Salon international de l'agriculture de Meknès

Le standard PCI DSS, c’est quoi ?

Le standard PCI DSS liste un ensemble de points de contrôles relatifs aux systèmes d’informations qui capturent, transportent, stockent et traitent des données de cartes bancaires. Les points de contrôles sont relatifs à des techniques informatiques mais également à des procédures et à des contrôles organisationnels sur ces systèmes.

LE MATIN 05 Février 2014 À 11:45

Le développement du commerce électronique entraîne un accroissement des vols d’informations bancaires en ligne. Premier coupable, le stockage des données de cartes bancaires s’avère insuffisamment sécurisé. Que l’on utilise une solution de paiement développée en interne ou un logiciel fourni par un tiers, le risque de voir les données de la carte bancaire subtilisée par un tiers mal intentionné est réel. Ces raisons et bien d’autres ont donnée naissance au PCI DSS. Cette norme est encadrée par le PCI Security Standards Council, une organisation internationale fondée en 2006 par les principaux acteurs du secteur des cartes bancaires :

MasterCard, Visa, American Express, Discover Financial Services et JCB. Payment Card Industry Data Security Standard s’applique donc aux clients de ces sociétés de cartes bancaires, c’est-à-dire à la fois les commerçants gérant des transactions, et notamment les acteurs du e-commerce, mais aussi les hébergeurs des systèmes de paiement, dont les banques. Les exigences définies par la norme varient proportionnellement à la taille et au nombre de transactions à traiter, avec une classification à 4 niveaux (voir tableau).

PCI-DSS impose une mise en conformité des entreprises concernées, évaluée par le biais d’audits. Les sociétés du niveau 1, soit celles traitant le plus de transactions, doivent ainsi faire valider leurs processus de sécurité en se soumettant annuellement à un audit sur site et en réalisant trimestriellement un scan de vulnérabilités sur les points d’accès externes (site Web, messagerie, etc.). Les entreprises des autres niveaux ne sont pas soumises à un audit annuel. Celui-ci est remplacé par un questionnaire d’auto-évaluation. En revanche le scan de vulnérabilité s’applique à elles également.

En termes de contenu, PCI-DSS comporte douze exigences qui peuvent être rapprochées de six grandes thématiques :

• Mise en place et gestion d’un réseau sécurisé• Protection des données des titulaires de carte • Mise en place d’un programme de gestion des vulnérabilités • Mise en ouvre de mesures de contrôle d’accès efficaces • Surveillance continue et tests des réseaux à une fréquence régulière• Etablissement d’une politique en matière de sécurité de l’information. 

Source : Solucom

Copyright Groupe le Matin © 2025