Avec l'essor du commerce en ligne, la sécurité des paiements devient une priorité pour les commerçants. La norme PCI DSS 4.0.1, entrée en vigueur en mars 2025, impose de nouvelles règles pour renforcer la protection des transactions par carte bancaire. Joshua Shimkin, responsable marketing, et Judy Winn, responsable de la sécurité de l'information chez Peach Payments, détaillent les changements à venir et les actions à entreprendre.
Qu'est-ce que la norme PCI DSS 4.0.1 et pourquoi a-t-elle été mise en place ?
La norme PCI DSS 4.0.1 définit les règles de sécurité que tous les commerçants doivent respecter afin de protéger les paiements par carte. Elle a été mise à jour pour faire face aux nouvelles menaces, notamment l'écrémage électronique («e-skimming»), qui permet aux cybercriminels de subtiliser les données de cartes bancaires. Elle est entrée en vigueur fin mars et impose des mesures de sécurité renforcées à l'ensemble du site des commerçants, et non plus seulement à la page de paiement.
Quels sont les principaux changements introduits par PCI DSS 4.0.1 ?
Les nouvelles règles exigent une sécurisation complète des sites de commerce en ligne. Deux mesures clés doivent être mises en place :
· Identification et surveillance de tous les scripts utilisés sur le site, y compris ceux de prestataires tiers, dans le but d'empêcher toute modification malveillante.
· Une surveillance continue des pages de paiement pour détecter toute modification suspecte et la mise en place d'alertes automatiques afin de réagir immédiatement en cas d'anomalie.
Quels sont les niveaux de conformité selon le volume de transactions ?
Les exigences varient en fonction du volume de transactions traitées :
· Niveau 1 : Plus de 6 millions de transactions par an - Audit de sécurité annuel et tests réguliers.
· Niveau 2 : Entre 1 et 6 millions de transactions par an - Questionnaire d'autoévaluation et tests de sécurité trimestriels.
· Niveau 3 : Entre 20 000 et 1 million de transactions par an - Questionnaire d'autoévaluation et scans de sécurité trimestriels.
· Niveau 4 : Moins de 20 000 transactions par an - Conformité aux exigences bancaires, avec des tests de sécurité adaptés.
Pourquoi est-il important pour les commerçants de se conformer à ces nouvelles exigences ?
Chaque année, des milliers de données de cartes bancaires sont dérobées lors de transactions en ligne, y compris sur des sites réputés. Les cybercriminels exploitent des failles insoupçonnées sur les plateformes e-commerce. La conformité à PCI DSS 4.0.1 permet de renforcer la protection des transactions et de prévenir les risques de fraude.
Quelles sont les étapes à suivre pour se mettre en conformité ?
· Déterminer son niveau de conformité en fonction du volume de transactions.
· Consulter la norme PCI DSS 4.0.1 pour comprendre les exigences spécifiques.
· Réaliser un audit de sécurité pour identifier les failles potentielles.
· Appliquer les mesures de protection nécessaires (sécurisation des scripts, surveillance du site, authentification renforcée, etc.).
· Documenter et prouver sa conformité pour faciliter les contrôles.
· Maintenir une surveillance continue et adapter les pratiques de sécurité aux nouvelles menaces.
