1. Q : Qu'est-ce que la conformité PCI DSS ?
Commençons par ce que signifie PCI DSS. PCI DSS signifie Payment Card Industry Data Security Standard. Il s'agit d'une norme mondiale adoptée par les principaux systèmes de cartes qui définit les exigences techniques et opérationnelles pour protéger les données des titulaires de cartes.
2. Q : Pourquoi est-ce important ?
Malgré le fait que la protection des informations sensibles, telles que les données de carte de crédit et des titulaires de carte, soit vitale pour toute partie qui accepte les paiements par carte de crédit, la validation de la conformité PCI DSS est obligatoire.
3. Q : Comment pouvons-nous valider la conformité PCI DSS ?
Tout ce que vous devez faire est de vérifier et de vous assurer que vous avez certaines mesures de protection en place en suivant les étapes décrites dans
4. Q : Que sont les mesures de protection ?
Les mesures de protection sont des mesures et des contrôles, tels que des procédures et des configurations techniques, qui sont mis en œuvre pour protéger les informations. Une mesure de protection bien connue est, par exemple, la protection par mot de passe.
5. Q : Qui est responsable de la mise en place des mesures de protection en place ?
En bref : C'est une responsabilité partagée.
PCI DSS est un exercice de sécurité continu. Par conséquent, toutes les parties doivent toujours respecter les exigences applicables pour rester conformes.
Comme nous sommes partenaires et que Convious et votre fournisseur de services de paiement fournissent une grande partie de votre infrastructure, la démonstration des mesures de protection (ou exigences) requises en place et leur vérification incombent à ces fournisseurs de services tandis que vous portez également la responsabilité de faire votre part. Cela dit, bien que la validation PCI DSS se renouvelle automatiquement chaque année, il est de votre responsabilité de vous assurer que les mesures de protection sont en place. Voir Q6 pour plus de détails sur les mesures de protection/exigences
6. Q : Où pouvons-nous consulter les mesures de protection/exigences que nous devons vérifier ?
Allez dans Paramètres > Compte > Intégrations
En cliquant sur Onboarding vous verrez la page d'intégration du PSP. En bas, vous verrez le questionnaire PCI DSS.
Si vous cliquez sur Télécharger une copie vous pouvez consulter la version la plus récente du questionnaire PCI DSS qui a été automatiquement signé pour vous.
7. Q : Qui et comment pouvons-nous signer le questionnaire PCI DSS ?
Bonne nouvelle : Le questionnaire PCI DSS est automatiquement signé et renouvelé chaque année.
Ce questionnaire est également appelé SAQ-A. C'est le document requis pour valider votre conformité. Le questionnaire contient toutes les exigences et responsabilités qui s'appliquent aux parties impliquées.
Encore une fois, il est important de souligner que les réponses à ces questions sont des réponses standard définies par le PCI Security Standards Council et sont requises pour être conforme. Par conséquent, elles ne peuvent pas être ajustées.
Veuillez noter : Depuis octobre 2024, la dernière version du questionnaire est SAQ-A v4.0.1.
8. Q : Comment savons-nous qu'Adyen a les mesures de protection en place ?
“Adyen répond aux normes les plus élevées de sécurité et de stabilité. Nous sommes un fournisseur de services de niveau 1 PCI DSS, avec une conformité PCI DSS évaluée par un Qualified Security Assessor (QSA) indépendant chaque année.” - Source
Convious détient une copie de la dernière attestation de conformité PCI DSS (AoC) d'Adyen.
9. Q : Comment savons-nous que Convious a les mesures de protection en place qui sont incluses dans mon questionnaire signé ?
Comme indiqué précédemment, les exigences validées sont souvent une responsabilité partagée. Par conséquent, vous trouverez ci-dessous les résultats de notre évaluation des questions validées avec votre signature.
Un rappel amical : Une responsabilité partagée signifie que votre réponse aux questions posées devrait également être oui.
Question | Réponse de Convious |
Confirmez-vous que chaque utilisateur de votre entreprise dispose d'identifiants de connexion uniques pour les systèmes de votre environnement de données de titulaires de cartes, et qu'il n'y a pas de comptes partagés, de groupe ou génériques ? | Oui |
Confirmez-vous que chaque utilisateur de votre entreprise dispose d'un mot de passe fort d'au moins 7 caractères et d'une autre méthode d'authentification sécurisée, telle qu'un dispositif de jeton, une carte à puce ou des contrôles biométriques ? | Oui |
Votre entreprise modifie-t-elle ou résilie-t-elle immédiatement l'accès des utilisateurs après qu'ils changent de rôle ou quittent l'entreprise ? | Oui |
Votre entreprise s'assure-t-elle que les mots de passe sont définis sur une valeur unique immédiatement après la première utilisation et lors de la réinitialisation, qu'aucun des nouveaux mots de passe n'est identique aux 4 mots de passe précédents et qu'ils sont modifiés au moins une fois tous les 90 jours ? | Oui |
Confirmez-vous que votre entreprise ne stocke jamais physiquement ou électroniquement de données de titulaires de cartes dans votre environnement, quelle que soit la capacité ? | Oui |
Confirmez-vous que votre entreprise ne stocke jamais de données d'authentification sensibles sur aucun de vos systèmes ? | Oui |
Votre entreprise effectue-t-elle une diligence raisonnable pour évaluer les nouveaux fournisseurs de services de sorte que vous n'externalisez le traitement des données de titulaires de cartes qu'à des fournisseurs de services conformes à PCI DSS ? | Oui |
Votre entreprise maintient-elle, pour chaque fournisseur de services que vous utilisez, une description des services fournis et un accord écrit sur les responsabilités de chaque partie concernant la sécurité des données de titulaires de cartes ? | Oui |
Votre entreprise vérifie-t-elle annuellement le statut de conformité de tous les fournisseurs de services avec lesquels vous partagez des données de titulaires de cartes ? | Oui |
Votre entreprise maintient-elle un plan de réponse aux incidents en cas d'incident de sécurité, incluant ; le confinement et l'atténuation pour différents types d'incidents, les procédures de continuité des activités et que vous contacterez immédiatement votre partenaire de paiement, les autres fournisseurs de services impliqués et, le cas échéant, les autorités compétentes ? | Oui |
Votre entreprise identifie-t-elle et traite-t-elle les vulnérabilités de sécurité selon un classement des risques en utilisant des sources reconnues par l'industrie et applique-t-elle les correctifs/mises à jour de sécurité en conséquence ? | Oui |
Confirmez-vous que votre entreprise effectue des analyses de vulnérabilité externes par un fournisseur d'analyse approuvé PCI SSC (ASV) au moins une fois tous les 3 mois et après tout changement important, par exemple lorsqu'une vulnérabilité critique a été résolue ? | Oui |
De plus, comme expliqué dans Q8, dans le SAQ-A signé, vous pouvez voir des exigences validées qui vont au-delà de vos responsabilités. Par conséquent, vous ne les avez pas vues dans les questions que vous avez dû valider, mais elles ont été automatiquement remplies pour vous.
10. Q : À quelle fréquence la validation doit-elle être renouvelée ?
La validation de la conformité PCI DSS doit être renouvelée annuellement. Heureusement, votre PSP a automatisé le processus de (re-)validation de votre conformité PCI DSS.
11. Q : Paiements sur site et conformité PCI DSS
Pour les paiements sur site, un questionnaire différent doit être complété : Le SAQ B-IP. Soyez assuré que si vous utilisez des terminaux PIN de Cnvious, le SAQ B-IP est inclus dans le flux de travail de renouvellement automatisé. En ce qui concerne la documentation pour la conformité continue PCI DSS, aucune action supplémentaire n'est requise de votre part. Cependant, PCI DSS est un exercice de sécurité continu. Par conséquent, les partenaires doivent toujours respecter les exigences applicables pour rester conformes.
*Veuillez noter que les informations fournies ne constituent en aucun cas un conseil juridique. Les informations visent à aider nos partenaires à comprendre les bases du sujet et les outils Convious afin que les partenaires puissent déterminer et exécuter leur propre niveau de conformité. Bien que nous fassions de notre mieux pour fournir des informations utiles comme point de départ, certains concepts peuvent ne pas s'appliquer dans tous les pays. Ainsi, rien ne peut remplacer un conseil juridique régional. Convious n'accepte aucune responsabilité quant à l'exactitude et à l'exhaustivité des informations et des actions affirmatives prises en réponse.
