Hébergement certifié PCI DSS

Vous souhaitez bénéficier de la solution sécurisée PCI DSS tout en profitant des avantages d'une infrastructure mutualisée ? C'est désormais possible !

Depuis 2017, Ecritel vous propose une offre certifiée PCI DSS (Payment Card Industry Data Security Standard) sur cloud privé, une solution sur-mesure pour nos clients concernés par les paiements en ligne.

En 2023, les équipes Ecritel ont déployé leurs efforts afin de vous proposer une nouvelle offre grâce à des configurations et des mesures de sécurité standardisées et adaptées capables de garantir la sécurité de l'infrastructure mutualisée mise en place par nos ingénieurs.

Grâce à la certification PCI DSS obtenue sur cloud privé et sur l'offre mutualisée Ecritel, vous avez la garantie que des mesures de sécurité avancées ont été mises en œuvre pour identifier, évaluer et atténuer les risques liés à la sécurité des données et qu'elles contribuent à protéger l'intégrité des transactions et à minimiser les vulnérabilités potentielles.

Ces mesures spécifiques, maintenues et contrôlées, respectent les normes de sécurité strictes établies par l'industrie des cartes de paiement et permettent de respecter les exigences légales en matière de traitement sécurisé des informations de paiement.

Nos équipes composées d'ingénieurs formés et expérimentés sont là pour vous accompagner dans vos démarches de certification PCI DSS, que vous ayez choisi une solution d'hébergement en cloud privé ou en mutualisé : contactez nous pour échanger sur vos besoins spécifiques et pour élaborer ensemble la solution idéale et parfaitement adaptée à vos enjeux.

Le PCI DSS définit différents niveaux de conformité en fonction du volume de transactions par carte de crédit qui sont traitées par une organisation chaque année. Les niveaux de conformité sont conçus pour adapter les exigences de sécurité en fonction du niveau de risque associé à chaque entreprise.

Actuellement, il existe quatre niveaux de conformité PCI DSS :

Niveau 1 : Les entreprises de niveau 1 traitent le plus grand nombre de transactions par carte de crédit : plus de 6 millions de transactions par an. Elles ont les exigences de sécurité les plus strictes doivent passer une évaluation de sécurité par un audit QSA (Qualified Security Assessor) chaque année.
Niveau 2 : Les entreprises de niveau 2 traitent entre 1 et 6 millions de transactions par carte de crédit par an. Elles doivent également passer une évaluation de sécurité annuelle par un audit QSA.
Niveau 3 : Les entreprises de niveau 3 traitent entre 20 000 et 1 million de transactions par carte de crédit par an. Elles doivent remplir un auto-questionnaire de conformité PCI DSS chaque année et peuvent être soumises à une évaluation de sécurité par un audit QSA si cela est exigé par les réseaux de cartes de crédit.
Niveau 4 : Les entreprises de niveau 4 traitent moins de 20 000 transactions par carte de crédit par an. Elles doivent aussi remplir un auto-questionnaire de conformité PCI DSS chaque année, et il peut être nécessaire qu'elles passent une évaluation de sécurité par un audit QSA en fonction des exigences des réseaux de cartes de crédit.

Le dernier ensemble de normes pour la sécurité, la PCI DSS version 3.2.1, comprend 12 exigences principales et plus de 300 exigences secondaires qui reflètent les meilleurs pratiques en matière de sécurité.

Attention aux idées reçues : si votre hébergeur infogéreur est certifié PCI DSS, vous n’êtes pas certifié PCI DSS pour autant. Et dans le meilleur des cas, 10% des exigences ne peuvent être couvertes que par le seul e-commerçant.

• La certification se réalise au cas par cas, site par site.
  
• Votre hébergeur répond à une partie de ces exigences, cependant dans le meilleur des cas 10% de ces exigences ne peuvent être couvertes que par le Client. Attention aux offres marketing !
  
• Le prestataire de services est certifié PCI DSS. Dans ce cas, il choisit les exigences auxquelles il souhaite répondre au sein de ses offres de services. Il incombe donc au souscripteur de l’offre de couvrir les autres exigences pour être conforme au PCI DSS.
  

Le processus de certification se déroule en 3 étapes, et doit être renouvelé chaque année, à la date anniversaire de l'obtention : le pré-audit, l'audit de certification, et enfin la rédaction des documents par l'organisme de certification.

• Obtenir et maintenir la certification PCI DSS peut sembler lourd et contraignant pour les e-commerçants. C’est pourquoi, s’appuyer sur un fournisseur d’hébergement infogéré, déjà certifié, allège grandement ce processus.
  
• Avec la certification PCI DSS, Ecritel s’engage toujours plus auprès de ses clients e-commerçants et démontre sa volonté de proposer les meilleurs services possibles.