Si votre organisation accepte des paiements par carte de crédit, traite, conserve ou reçoit des informations de cartes de crédit, elle est tenue de se conformer au standard PCI DSS, qui définit les exigences de sécurité pour les transactions par carte de crédit.
Pour une entreprise traitant moins de 6 millions de transactions par carte de crédit, la mise en conformité avec le standard PCI DSS peut être réalisée en 4 étapes :
1- La première étape consiste à réaliser une cartographie des personnes, applications et systèmes ayant un contact avec des informations de cartes de crédit.
2- La seconde étape consiste à sélectionner le questionnaires d’auto-évaluation « SAQ » qui correspond à votre manière de travailler avec les informations de cartes de crédit :
La liste des SAQ est disponible ici : https://www.pcisecuritystandards.org/document_library?category=saqs#results
Il est conseillé de se faire assister lors de la sélection d’un SAQ et de valider ce choix avec l’organisme qui gère vos paiements par carte de crédit (banques, fournisseurs de solutions de paiement).
3- La troisième étape, sera de mettre votre organisation en conformité avec le standard PCI-DSS. Pour ce faire, les personnes, applications et systèmes cartographiés à l’étape 1, ainsi que les systèmes pouvant communiquer avec ces applications/systèmes, devront respecter les contrôles dictés dans le formulaire d’auto-évaluation PCI-DSS « SAQ » sélectionné à l’étape 2. A ce stade, l’intervention d’un professionnel est vivement conseillée afin de réduire le champ d’application du standard PCI-DSS. Sans quoi l’organisation entière risque de devoir se conformer aux contrôles dictés par le standard. Ce qui peut être inutilement long et coûteux.
4- La dernière étape sera la complétion du formulaire SAQ d’auto-évaluation et sa soumission aux établissements bancaires et clients qui vous demanderont ce rapport.
A partir du 31 mars 2025, la mise en œuvre de DMARC sera obligatoire dans la version 4.0 des normes de sécurité PCI (Payment Card Industry) pour protéger les entreprises contre les attaques par e-mail telles que l'hameçonnage. DMARC, recommandé par le PCI SSC, sera exigé pour une authentification robuste des e-mails.
Pour aller plus loin :
Le site du standard PCI DSS :
Framework vous permettant de bien « scoper » les systèmes/applications/utilisateurs qui devront respecter le standard PCI-DSS :
https://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/OpenPCIScopingToolkit.pdf