Veiller à la conformité avec la norme PCI

Le Conseil des normes de sécurité de l’industrie des cartes de paiement définit des normes visant à protéger les données liées aux cartes bancaires (Payment Card Industry Data Security Standards, PCI-DSS ou PCI). Dans ce cadre, toute entité qui transmet, traite ou stocke des informations de carte bancaire doit être en conformité avec la norme PCI.

Vous pouvez utiliser des services d’hébergement pour configurer votre présence en ligne et votre catalogue de produits et confier ensuite le traitement des règlements par carte sur votre site à des fournisseurs (par exemple, PayPal Checkout, Square Online Checkout, Stripe Checkout). Renseignez-vous sur les différentes exigences afin d’assurer la conformité PCI de votre activité.

Si vous préférez traiter les règlements vous-même, vous pouvez utiliser l’une de nos solutions certifiées PCI, telles que l’hébergement WordPress E-commerce, la Boutique en ligne ou les Rendez-vous en ligne. La conformité PCI relève d’un effort commun. Ainsi, lorsque vous utilisez l’une de nos solutions certifiées PCI, nous développons des processus et des systèmes pour protéger les informations liées aux cartes bancaires de vos clients et nous faisons appel à vous pour protéger votre compte.

Boutique en ligne et Rendez-vous en ligne

Les règlements effectués via la Boutique en ligne et les Rendez-vous en ligne dépendent de fournisseurs qui traitent les informations de carte bancaire dans leurs environnements sécurisés. Ces solutions injectent du code sur votre site Web pour permettre à vos clients de saisir leurs informations de carte directement sur le site. Afin d’assurer la conformité PCI, vous devez prendre quelques mesures pour protéger votre compte :

  • Gestion des utilisateurs
    • Attribuez systématiquement un identifiant unique et utilisez des mots de passe forts.
    • N’utilisez pas d’identifiants ni de mots de passe de groupe, partagés ou génériques.
    • Supprimez les accès utilisateur obsolètes.
  • Archives papier (non numérisées)
    • Si vous collectez des informations de carte bancaire sur papier, veillez à sécuriser l’accès à ces informations et détruisez-les lorsque vous n’en avez plus besoin.
  • Conformité du fournisseur de services
    • Si vous sous-traitez la gestion des archives papier ou de votre compte, veillez à ce que le fournisseur soit informé de ses obligations en matière de sécurité des données de carte bancaire, et les respecte.
  • Plan de réponse aux incidents de sécurité
    • Vous devez disposer d’une liste de personnes à contacter et d’un plan de communication avec les clients en cas de violation de données.
  • Faites remplir le questionnaire d’auto-évaluation PCI A (Self-Assessment Questionnaire A, SAQ-A) à votre fournisseur (Stripe, Square ou PayPal).

Remarque : si vous acceptez des paiements par téléphone, vous pourrez être soumis à des obligations supplémentaires pour sécuriser vos systèmes de téléphonie ainsi que les ordinateurs utilisés par les agents de votre centre d’appel.

Hébergement WordPress avec WooCommerce

Les paiements effectués par Hébergement WordPress peuvent être effectués au moyen du plug-in WooCommerce, qui s’intègre aux logiciels tiers pour traiter les cartes bancaires dans leurs environnements sécurisés. Cette solution injecte du code sur votre site Web pour permettre à vos clients de saisir leurs informations de carte directement sur le site. Comme vous contrôlez les plug-ins installés sur votre compte, vous devez mettre en place quelques mesures pour assurer la conformité PCI :

  • Implémentation du paiement
    • Installez uniquement le plug-in WooCommerce pour les paiements. Il en existe d’autres, mais nous certifions uniquement le plug-in WooCommerce.
    • N’ajoutez ni fonction ni code pour gérer les informations de carte bancaire. Nous ne certifions aucune procédure de paiement personnalisée ajoutée au serveur.
    • Faites la mise à jour de vos plug-ins (procédez à l’installation dans les 30 jours).
  • Gestion des utilisateurs
    • Attribuez systématiquement un identifiant unique et utilisez des mots de passe forts.
    • N’utilisez pas d’identifiants ni de mots de passe de groupe, partagés ou génériques.
    • Supprimez les accès utilisateur obsolètes.
  • Archives papier (non numérisées)
    • Si vous collectez des informations de carte bancaire sur papier, veillez à sécuriser l’accès à ces informations et détruisez-les lorsque vous n’en avez plus besoin.
  • Conformité du fournisseur de services
    • Si vous sous-traitez la gestion des archives papier ou de votre compte, veillez à ce que le fournisseur soit informé de ses obligations en matière de sécurité des données de carte bancaire, et les respecte.
  • Plan de réponse aux incidents de sécurité
    • Vous devez disposer d’une liste de personnes à contacter et d’un plan de communication avec les clients en cas de violation de données.
  • Faites remplir le questionnaire d’auto-évaluation PCI A (Self-Assessment Questionnaire A, SAQ-A) à votre fournisseur (paiements WooCommerce, Stripe, PayPal, Square, Klarna ou PayFast).

Remarque : si vous acceptez des paiements par téléphone, vous pourrez être soumis à des obligations supplémentaires pour sécuriser vos systèmes de téléphonie ainsi que les ordinateurs utilisés par les agents de votre centre d’appel.

Pour toute question, contactez votre banque ou un évaluateur de sécurité qualifié (Qualified Security Assessor, QSA).

En savoir plus


Cet article était-il utile ?
Nous vous remercions de votre feed-back. Pour parler avec un représentant de notre service clientèle, veuillez utiliser le numéro de téléphone du support technique ou l’option de chat présentée ci-dessus.
Nous sommes ravis de vous avoir aidé ! Y a-t-il autre chose que nous pouvons faire pour vous ?
Nous sommes désolés de ce problème. Dites-nous ce qui n’était pas clair ou pourquoi la solution n’a pas résolu votre problème.