La norme PCI DSS a été définie par les émetteurs de cartes bancaires et concerne, au premier chef, tous les acteurs de e-commerce sur le site desquels transitent des données bancaires. Se conformer à la norme PCI DSS limite les fraudes en s’imposant plus de sécurisation. Cela permet d’éviter les pénalités en cas de problème et abaisse les taux de commissionnement sur les paiements en carte bancaire tout en favorisant la participation à certains appels d’offres. Cette certification est valable 1 an.
PCI DSS : c’est 1/3 d’organisation, 1/3 de documentation, 1/3 de configuration.
Le dernier ensemble de normes pour la sécurité, la PCI DSS version 3.2.1, comprend 12 exigences principales et plus de 300 exigences secondaires qui reflètent les meilleurs pratiques en matière de sécurité.
Attention aux idées reçues : si votre hébergeur infogéreur est certifié PCI DSS, vous n’êtes pas certifié PCI DSS pour autant. Et dans le meilleur des cas, 10% des exigences ne peuvent être couvertes que par le seul e-commerçant.
Le processus de certification se déroule en 3 étapes, et doit être renouvelé chaque année, à la date anniversaire de l'obtention : le pré-audit, l'audit de certification, et enfin la rédaction des documents par l'organisme de certification.
« Choisir un partenaire hébergeur ou un prestataire de gestion des transactions électroniques doit se faire dans le dialogue et en toute transparence. Il faut déterminer ensemble qui fait quoi et qui répond précisément aux exigences. La sécurité est donc l’affaire de toutes les parties prenantes au business sur Internet ! »