant n’utilise pas de solutions Wifi, les exigences correspondantes ne s’appliquent pas.
Une mesure compensatoire est une solution visant à atteindre l’objectif de sécurité d’une exigence qui peut être différente de celle proposée par le standard. Dans certains cas dus à des contraintes issues de l’activité métier ou à des implémentations techniques particulières, l’exigence ne peut pas être remplie selon les dispositions explicitement proposées par la norme. La mesure compensatoire doit présenter la même couverture de risque que la mesure initialement prévue et doit satisfaire des critères précis :

  • Elle doit respecter l’intention et la rigueur de la mesure initiale ;
  • Elle doit fournir une protection similaire à celle de la mesure initiale, de sorte que la mesure compensatoire couvre autant le risque que la mesure initiale devait le faire ;
  • Elle ne doit pas se réduire à reprendre d’autres mesures déjà en place afin couvrir l’objectif de sécurité concerné, mais aller au-delà des autres mesures de PCI DSS ;
  • Elle doit prendre en compte le risque additionnel qu’implique le non respect strict de la mesure initiale.

A ce jour, chaque banque est dans l’obligation de communiquer aux réseaux internationaux son propre déclaratif de conformité à PCI DSS, pour les commerces et prestataires de services qu’elle gère.

CB travaille avec ses membres et les réseaux internationaux sur une possibilité de déclaratif unique qu’il pourrait émettre pour le compte de ses membres
OUI, elle dépend de la réglementation des réseaux en la matière :

  • Pour Visa :
    • Implémentation au travers des programmes AIS (Account Information Security) et DCRS (Data Compromise Recovery Solution de Juil. 2007).
    • Implémentation obligatoire de ce programme depuis le 27 Fev. 2009 (Cf. ML VE 28/06)

    cf. ML VE 27/09 :
    • Pour le 01 Oct. 2009 : Tous les commerçants Internet doivent soit être conformes à PCI DSS, soit utiliser un prestataire de service conforme à PCI DSS.
    • A compter du 1 octobre 2010 : les acquéreurs doivent s’assurer que tous leurs sous traitants de services relatifs au paiement, sont certifiés PCI DSS.
    • Pour le 31 décembre 2012 : les acquéreurs doivent s’assurer que tous leurs commerçants sont totalement conformes à PCI DSS ou bien utilisent une application conforme PA DSS.


  • Pour MCW :
    • Implémentation au travers des programmes SDP (Site Data Protection) et ADC (Account Data Compromise de Avr. 2010).

    Cf. Global Security Bulletin N°12 (déc. 2009) , modifié par Q2 2010 newsletter:
    • Immédiatement :
      Pour les commerces de niveau 1: ils doivent être conformes à PCI DSS. L’audit par un QSA est non formellement obligatoire (peut être réalisé en interne).
      A partir du 1 juillet 2011 : Si ‘self audit’ ,l’auditeur interne doit avoir suivi la formation PCISSC (ISA training) et subi les examens avec succès.

    • Immédiatement :
      Pour les commerces de niveau 2: ils doivent être conformes à PCI DSS, via la réalisation d’un SAQ.
      A partir du 1 juillet 2011 : les personnels d’audit interne doivent avoir suivi la formation PCISSC (ISA training) et subi les examens avec succès.


  • Pour CB :
    • CODIR de Juin 2007 : le GIE CB demande aux industriels de développer immédiatement le masquage de la zone discrétionnaire de la piste magnétique (Bulletin N°10 CB).
    • CODIR de Nov. 2007 : L’ensemble des contrats acceptation ‘VAD sécurisée’ doit être modifié avec une clause d’interdiction de stockage des données sensibles, éditée comme suit : ‘ l’Accepteur s’engage à ne pas stocker, sous quelque forme que ce soit, aucune des données cartes suivantes : cryptogramme visuel, piste magnétique dans son intégralité, code confidentiel’.
    • Aspects obligatoirement inclus dans les contrats ‘Acceptation CB VADS’ à partir de Juillet 2008.
    • CODIR de Juin. 2010 : Une clause mentionnant clairement l’obligation de conformité à PCI DSS sera intégrée à l’ensemble des contrats acceptation CB à compter du 2nd semestre 2010.
    • Le bulletin N°13 CB (obligatoire à compter du 1er janvier 2011) permet une mise en conformité à PCI DSS de la troncature du PAN présent sur le ticket commerçant.
Source : GIE-CB