Rejoignez plus de 14 000 utilisateurs de WP Simple Pay pour accepter facilement les paiements !  

Commencer

Voir toutes les fonctionnalités

Blog WP Simple Pay

Tutoriels, astuces et ressources Stripe pour WordPress afin d'accepter les paiements

Tout ce que vous devez savoir sur la conformité PCI

Dernière mise à jour le

Written By: image de l'auteur Dennis
LinkedIn

Accepter des paiements en ligne comporte certains risques. Il y aura toujours des fraudeurs qui tenteront de voler des informations de paiement sur des réseaux non sécurisés, c'est pourquoi la conformité PCI est plus importante que jamais.

Si vous acceptez des paiements via votre site Web, il est important que vous compreniez la conformité PCI et ce que cela signifie pour votre entreprise. Si vous ne la prenez pas au sérieux, vous pourriez exposer vos clients et votre entreprise à des risques inutiles.

Un rapport de Verizon sur les incidents de violation de données de 2017 a révélé qu'il y avait eu près de 42 068 incidents de sécurité des données cette année-là. Ne laissez pas votre entreprise en faire partie.

Vous avez probablement déjà entendu parler de la conformité PCI, mais vous ne savez peut-être pas ce que c'est ni pourquoi c'est pertinent. Dans cet article, nous aimerions tout vous expliquer.

Qu'est-ce que le PCI DSS ?

PCI DSS signifie Payment Card Industry Data Security Standard (Norme de sécurité des données de l'industrie des cartes de paiement). Il s'agit d'un ensemble de normes définies par le PCI Security Standards Council (PCI SSC) concernant la manière dont les entreprises traitent les paiements par carte de crédit.

Conformité PCI

Le PCI SSC a été créé par les principales sociétés de cartes de crédit : Visa, MasterCard, American Express, Discover et JCB. À l'origine, elles avaient toutes des normes de sécurité uniques, mais elles se sont réunies en 2006 pour tout standardiser.

L'objectif de l'initiative est de protéger les informations sensibles des consommateurs, y compris les numéros de carte de crédit. C'est une bonne chose pour le consommateur car cela réduit le risque que les entreprises utilisent à mauvais escient leurs informations personnelles ou que des pirates et des escrocs les volent. C'est aussi une bonne chose pour l'industrie du traitement des paiements car cela réduit la probabilité de rétrofacturations et de dettes impayées.

Bien que la conformité PCI ne soit pas une loi, vous devrez respecter les normes si vous souhaitez travailler avec l'une de ces sociétés (et vous devez pratiquement le faire si vous souhaitez traiter des cartes de crédit).

Qu'est-ce qui est considéré comme une information sensible ? Le numéro de compte principal, le nom du titulaire de la carte, la date d'expiration, le code de service, les données de la bande magnétique, la puce, le CAV2, le CVC2, le CVV2, le CID, les PIN, les blocs PIN, et tout ce que vous utilisez pour traiter une transaction.

Conformité PCI

Le PCI DSS définit 12 exigences auxquelles vous devez adhérer afin d'accepter, de stocker, de traiter et de transmettre les données du titulaire de la carte de manière sûre et sécurisée. Si vous ne respectez *même une seule* de ces exigences, vous n'êtes pas conforme. Chaque exigence aborde un composant important de la sécurité de l'information.

Conformité PCI

  1. Installez et maintenez une configuration de pare-feu pour protéger les données du titulaire de la carte.
  2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité.
  3. Protégez les données du titulaire de la carte stockées.
  4. Chiffrez la transmission des données du titulaire de la carte sur des réseaux ouverts et publics.
  5. Protégez tous les systèmes contre les logiciels malveillants et mettez régulièrement à jour les logiciels ou programmes antivirus.
  6. Développez et maintenez des systèmes et applications sécurisés.
  7. Restreignez l'accès aux données du titulaire de la carte en fonction du besoin d'en connaître de l'entreprise.
  8. Identifiez et authentifiez l'accès aux composants du système.
  9. Restreignez l'accès physique aux données du titulaire de la carte.
  10. Suivez et surveillez tous les accès aux ressources réseau et aux données du titulaire de la carte.
  11. Testez régulièrement les systèmes et processus de sécurité.
  12. Maintenez une politique qui aborde la sécurité de l'information pour tout le personnel.

Si vous effectuez un quelconque type de transaction financière, il est de votre responsabilité d'être conforme à la norme PCI. Cela inclut l'acceptation de cartes de crédit par téléphone.

De plus, il est de votre devoir de vous assurer que tout fournisseur qui vous fournit des logiciels ou des services, ou toute entreprise ou personne que vous embauchez, est également conforme à la norme PCI.

Par exemple, si vous utilisez Stripe pour traiter vos paiements par carte de crédit, vous pouvez être tenu responsable si leur service s'avère non conforme. (Heureusement, ce n'est pas un risque majeur avec Stripe, c'est pourquoi nous les recommandons.)

Vous êtes censé être conforme à la norme PCI quelle que soit la taille de votre entreprise, même si vous ne traitez qu'une seule transaction par an. Sinon, vous pourriez faire face à de sérieuses pénalités.

Pour obtenir les informations les plus à jour, il est toujours préférable de visiter le site Web du PCI SSC. Leurs normes changent régulièrement et varient en fonction de votre entreprise, vous voudrez donc vous tenir informé. Prenez connaissance du contenu de leur page Marchands.

Niveaux de commerçants PCI

Le type de sécurité dont vous avez besoin dépend du nombre de paiements que vous traitez annuellement. Plus vous traitez de transactions, plus vous êtes attrayant pour les pirates informatiques et les parties malveillantes, de sorte que la conformité PCI est divisée en quatre niveaux :

Le niveau 1 s'adresse aux commerçants qui traitent plus de six millions de transactions par an. Ils sont tenus de se soumettre à des analyses trimestrielles du réseau par un fournisseur d'analyse approuvé (Approved Scanning Vendor) et à un rapport de conformité annuel par un évaluateur de sécurité qualifié (Qualified Security Assessor). Ils doivent également se soumettre à des tests d'intrusion.

Le niveau 2 s'adresse aux commerçants qui traitent un à six millions de transactions annuelles. Ils doivent se soumettre à un questionnaire d'auto-évaluation annuel (SAQ), à une évaluation sur site menée par un évaluateur de sécurité qualifié (QSA), à une analyse trimestrielle du réseau et à des tests d'intrusion.

Le niveau 3 s'adresse aux entreprises qui traitent 20 000 à un million de transactions annuelles. Le niveau 4 s'adresse aux entreprises qui traitent moins de 20 000 transactions annuelles. Les deux sont tenus de réaliser un questionnaire d'auto-évaluation annuel, une analyse trimestrielle du réseau et quelques autres exigences. La plupart des entreprises entrent dans le niveau quatre, la catégorie la plus basse.

Dans certains cas, le PCI SSC élève certains commerçants à des rangs supérieurs en fonction de leur type d'activité (certaines comportent un risque plus élevé que d'autres) ou s'ils ont subi une violation de données dans le passé.

Pénalités en cas de non-conformité

Si vous n'êtes pas conforme aux normes PCI, vous risquez de subir des violations de données. Si une personne malveillante obtient les informations de paiement de vos clients et crée des frais frauduleux, les sociétés de cartes de crédit sont obligées d'engager des dépenses illégitimes, elles prennent donc la non-conformité très au sérieux.

Les marques de paiement (Visa, MasterCard, American Express, Discover et JCB) peuvent infliger des amendes aux commerçants, banques ou autres fournisseurs de traitement de paiements pour non-conformité à leur discrétion. Ces amendes se situent souvent entre 5 000 $ et 10 000 $ par mois.

Vous pourriez également être tenu de payer les frais de remplacement de carte (lorsque les utilisateurs de cartes de crédit ont besoin que leurs comptes ou leurs cartes soient modifiés parce qu'ils ont été compromis) et des audits médico-légaux coûteux de votre entreprise.

Pire encore, vous pourriez être tenu civilement responsable des dommages monétaires que vos clients subissent en raison d'un traitement négligent. Cela signifie que les gens peuvent vous poursuivre pour l'argent qu'ils perdent si votre manque de conformité a compromis leurs informations personnelles.

De plus, les marques de paiement sont en droit d'augmenter leurs frais pour votre entreprise. S'ils décident que vous représentez trop de risques, ils peuvent cesser complètement de faire affaire avec vous. Les marques de cartes de crédit ne divulguent pas leurs méthodes d'attribution des frais, mais leur jugement peut être très préjudiciable aux petites entreprises. C'est pourquoi il est si important que vous compreniez ce que signifie être conforme PCI et si vous l'êtes.

Passerelles de paiement

La plupart des commerçants traitent les transactions via des passerelles de paiement. Vous reconnaissez probablement des noms comme Stripe, PayPal, Authorize.net, etc. Les passerelles sont des plateformes frontales qui se connectent aux banques de cartes de crédit.

Conformité PCI
Image duecom

Cela signifie que vous n'avez pas besoin d'avoir des accords individuels avec les banques de cartes de crédit. Lorsque vous travaillez avec une passerelle, elle prend les informations que vous lui donnez (les informations de paiement des clients) et achemine ces données vers la banque appropriée. Elle fournit également un certain nombre d'outils de détection de fraude qui protègent tout le monde.

Voici une bonne nouvelle : si vous utilisez une passerelle de paiement, vous êtes très probablement déjà conforme PCI car la passerelle s'en assure. Leur modèle économique repose entièrement sur une bonne relation avec les marques de cartes de crédit, elles ne prennent donc *aucun* risque. Par exemple, Stripe interdit catégoriquement certaines entreprises d'utiliser sa plateforme car ces entreprises présentent un risque élevé.

De plus, l'utilisation d'une passerelle vous permet de tirer parti de sa réputation. Si vous essayiez de mettre en place un accord directement avec Mastercard, par exemple, ce serait coûteux car Mastercard n'aurait pas beaucoup de raisons de vous faire confiance.

Mais si vous utilisez une passerelle comme Stripe, vous n'êtes pas le client de Mastercard. Stripe est le client de Mastercard, et Mastercard fait confiance à Stripe car ils ont traité des millions de transactions réussies ensemble. Cela signifie que Stripe obtient un meilleur taux que vous jamais pu obtenir.

Utiliser une passerelle de paiement signifie-t-il que vous pouvez ignorer la conformité PCI ? Absolument pas.

Il existe de nombreuses façons de violer la conformité PCI qui n'ont rien à voir avec la passerelle. Par exemple, si vous écriviez les informations de carte de crédit de vos clients sur un morceau de papier et que vous l'affichiez sur votre mur, vous violeriez les normes PCI, mais il n'y a aucun moyen que la passerelle puisse vous protéger.

Les normes de conformité PCI changent

Malheureusement, les voleurs de données, les pirates informatiques et les parties malveillantes sont créatifs et sophistiqués. Ils adaptent leurs méthodes aux nouvelles technologies de sécurité aussi rapidement que nous pouvons nous protéger.

La dernière chose que vous devez savoir sur la conformité PCI est la suivante : les normes changent constamment. Ce qui est acceptable aujourd’hui pourrait ne pas l’être demain. Si vous gérez vous-même votre traitement des paiements, il est essentiel de vous tenir au courant des changements afin de ne pas vous laisser vulnérable.

Si vous utilisez un processeur de paiement (comme Stripe, PayPal, Authorize.net, etc.), le processeur vous maintiendra en conformité (si c’est l’une de ses fonctionnalités), mais il est toujours bon de comprendre le paysage changeant.

Divulgation : Notre contenu est soutenu par nos lecteurs. Cela signifie que si vous cliquez sur certains de nos liens, nous pouvons gagner une commission. Nous ne recommandons que les produits qui, selon nous, ajouteront de la valeur à nos lecteurs.

WP Simple Pay
Économisez 50 % !

RÉSEAUX SOCIAUX

Connectons-nous

Lire la suite

Articles populaires

Comment utiliser les balises intelligentes pour personnaliser les e-mails de confirmation de paiement

Débloquer la personnalisation : comment laisser les clients ajouter des notes aux formulaires de paiement dans WordPress

Stripe Atlas vaut-il la peine en 2024 [Mise à jour]

Boostez vos ventes : comment activer facilement les achats multi-articles en une seule transaction

Comment améliorer la communication client avec un reçu par e-mail détaillé

Comment créer un formulaire d'inscription à un événement avec plusieurs options de prix et de quantité

Commencez à accepter les paiements dès aujourd'hui

Commencez à accepter les paiements uniques et récurrents ou les dons sur votre site Web WordPress.

Obtenir WP Simple Pay Maintenant →