Skip to main content
Subscribe
Subscribe to our Newsletter Subscribe
Finance opérationnelle

Le guide ultime de la conformité POS (+ normes de conformité PCI DSS)

Arjun Ruparelia
By
Arjun Ruparelia
Arjun Ruparelia

More about Arjun
QUICK SUMMARY

Découvrez tout ce que vous devez savoir sur la conformité POS, y compris les exigences PCI DSS, comment atteindre la conformité et des stratégies pour maintenir des systèmes de paiement sécurisés.

TABLE OF CONTENTS Qu'est-ce que la PCI DSS ? Comment puis-je devenir conforme PCI ? Autres moyens d’être conforme PCI Coût de la conformité PCI Coût de la non-conformité PCI Conformité POS et gestion des risques
pos compliance featured image

Les directives de conformité des POS garantissent un traitement sécurisé des paiements pour les commerçants, protégeant ainsi les données des clients finaux. Si vous acceptez des paiements via un système POS, une compréhension de base de la conformité POS (également appelée norme PCI DSS) est votre atout pour éviter une perte de confiance client et des frais de non-conformité.

Grâce à mon expérience en comptabilité, je vais vous guider à travers les tenants et aboutissants de la conformité POS—en couvrant tout, de la compréhension des exigences PCI DSS à la mise en œuvre des meilleures pratiques pour maintenir la conformité.

Dans ce guide, nous aborderons des sujets clés, notamment les bases de la conformité POS, les exigences PCI DSS, comment devenir conforme PCI DSS, ainsi que d’autres stratégies pour maintenir la conformité. À la fin, vous aurez une compréhension claire de la façon de naviguer et de maintenir efficacement la conformité POS.

Qu’est-ce que PCI DSS ?

Le Payment Card Industry Data Security Standard (PCI DSS) est un ensemble de directives que vous devez suivre si vous collectez, traitez, transmettez ou stockez des données de cartes de crédit ou de débit.

Supposons que vous gérez une boutique en ligne. Lorsqu’un client paie via sa carte de débit ou de crédit, votre système collecte et traite ces informations sensibles afin de recevoir le paiement —  voilà où réside le problème.

Il existe toujours un risque qu’une personne — comme un employé disposant d'autorisations d’accès — utilise les informations de carte de crédit des clients pour voler de l’argent ou les vendre à des cybercriminels. La conformité PCI assure la sécurité des données des titulaires de carte en protégeant votre entreprise contre les violations de sécurité.

Lorsqu’un titulaire de carte est victime de fraude, il perd confiance en votre entreprise et en l’institution financière qui a émis la carte. C’est précisément pour cela qu’AMEX, MasterCard, Visa, JCB et Discover ont décidé de créer le PCI Security Standards Council (PCI SSC), l’organisme qui administre la PCI et les normes de sécurité associées.

Mon entreprise doit-elle être conforme PCI ?

Oui. Toute entreprise qui accepte des paiements par carte de débit ou de crédit, ou qui traite, transmet ou stocke des données de carte, doit être conforme PCI, quels que soient les autres facteurs.

La conformité PCI est nécessaire même si vous n’avez qu’une seule transaction par carte de crédit ou de débit. Vous devrez remplir un questionnaire d’auto-évaluation (SAQ) chaque année et être audité tous les trimestres pour rester conforme PCI. 

Le SAQ spécifique à compléter dépend du niveau de conformité auquel vous appartenez (nous aborderons cela dans la section suivante).

Join our Newsletter
Join North America’s most innovative collective of Tech CFOs.

Join North America’s most innovative collective of Tech CFOs.

This field is for validation purposes and should be left unchanged.
By submitting this form, you agree to receive our newsletter, and occasional emails related to The CFO Club. You can unsubscribe at any time. For more details, please review our Privacy Policy. We're protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Comment devenir conforme PCI ?

Plusieurs étapes doivent être suivies afin de respecter les bonnes directives PCI lors de l’acceptation de paiements par carte via des terminaux POS ou un site ecommerce :

1. Déterminez votre niveau PCI

Les directives PCI classent les entreprises en quatre niveaux, principalement selon le nombre de transactions :

Determine Your PCI Level infographic
  • Niveau 1 : Commerçants traitant plus de six millions de transactions Visa ou MasterCard par an, ou entreprises ayant subi une violation de données.
  • Niveau 2 : Commerçants traitant plus d’un million et moins de six millions de transactions Visa ou MasterCard par an.
  • Niveau 3 : Commerçants traitant plus de 20 000 et moins d’un million de transactions ecommerce Visa ou MasterCard par an.
  • Niveau 4 : Tous les autres.

2. Informez-vous sur les exigences PCI DSS

Certaines exigences PCI DSS s’appliquent à tous, d’autres dépendent de votre niveau PCI. Voici quelques-unes des plus courantes :

  • SAQ annuel : Les entreprises de niveau 2, 3 et 4 doivent soumettre un SAQ chaque année. Le SAQ spécifique à soumettre dépend de votre niveau et modèle d’entreprise.
  • Attestation de conformité (AOC) : L’AOC est une déclaration officielle certifiant que vous avez respecté toutes les exigences PCI. Les entreprises de tous les niveaux doivent soumettre l’AOC chaque année pour rester conformes.
  • Scan réseau trimestriel : Des scans trimestriels par un fournisseur de scan agréé (ASV) sont exigés pour les entreprises de niveau 1, 2 et 3. Si un commerçant de niveau 4 possède des adresses IP accessibles depuis l’extérieur (que ses systèmes sont connectés à Internet et qu’il stocke, traite ou transmet des données de titulaires de carte), il doit également effectuer des scans trimestriels.

Voici quelques exemples d’exigences spécifiques à chaque niveau :

  • Exigences d’évaluation : Les évaluations de niveau 1 sont plus poussées et nécessitent un audit sur place réalisé par un évaluateur de sécurité qualifié (QSA). Lors de l’audit, le QSA peut évaluer et examiner les contrôles, politiques et procédures mis en place pour garantir la sécurité. Les niveaux 2, 3 et 4 ont la possibilité de procéder à une auto-évaluation à l’aide des SAQ appropriés.
  • Exigences de tests de pénétration : Les commerçants de niveau 1 doivent effectuer des tests de pénétration internes et externes annuels. Les autres niveaux n’y sont pas obligés, mais il est fortement recommandé de les réaliser afin d’améliorer la sécurité.
  • Documentation et collecte des preuves : Les entreprises de niveau 1 nécessitent une documentation approfondie, la collecte de preuves, et une validation par un QSA. Les autres niveaux nécessitent aussi de la documentation et des preuves, mais le processus est beaucoup moins rigoureux et généralement géré en interne.

3. Satisfaire aux exigences PCI DSS

Vous devrez peut-être prendre plusieurs mesures pour respecter les directives PCI en fonction de votre infrastructure actuelle et de votre niveau PCI. Voici un aperçu :

  • Remplir un questionnaire d’auto-évaluation (SAQ) : La première étape consiste à remplir un SAQ PCI DSS, selon votre niveau et les critères d’éligibilité mentionnés dans le SAQ. Le PCI SSC recommande de vérifier auprès du prestataire de paiement pour vous assurer d’avoir choisi le bon SAQ. Compléter ce questionnaire vous aide à valider la conformité aux normes PCI. Si vous traitez un grand volume de transactions, il se peut que vous deviez réaliser un audit tiers au lieu d’un SAQ.
  • Effectuer vos premiers scans de vulnérabilité : Les commerçants doivent collaborer avec un ASV pour réaliser des scans (internes et externes) trimestriels de vulnérabilité. Si l’ASV détecte des vulnérabilités, vous devrez les corriger.
  • Effectuer votre premier test de pénétration annuel : Chaque année, il est nécessaire de réaliser un test de pénétration manuel pour identifier comment un attaquant pourrait accéder à vos systèmes et aux informations. Ce test permet également de confirmer que les contrôles requis par PCI DSS, tels que le périmètre, la gestion des vulnérabilités, la méthodologie et la segmentation sont en place.
  • Corriger les vulnérabilités : Les vulnérabilités identifiées lors des tests doivent être traitées immédiatement. Si vous avez obtenu la conformité PCI avant d’accepter les paiements par carte et qu’une violation de données survient, vous pourriez devoir payer une pénalité. Faire appel à un professionnel et au PCI DSS pour corriger les vulnérabilités peut être judicieux.
  • Se faire auditer : Les grands commerçants doivent se faire auditer par un organisme tiers plutôt que de soumettre un SAQ. Lancez l’audit uniquement lorsque vous avez réalisé une auto-évaluation et êtes sûr d’être conforme.

À retenir : Vous devrez prendre diverses mesures pour remplir ces exigences. Par exemple, pour réussir les scans de vulnérabilité et les tests de pénétration, vous devrez installer des pare-feux et des antivirus pour créer un réseau sécurisé, chiffrer les données des titulaires de carte, et mettre en place des contrôles d’accès.

Consultez le Guide de référence PCI DSS pour en savoir plus sur la manière de remplir les exigences PCI DSS.

4. Soumettez les documents requis

L’ensemble du processus et des étapes que vous avez réalisées jusqu’à présent doivent être bien documentés. Les documents à soumettre incluent :

  • SAQ applicable 
  • AOC
  • Rapport de conformité (ROC)
  • Rapports de scan réseau
  • Rapports de test de pénétration
  • Preuves des contrôles de sécurité
  • Plan de gestion d’incident

La méthode intelligente pour être conforme PCI

Savoir ce qui se passe en coulisses est crucial, mais il existe une méthode plus efficace pour atteindre la conformité qu’en procédant manuellement. En un mot ? Délégation.

De nombreuses plateformes proposent du matériel POS, des applications POS, des passerelles de paiement et d’autres systèmes nécessaires pour accepter les paiements en toute sécurité et garantir la conformité.

Des plateformes comme Revel Systems, ACID POS, Lightspeed et Square offrent une infrastructure prête à l’emploi qui élimine les tracas des procédures manuelles de conformité. Ces solutions clés en main sont un excellent moyen de réduire les coûts de conformité et vous permettent de commencer à utiliser un POS sans attendre.

Notre équipe analyse en permanence les logiciels POS et voici les meilleurs systèmes qu’elle a trouvés. Si vous souhaitez opter pour la solution la plus simple (côté conformité), c’est un bon point de départ :

  1. 1. Stax Pay Idéal pour intégrer la gestion des paiements avec l'analyse
  2. 2. KORONA POS Idéal pour le suivi avancé des stocks
  3. 3. Shopify POS Meilleur système de point de vente omnicanal
  4. 4. Payment Depot Idéal pour le commerce électronique, le mobile et les terminaux de paiement physiques
  5. 5. Lavu Idéal pour les systèmes POS de restaurant pilotés par iPad
  6. 6. ePOS Idéal pour l'évolutivité
  7. 7. Helcim Idéal pour les petites entreprises économisant sur les frais
  8. 8. Vend Meilleur logiciel POS pour magasins de détail
  9. 9. Merchant One Idéal pour un traitement direct et économique
  10. 10. Clover Meilleur pour les options matérielles

Coût de la conformité PCI

Le coût exact de la conformité PCI dépend de facteurs comme la taille et l’emplacement de votre entreprise, le volume annuel de transactions et si vous encaissez et traitez les paiements par carte en personne ou en ligne.

Il peut cependant y avoir des coûts spécifiques à l’entreprise. Par exemple, vous pourriez choisir de dépenser pour former vos employés ou passer à un POS compatible EMV.

Bien qu’il n’y ait pas de coût unique pour la conformité PCI, il existe quelques coûts génériques que l’on peut estimer. Prenons un autre exemple. En général, le coût de la conformité PCI pour les petites entreprises se situe entre 300 $ et 600 $.

Cependant, le coût de la formation, du développement des politiques et de la mise à jour de vos logiciels et matériels n'est pas inclus ici, et peut s'élever à quelques milliers de dollars selon votre situation actuelle. Pour les grandes entreprises, le coût de rester en conformité peut être beaucoup plus élevé, allant de 60 000 à 100 000 dollars par an.

Coût de la non-conformité PCI

Le coût de la non-conformité PCI devrait vous inquiéter davantage que les coûts de conformité. Les amendes pour non-conformité ne sont pas publiées ou rapportées, mais sont estimées à entre 5 000 et 10 000 dollars par mois de pénalités tant que vous ne résolvez pas le problème.

Cela n'inclut même pas le coût que vous devrez assumer en cas de fraude ou de violation de données. Gérer une fraude ou une violation de données peut inclure la couverture des pertes financières et le coût de litiges coûteux, en plus de la perte de réputation. Prenons l'exemple de Target — l'entreprise a déclaré avoir dû payer plus de 200 millions de dollars lorsqu'elle a fait face à une violation de données de cartes de crédit, dont 18,5 millions de dollars en frais de règlement judiciaires.

La conformité POS est essentielle pour la gestion de la réputation

Au lieu de considérer la conformité POS comme un fardeau, pensez-y comme à un investissement pour protéger les données des clients contre les pirates informatiques et les violations de données qui peuvent nuire à votre réputation.

La conformité PCI peut sembler complexe, mais collaborer avec le bon partenaire facilite grandement le processus. Bien entendu, la manière la plus simple de rester en conformité est d'utiliser des solutions prêtes à l'emploi qui offrent des logiciels POS conformes et du matériel certifié.

Vous souhaitez en savoir plus sur la gestion d'une fonction financière tournée vers la technologie ? Abonnez-vous à notre newsletter gratuite.

You may also like