Accueil Normes Secteurs ✦ Évaluation IA Demander un devis →
AccueilNormes → PCI DSS

PCI DSS — Norme de sécurité des données de l'industrie des cartes de paiement

La norme de sécurité obligatoire pour toutes les organisations qui stockent, traitent ou transmettent des données de cartes de paiement. BALTUM accompagne les commerçants, les processeurs de paiement et les prestataires de services dans la conformité PCI DSS v4.0 — de l'auto-évaluation SAQ aux engagements complets de Rapport de conformité (ROC).

PCI DSS v4.0Sécurité des paiementsSAQROCDonnées des titulaires de cartes

Qu'est-ce que le PCI DSS ?

Le Payment Card Industry Data Security Standard (PCI DSS) est un ensemble d'exigences de sécurité établi par le PCI Security Standards Council (PCI SSC) — fondé par American Express, Discover, JCB, Mastercard et Visa. Le PCI DSS v4.0, publié en mars 2022, est désormais la norme active (la version 3.2.1 a été retirée en mars 2024).

La conformité est obligatoire pour toute organisation qui stocke, traite ou transmet des données de titulaires de cartes — quel que soit le volume de transactions. Le non-respect peut entraîner des amendes, des frais de transaction accrus et la perte des droits d'acceptation de cartes.

Niveaux de conformité PCI DSS

  • Niveau 1 — Commerçants traitant plus de 6 millions de transactions/an ; nécessite un ROC annuel par un QSA et un scan réseau trimestriel.
  • Niveau 2 — 1 à 6 millions de transactions/an ; SAQ annuel et scan trimestriel.
  • Niveau 3 — 20 000 à 1 million de transactions e-commerce ; SAQ annuel et scan trimestriel.
  • Niveau 4 — Moins de 20 000 transactions e-commerce ou jusqu'à 1 million d'autres transactions ; SAQ annuel recommandé.

Changements clés du PCI DSS v4.0

  • Option d'approche personnalisée pour les organisations disposant de contrôles matures
  • Nouvelles exigences pour l'authentification multifacteur résistante au phishing
  • Exigences élargies pour la sécurité de l'e-commerce et des pages de paiement (Exigence 6.4)
  • Nouvelles exigences d'analyse de risques ciblée
  • 64 nouvelles exigences à date future (obligatoires à partir de mars 2025)

Accompagnement PCI DSS par BALTUM

  • Définition du périmètre et cartographie de l'environnement de données des titulaires de cartes (CDE)
  • Analyse d'écart par rapport aux exigences PCI DSS v4.0
  • Feuille de route de remédiation et soutien à la mise en œuvre des contrôles
  • Soutien à la rédaction du SAQ (SAQ A, A-EP, B, C, D selon le cas)
  • Préparation du ROC et coordination avec le QSA pour les commerçants de niveau 1
  • Coordination du scan de vulnérabilités ASV trimestriel

Intégration avec l'ISO 27001

Le PCI DSS et l'ISO 27001 partagent un chevauchement significatif des contrôles en matière de contrôle d'accès, de gestion des vulnérabilités, de journalisation et surveillance, et de réponse aux incidents. Le programme intégré de BALTUM fait correspondre les deux ensembles d'exigences à un cadre de contrôle unifié — minimisant la duplication et réduisant le coût total de conformité.