1. Q: Qu'est-ce que la conformité PCI DSS?
Commençons par ce que signifie PCI DSS. PCI DSS signifie Payment Card Industry Data Security Standard (norme de sécurité des données de l'industrie des cartes de paiement). Il s'agit d'une norme mondiale adoptée par les principaux systèmes de cartes qui définit des exigences techniques et opérationnelles pour protéger les données des titulaires de cartes.
2. Q: Pourquoi est-ce important?
Bien que la protection des informations sensibles, telles que les données relatives aux cartes de crédit et aux titulaires de cartes de crédit, soit vitale pour toute partie qui accepte les paiements par carte de crédit, la validation de la conformité à la norme PCI DSS est obligatoire.
3. Q: Comment pouvons-nous valider la conformité à la norme PCI DSS?
Il vous suffit de confirmer que vous avez mis en place certaines mesures de protection en suivant les étapes décrites dans la rubrique 7. Comment puis-je valider la conformité annuelle?
4. Q: Que sont les mesures de protection?
Les garanties sont des mesures et des contrôles, tels que des procédures et des configurations techniques, qui sont mis en œuvre pour protéger les informations. Une mesure de sauvegarde bien connue est, par exemple, la protection par mot de passe.
5. Q: Qui est responsable de la mise en place des mesures de protection?
En bref: il s'agit d'une responsabilité partagée.
Comme nous sommes des partenaires et que Convious et votre fournisseur de services de paiement fournissent une grande partie de votre infrastructure, il incombe à ces fournisseurs de services de démontrer que les mesures de protection requises (ou les exigences) sont en place et de les vérifier, mais vous avez également la responsabilité de faire votre part du travail.
6. Q: Où puis-je consulter les exigences?
Le moyen le plus simple est de passer par votre flux de validation PCI DSS.
Allez dans Settings > Account > Integrations
En cliquant sur Sign PCI DSS Questionnaire et en démarrant le flux suivant, vous pouvez visualiser une liste de catégories avec des questions guides représentant les exigences applicables.
Veuillez noter que toutes les réponses à ces questions sont des réponses standard définies par le Conseil des normes de sécurité PCI et sont requises pour être conforme. Elles ne peuvent donc pas être modifiées.
Pour en savoir plus sur le questionnaire pré-rempli généré lors de la signature, voir 8. Qui est responsable de la mise en place des mesures de protection?
7. Q: Qui et comment pouvons-nous signer le questionnaire PCI DSS?
a) Qui peut signer le questionnaire PCI DSS?
La personne qui signe ou certifie la conformité à la norme PCI DSS est laissée à votre discrétion. Nous recommandons simplement qu'il s'agisse d'une personne connaissant les méthodes de paiement et autorisée à signer au nom de l'entreprise.
b) Comment signer le questionnaire PCI DSS?
Pour valider votre conformité, il vous suffit de suivre les 3 étapes suivantes:
Dans votre Panneau de contrôle: Allez dans Settings > Account > Integrations
1. Cliquez sur Sign PCI DSS Questionnaire et suivez le processus de signature.
Tout d'abord, vous verrez une définition générale de la conformité PCI DSS, suivie de questions directrices représentant les exigences applicables.
Veuillez noter qu'une fois que vous avez cliqué sur le bouton Signer le questionnaire PCI DSS, vous devez compléter le flux de validation PCI DSS jusqu'à la signature; sinon, vous courez le risque que les paiements soient bloqués jusqu'à ce que vous le fassiez.
2. Validez votre reconnaissance des exigences liées à la conformité en cochant les cases et saisissez ou confirmez vos coordonnées.
3. Hit Sign! ✍️✅
Remarque: la validation de votre conformité PCI DSS ne sera possible que via la page intégrée, comme expliqué ci-dessus.
Peu de temps après votre signature, une fois que vous revenez à la page Intégrations de Convious, vous verrez que le statut de votre conformité PCI changera.
8. Q: Qu'est-ce qui sera généré lors de la signature?
En cliquant sur signer, vous soumettez et signez le questionnaire.
Un questionnaire rempli est alors généré. Ce questionnaire est également appelé SAQ-A. Il s'agit du document requis pour valider votre conformité. Le questionnaire contient toutes les exigences et responsabilités qui s'appliquent aux parties concernées: Vous, Convious et votre prestataire de services de paiement, c'est pourquoi vous pouvez voir des exigences dans le SAQ-A signé qui peuvent ne pas apparaître dans la liste des questions que vous validez dans votre flux de validation PCI.
Une fois de plus, il est important de répéter que les réponses à ces questions sont des réponses standard définies par le Conseil des normes de sécurité PCI et qu'elles sont nécessaires pour être conforme. Elles ne peuvent donc pas être modifiées.
Remarque: Vous signez le SAQ-A v3.2.1. Pour plus d'informations sur les versions et notre conformité aux exigences, veuillez vous reporter à la section
10. Comment pouvons-nous savoir que Convious a mis en place les garanties mentionnées dans le questionnaire que j'ai signé ?
9. Q: Comment savons-nous qu'Adyen a mis en place les garanties nécessaires?
"Adyen répond aux normes les plus strictes en matière de sécurité et de stabilité. Nous sommes un fournisseur de services PCI DSS de niveau 1, dont la conformité à la norme PCI DSS est évaluée chaque année par Qualified Security Assessor (QSA) ." - Source
Convious détient une copie de la dernière attestation de conformité PCI DSS d'Adyen.
10. Q: Comment savoir si Convious a mis en place les garanties mentionnées dans le questionnaire que j'ai signé?
Comme indiqué précédemment, les exigences validées sont souvent une responsabilité partagée. Par conséquent, vous trouverez ci-dessous les résultats de notre évaluation des questions validées par votre signature.
Un petit rappel: Une responsabilité partagée signifie que votre réponse aux questions posées doit également être positive.
Question | Réponse de Convious | |
Comptes et accès | Votre entreprise modifie-t-elle les paramètres d'usine et supprime-t-elle les comptes par défaut de tout système, appareil ou application connecté à l'environnement des données des titulaires de cartes ? | Oui |
Confirmez-vous que chaque utilisateur de votre entreprise dispose d'identifiants de connexion uniques pour les systèmes de votre environnement de données sur les titulaires de cartes, et qu'il n'existe pas de comptes partagés, de groupes ou génériques ? | Oui | |
Confirmez-vous que chaque utilisateur de votre entreprise dispose d'un mot de passe fort ou d'une autre méthode d'authentification sécurisée, telle qu'un jeton, une carte à puce ou des contrôles biométriques ? | Oui | |
Votre entreprise met-elle fin à l'accès de chaque utilisateur dès qu'il change de rôle ou quitte l'entreprise ? | Oui | |
Cardholder data | Confirmez-vous que votre entreprise ne stocke jamais, physiquement ou électroniquement, les données d'un titulaire de carte dans votre environnement, à quelque titre que ce soit ? | Oui |
Confirmez-vous que votre entreprise ne stock jamais de données d'authentification sensibles sur l'un de ses systèmes ? | Oui | |
Service providers | Votre entreprise fait-elle preuve de diligence raisonnable pour évaluer les nouveaux fournisseurs de services de manière à ne confier le traitement des données des titulaires de cartes qu'à des fournisseurs de services conformes à la norme PCI DSS ? | Oui - Convious détient une |
Votre entreprise conserve-t-elle, pour chaque prestataire de services auquel elle fait appel, une description des services fournis et un accord écrit sur les responsabilités de chaque partie en ce qui concerne la sécurité des données des titulaires de cartes ? | Oui | |
Votre entreprise vérifie-t-elle chaque année le statut de conformité de tous les prestataires de services avec lesquels vous partagez les données des titulaires de cartes ? | Oui | |
Fournisseurs de services de sécurité | Votre entreprise contrôle-t-elle en permanence l'intégrité de votre page de paiement, installe-t-elle les correctifs de sécurité fournis par le fournisseur dans un délai d'un mois et réagit-elle aux alertes d'activités suspectes ? | Oui |
Votre entreprise dispose-t-elle d'un plan en cas de violation du système, prévoyant notamment que vous contacterez immédiatement votre partenaire de paiement, les autres prestataires de services concernés et, le cas échéant, les autorités compétentes ? | Oui |
De plus, comme expliqué à la Q8, dans le SAQ-A signé, vous pouvez voir des exigences validées qui vont au-delà de vos responsabilités. Par conséquent, vous ne les avez pas vues dans les questions que vous avez dû valider, mais elles ont été automatiquement remplies pour vous.
Vous signez le SAQ-A v3.2.1.
Cette version sera remplacée par la v4.0 le 31 mars 2024. Cependant, vous ne devez pas vous inquiéter ; vos documents PCI resteront valables jusqu'à leur revalidation.
Principales différences entre la v3.2.1. et la v4.0 :
Exigences plus détaillées en matière de mots de passe et d'authentification multifactorielle (AMF).
Surveillance des sources industrielles pour les informations sur les vulnérabilités.
Analyse trimestrielle des vulnérabilités externes.
Bonne nouvelle : Convious a vérifié son statut par rapport à ces exigences et a conclu qu'il était conforme à toutes les exigences de la v4.0 - étant donné que la v4.0 englobe les versions précédentes, nous pouvons conclure notre validation par rapport aux exigences de la SAQ-A actuelle.
11. Q: À quelle fréquence la validation doit-elle être renouvelée?
La validation de la conformité PCI DSS doit être renouvelée chaque année. Heureusement, nous avons un moyen facile pour vous de (re)valider votre conformité PCI DSS en quelques minutes en utilisant le questionnaire auto-rempli via votre flux de validation PCI DSS.
12. Q: Pourquoi n'incluons-nous pas les points de vente?
Pour les paiements en personne, en raison du risque plus faible, vous devez être en mesure de prouver votre conformité, mais uniquement lorsque cela vous est explicitement demandé. En d'autres termes, bien que vous soyez tenu d'être en conformité à tout moment, Adyen ne demande pas de documentation.