PCI DSS et E-commerce

27 février 2019

Le mois dernier, l'un de nos clients nous a sollicité pour effectuer un test d'intrusion sur un site de commerce électronique. Avant d'accepter les paiements par carte de crédit sur internet, nous avons demandé s'il était conforme à la norme de sécurité PCI DSS.

Malheureusement, sa réponse était négative : il ignorait que la mise en œuvre des contrôles de sécurité PCI DSS était exigée par les organismes bancaires.

Si les informations de carte de crédit de ses clients avaient été compromises, les organismes bancaires auraient mené une enquête et relevé sa non-conformité avec la norme PCI DSS. Notre client aurait alors été tenu de payer des indemnisations et, dans certains cas, se verrait refuser le droit d'accepter des paiements par carte de crédit.

Il est clair que si vous acceptez des paiements par carte de crédit, vous devez vous conformer à la norme PCI DSS.

Comment se conformer à PCI DSS lorsqu’on a un site e-commerce?

Pour vous aider, PCI DSS dicte dans des documents (les SAQs) les contrôles que vous devez mettre en place.

Pour sélectionner votre SAQ vous devrez répondre aux critères énoncés par PCI DSS :

SAQ A :

- Votre site e-commerce est entièrement hébergé et géré par un fournisseur conforme PCI DSS, OU

- Votre site e-commerce redirige vos clients vers une page de paiement hébergée par un fournisseur conforme PCI DSS. Aucun élément de cette page ne doit provenir de votre site e-commerce.

SAQ A-EP :

- Votre site e-commerce héberge les formulaires de paiements et « poste » les informations directement vers un fournisseur conforme PCI DSS, OU

- Votre site e-commerce redirige vos clients vers une page de paiement hébergée par un fournisseur conforme PCI DSS MAIS quelques éléments de la page de paiement proviennent de votre site internet (JavaScript, CSS ou toutes fonctionnalités dictant comment la page de paiement est affichée).

SAQ D :

- Si vous ne vous qualifiez pas pour les SAQ A et SAQ A-EP.

- Si vous sauvegardez ou traitez vous-mêmes les informations de cartes de crédits.

Dans tous les cas, nous vous conseillons fortement de demander à vos fournisseurs de solutions de paiement de vous indiquer le SAQ auquel vous devez vous conformer.

Ce sont eux qui doivent avoir le dernier mot. Demandez-leur une preuve formelle de leur décision.

Notre conseil

Même si seulement le SAQ A est requis par votre fournisseur de solutions de paiement, nous vous conseillons fortement de mettre en place les contrôles dictés par le SAQ A-EP.

En effet, le SAQ A ne couvre pas les véritables risques pouvant causer du tort à vos clients. Si votre site est compromis, un hacker peut rediriger vos clients vers une fausse page de paiement et voler leurs informations de cartes de crédit. Il faut donc prendre la peine de bien le sécuriser.

Étant spécialisés en sécurité informatique, nous conseillerons toujours nos clients afin qu’ils puissent faire face aux menaces réelles rencontrées sur le terrain.

Pour plus d’informations sur les différents types de SAQ :

https://www.pcisecuritystandards.org/document_library?category=saqs#results

Blog PCI DSS à suivre si vous désirez aller plus loin:

https://pciguru.wordpress.com/