PCI DSS : de quoi s'agit-il ? PCI DSS : le contenu de la norme PCI DSS : un travail client / hébergeur

PCI DSS : de quoi s'agit-il ?

 

PCI DSSLa norme PCI DSS a été définie par les émetteurs de cartes bancaires et concerne, au premier chef, tous les acteurs de e-commerce sur le site desquels transitent des données bancaires. Se conformer à la norme PCI DSS limite les fraudes en s’imposant plus de sécurisation. Cela permet d’éviter les pénalités en cas de problème et abaisse les taux de commissionnement sur les paiements en carte bancaire tout en favorisant la participation à certains appels d’offres. Cette certification est valable 1 an.

 PCI DSS : c’est 1/3 d’organisation, 1/3 de documentation, 1/3 de configuration.

PCI DSS : le contenu de la norme

Le dernier ensemble de normes pour la sécurité, la PCI DSS version 3.2.1, comprend 12 exigences principales et plus de 300 exigences secondaires qui reflètent les meilleurs pratiques en matière de sécurité.

Attention aux idées reçues : si votre hébergeur est certifiée PCI DSS, vous n’êtes pas certifié PCI DSS pour autant. Et dans le meilleur des cas, 10% des exigences ne peuvent être couvertes que par le seul e-commerçant.

  • La certification se réalise au cas par cas, site par site.
  • Votre hébergeur répond à une partie de ces exigences, cependant dans le meilleur des cas 10% de ces exigences ne peuvent être couvertes que par le Client. Attention aux offres marketing !!!
  • Le prestataire de services est certifié PCI DSS. Dans ce cas, il choisit les exigences auxquelles il souhaite répondre au sein de ses offres de services. Il incombe donc au souscripteur de l’offre de couvrir les autres exigences pour être conforme au PCI DSS.

Le processus de certification se déroule en 3 étapes, et doit être renouvelé chaque année, à la date anniversaire de l'obtention : le pré-audit, l'audit de certification, et enfin la rédaction des documents par l'organisme de certification.

PCI DSS : un travail client / hébergeur

Europ assistance
Rail Europe
Quote
« Choisir un partenaire hébergeur ou un prestataire de gestion des transactions électroniques doit se faire dans le dialogue et en toute transparence. Il faut déterminer ensemble qui fait quoi et qui répond précisément aux exigences. La sécurité est donc l’affaire de toutes les parties prenantes au business sur Internet ! »

Julien Mellul, Directeur Général adjoint, Ecritel

  • Obtenir et maintenir la certification PCI DSS peut sembler lourd et contraignant pour les e-commerçants. C’est pourquoi, s’appuyer sur un fournisseur d’hébergement infogéré, déjà certifié, allège grandement ce processus.
  • Avec la certification PCI DSS, Ecritel s’engage toujours plus auprès de ses clients e-commerçants et démontre sa volonté de proposer les meilleurs services possibles.

Partagez :