Vous avez besoin du Cloud Computing ? Commencez dès maintenant

Qu'est-ce que la norme PCI DSS ?

Les pirates informatiques sont en quête d'argent, c'est pourquoi les transactions financières sont au cœur des activités frauduleuses et cybercriminelles. Par exemple, un rapport de 2022 d'Akamai a révélé que les attaques d'applications Web et d'API contre les entreprises de services financiers ont augmenté de 257 % par rapport à l'année précédente. En outre, les chiffres de la Federal Trade Commission indiquent que les consommateurs ont perdu près de 8,8 milliards de dollars en 2022 en raison de la fraude financière, soit une augmentation de 44 % par rapport aux chiffres de 2021.

Pour aider à endiguer la vague de fraude financière et de criminalité financière liée aux données des cartes de paiement, le PCI Security Standards Council propose une norme de sécurité de l'information dénommée PCI DSS (Payment Card Industry Data Security Standard). Voici un aperçu des exigences de la norme PCI DSS.

Présentation de PCI DSS

PCI DSS est un ensemble de normes de sécurité lancé en 2004 ; ces normes s'appliquent à toute organisation qui accepte, traite, stocke ou transmet des données de carte de crédit. PCI DSS est administré par le PCI SSC (Payment Card Industry Security Standards Council), un consortium constitué des principales sociétés de cartes de crédit : Mastercard, Visa, Discover, American Express et JCB.

PCI DSS est désormais une norme mondialement reconnue qui assure la sécurité des données des cartes de paiement et prévient les failles de sécurité. Cependant, cette norme de cybersécurité est sujette à des changements en raison de l'émergence et de l'évolution des menaces. La dernière version est PCI DSS v4.0, publiée en mars 2022, et la conformité totale est requise en mars 2025 (12 mois après le retrait de PCI DSS v3.2.1 en mars 2024).

Schéma illustrant les six domaines de la conformité PCI DSS

La norme PCI DSS vise de nombreuses menaces, notamment les suivantes :

  • Logiciels malveillants
  • Hameçonnage
  • Contrôle et authentification de l'accès à distance
  • Mots de passe faibles
  • Logiciels hérités
  • Attaques par vol de données de cartes bancaires

Contrôles de sécurité PCI DSS

Les 12 contrôles visant à protéger les données des titulaires de carte soumis à la norme PCI DSS sont basés sur l'éthique « personnes, processus et technologie ». Les contrôles incluent l'utilisation d'un pare-feu, la minimisation des données, la transmission cryptée des données des titulaires de carte, des contrôles d'accès robustes, un logiciel antivirus, des tests de pénétration réguliers et une évaluation des risques de vulnérabilité, la gestion des correctifs et un contrôle général de l'environnement sécurisé.

Types d'organisations tenues de se conformer à la norme PCI DSS

Toute entreprise traitant des transactions financières est une cible pour les cybercriminels, qui sont en quête d'argent. Les pertes du commerce électronique dues à la fraude sur les paiements en ligne devraient atteindre plus de 48 milliards de dollars américains dans le monde d'ici la fin de 2023. L'enquête mondiale sur la criminalité économique et la fraude réalisée en 2022 par PwC a révélé que plus de la moitié des personnes interrogées ont été victimes de fraude financière au cours des deux années précédentes. Selon le 2023 Data Breach Investigations Report (DBIR) de Verizon, dans le secteur financier, l'utilisation abusive des privilèges est à l'origine de la plupart des violations de données.

Étant donné que la norme PCI DSS s'applique à toute organisation qui accepte, traite, stocke ou transmet des données de titulaires de cartes, les types d'organisations suivants doivent démontrer leur conformité à la norme :

  • Commerçants de toutes tailles
  • Institutions financières
  • Systèmes de traitement des paiements, qu'ils soient matériels ou logiciels
  • Fournisseurs de points de vente (PDV)

Voici quelques exemples d'organisations concernées par la norme PCI DSS :

Petits commerçants et détaillants

Les petites et moyennes entreprises (PME) sont tout aussi exposées au risque d'une grave violation de données que leurs homologues de plus grande taille. Selon le DBIR 2022, 61 % des PME ont subi au moins une violation de données. Les petits commerçants doivent se conformer aux principes de la norme PCI DSS, qui prévoit quatre niveaux de conformité pour les commerçants :

Level 1 : Traiter plus de 6 millions de transactions par carte chaque année

Level 2 : Traiter de 1 à 6 millions de transactions par an

Level 3 : Traiter de 20 000 à 1 million de transactions par an

Level 4 : Traiter moins de 20 000 transactions par an

Les petits commerçants doivent faire en sorte que la sécurité soit abordée comme un exercice complet : s'assurer que leurs systèmes informatiques sont protégés par des pare-feu, mettre en œuvre des contrôles d'accès robustes et appliquer un cryptage aux données des titulaires de carte. Pour atteindre et simplifier ce niveau de sécurité à 360°, les PME doivent rechercher des solutions capables de sécuriser les données, les terminaux et les personnes.

Fournisseurs de services

Un fournisseur de services est toute entreprise susceptible d'avoir un impact sur la sécurité des données de paiement, même si elle appartient à une autre organisation. La norme PCI DSS comporte deux niveaux de conformité qui dépendent des niveaux de transaction traités par le fournisseur de services :

Level 1 Fournisseur de services : 300 000 transactions ou plus par an (2,5 millions de transactions ou plus pour American Express)

Fournisseur de services de niveau 2: Moins de 300 000 transactions par an (moins de 2,5 millions de transactions pour American Express)

Comme les PME, les prestataires de services doivent respecter les mesures et les contrôles de sécurité de la norme PCI DSS.

Comment Akamai contribue-t-il à la conformité PCI DSS v4.0 ?

Akamai est certifié en tant que fournisseur de services PCI DSS de niveau 1, le plus haut niveau d'évaluation. Akamai propose également une gamme de solutions qui aident votre entreprise à se conformer aux six piliers de la norme PCI DSS. Les solutions Akamai suivantes offrent des contrôles de sécurité conformes à la norme PCI pour vous aider à répondre aux 12 exigences PCI :

App & API Protector avec protection contre les logiciels malveillants: Garantissez la conformité des journaux et protégez-vous contre les fuites de données PII, les attaques Zero Day et les CVE, ainsi que contre les autres attaques en bordure de l'Internet.

API Security: Détectez et limitez les abus de comportement et de logique des API, en protégeant ainsi le site, les actifs et les informations personnelles.

Client-side Protection & Compliance: Tenez à jour un inventaire et une justification de tous les scripts exécutés dans le navigateur, surveillez les changements de comportement des scripts et signalez toute activité de script suspecte.

Akamai Guardicore Segmentation: Étendez la portée des actifs réglementés pour faciliter la mise en conformité.

Secure Internet Access Enterprise: Bloquez ou surveillez les téléchargements de fichiers contenant des données PII, PCI DSS ou HIPAA.

Foire aux questions (FAQ)

PCI DSS (Payment Card Industry Data Security Standard) définit des normes de sécurité visant à garantir que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations relatives aux cartes de crédit assurent la sécurité de l'environnement.

Toute organisation, indépendamment de sa taille ou du nombre de transactions qu'elle effectue, doit se conformer à la norme PCI DSS si elle accepte, transmet ou stocke des données relatives aux titulaires de cartes.

Toute organisation soumise à la norme PCI DSS est passible de sanctions et d'amendes sévères en cas de non-respect de cette dernière. Les amendes varient en fonction de la gravité de l'infraction à la réglementation. Mais habituellement, elles vont de quelques milliers à des centaines de milliers de dollars et peuvent être appliquées jusqu'à ce que la situation soit corrigée. C'est au niveau de la réputation que les conséquences peuvent être bien plus graves. Le manque de confiance des clients à la suite d'une violation de données peut conduire à la perte de clients et même à des recours collectifs : Une violation de données impliquant 34 millions de cartes de paiement s'est soldée par un procès de 8 millions de dollars en 2019 ; l'enquête a révélé plusieurs violations de la norme PCI DSS.

Les entreprises conformes à la norme PCI DSS doivent se concentrer sur la protection des données financières. La sécurité PCI DSS couvre deux grandes catégories de données : les données des titulaires de cartes et les données d'authentification sensibles.

Données du titulaire de carte

  • Numéro de compte principal (PAN) 
  • Nom du titulaire de la carte 
  • Date d'expiration 
  • Code de service 

Données d'authentification sensibles

  • Données complètes (données de la bande magnétique ou équivalent sur une puce) 
  • CAV2/CVC2/CVV2/CID 
  • PIN/blocs de PIN

Pourquoi les clients choisissent-ils Akamai ?

Akamai est l'entreprise de cybersécurité et de Cloud Computing qui soutient et protège la vie en ligne. Nos solutions de sécurité leaders du marché, nos renseignements avancés sur les menaces et notre équipe opérationnelle internationale assurent une défense en profondeur pour protéger les données et les applications des entreprises partout dans le monde. Les solutions de Cloud Computing complètes d'Akamai offrent des performances à moindre coût sur la plateforme la plus distribuée au monde. Des grandes entreprises du monde entier font confiance à Akamai pour bénéficier de la fiabilité, de l'évolutivité et de l'expertise de pointe dont elles ont besoin pour développer leur activité en toute confiance.

Explore all Akamai security solutions