11 février 2021
La certification PCI DSS ou « Payment Card Industry Data Security Standard » désigne une norme de sécurité mondiale des données bancaires. Il s’agit d’un ensemble d’exigences minimales visant à améliorer la sécurité des données des consommateurs en ligne, afin de favoriser la confiance dans l’écosystème du paiement digital. Quels sont les critères à respecter pour bénéficier de la certification PCI DSS ? Est-ce suffisant pour se prémunir de tout cyber-piratage ? Explications.
L’avènement du e-commerce et le récent essor des marketplaces s’est accompagné d’un risque croissant de violation des données bancaires. Pour faire face à cette menace, cinq sociétés de cartes de paiement (American Express, Discover, JBC, Mastercard et Visa) ont créé en 2006 le Conseil de sécurité des cartes de paiement : le PCI SSC. Cette démarche a permis d’homogénéiser les différents programmes normatifs de sécurité alors en vigueur, pour créer une norme commune : le PCI DSS. Cette certification est depuis devenue une référence en matière de protection des consommateurs. Du moment où un site implique la manipulation de cartes bancaires, il est crucial que la solution de paiement soit certifiée PCI DSS. En France, le standard PCI DSS n’est pas encore une obligation légale, mais étant donné qu’il est imposé contractuellement par les principaux acteurs du marché, il est vivement conseillé de s’y conformer.
La documentation officielle, publiée par le Conseil PCI SSC, comporte quelques 1800 pages qui pourraient se résumer en trois grandes règles :
Dans le détail, ces mesures impliquent par exemple de :
En pratique, cela implique pour un site e-commerce ou une marketplace d’investir massivement dans des systèmes de sécurité et d’en assurer la maintenance. Et ce, même si les données bancaires ne transitent que très brièvement sur les serveurs de l’entreprise…
Pour éviter d’avoir à traiter les données sensibles relatives aux cartes bancaires et de dépenser d’importantes ressources financières et matérielles, les entreprises ont la possibilité de recourir à un prestataire de services de paiement (PSP). Ce partenaire de confiance prend en charge tous les aspects relatifs à la sécurité des transactions, afin que l’entreprise n’ait plus qu’une poignée de contrôles simples à mettre en œuvre, tels que l’utilisation de mots de passe forts.
Grâce à une technologie robuste et innovante, Lemonway protège et cantonne les fonds de milliers de plateformes depuis 2012. L’hébergement de l’ensemble des données est localisé dans des centres de données répondant au standard PCI DSS, en France. Prestataire de services de paiement agréé, Lemonway garantit un niveau de sécurité maximal à ses utilisateurs. Une question ? Un projet ? Parlez-nous de vos besoins !