À partir du 31 mars 2025, de nouvelles exigences en matière de sécurité des paiements deviendront obligatoires avec l’entrée en vigueur de la version 4.0 du standard PCI DSS.

Comme pour le RGPD cela peut vous semblez inutile et complexe au premier abord, mais tout comme le RGPD il s’agit d’appliquer des règles de bon sens, dans le but de protéger le consommateur et les e-commerçants.

Dans cet article, nous allons présenter les principales obligations à respecter pour les e-commerçants de niveau  3 et 4, ceux qui traitent moins de 1 million de transactions par an, et vous guider dans la mise en conformité avec ce nouveau cadre réglementaire.

Les recommandations sont valables pour les e-commerçants de niveau 2, mais ces commerçants doivent faire l’objet d’une certification appelée SAQ (vs SAQ-A c’est-à-dire self-assessment ou auto certification).

Promis on essaye de ne pas vous noyez d’acronymes et termes barbares, ou plutôt on vous les explique 🙂

FOP Disclaimer : les différents points évoqués ne sont pas exhaustifs, et d'autres bonnes pratiques sécuritaires ne seront pas traitées ici, exemple :
- Les procédures de reprise et de continuité de l'activité.
- Les processus de sauvegarde des données.
Cet article est une interprétation des normes en vigueur de l'association Friends Of Prestashop. 
N'hésitez pas à nous contacter pour l'améliorer.

Cet article a été révisé par la société XMCO, nous tenons à les remercier pour leur aide précieuse. Merci Jordan 🙂
https://www.xmco.fr/

Qu’est-ce que le SAQ-A ?

Le SAQ-A (Self-Assessment Questionnaire A) est spécifiquement conçu pour les e-commerçants qui :

  • N’acceptent que les transactions à distance
  • Externalisent totalement le traitement des données de cartes à des prestataires PCI DSS certifiés
  • Ne stockent, traitent ou transmettent électroniquement des données de cartes
  • S’assurent que les pages de paiement proviennent uniquement et directement du prestataire certifié
  • Confirment que le site n’est pas vulnérable aux attaques par script pouvant affecter le système e-commerce

Ce formulaire est donc une version simplifiée pour les e-commerçants qui n’interviennent pas directement dans le traitement des cartes bancaires, et qui n’enregistrent ni ne stockent les données des cartes, autrement dit la majeure partie des sites e-commerce sous PrestaShop.

En effet, en utilisant un prestataire de services de paiement (PSP) qui héberge le processus de paiement (comme une redirection ou un iFrame), vos obligations de sécurité sont réduites, mais vous devez tout de même garantir que certaines mesures de sécurité sont en place.

Nous ne traiterons ici que ces commerçants de « niveau 3 & 4 », c’est à dire ceux qui traitent moins d’1 million de transaction par an.

  • Commerçants de niveau 1 : Ceux qui traitent plus de 6 millions de transactions par carte chaque année. Ils doivent subir un audit annuel par un évaluateur de sécurité qualifié (QSA) et obtenir une certification PCI DSS.
  • Commerçants de niveau 2 : Ceux qui traitent entre 1 et 6 millions de transactions par an. Ils doivent remplir un questionnaire d’auto-évaluation (SAQ) et peuvent être soumis à des examens supplémentaires selon leur banque acquéreuse.
  • Commerçants de niveau 3 : Commerçants traitants entre 20 000 et 1 million de transactions par an. Ils doivent également remplir un SAQ et effectuer des analyses trimestrielles.
  • Commerçants de niveau 4 : Ceux qui traitent moins de 20 000 transactions par an. Leur conformité est généralement attestée par le biais d’un SAQ, sans nécessité d’audit formel.

Responsabilité partagée : Même si un PSP est utilisé, la responsabilité de la conformité PCI DSS est partagée. Le commerçant doit s’assurer que sa propre infrastructure et ses pratiques respectent les exigences minimales pour protéger les données des clients. A noter, les PSP inclus dans leur CGV des clauses équivalentes à une SAQ A.

Introduction au PCI-DSS

Le PCI Data Security Standard (PCI DSS) est un standard international qui fournit une base d’exigences techniques et opérationnelles conçues pour protéger les données de paiement. PCI DSS v4.0 est la prochaine évolution du standard.

Quels sont les objectifs ?

Continuer à répondre aux besoins de sécurité du secteur des paiementsPromouvoir la sécurité en tant que processus continu Ajouter de la flexibilité pour différentes méthodologiesAméliorer les méthodes de validation

Présentation officielle du pci dss (pdf).

Exigences clés du PCI DSS v4.0.1 pour les e-commerçants de niveau 3 & 4

Les principales obligations de sécurité à respecter (avec numéros des exigences)

1. Sécurité des systèmes (Requirement 2.2.2)

Gestion des comptes administrateur par défaut :

  •  Modification des mots de passe par défaut
  •  Désactivation des comptes inutilisés
Les recommandations FOP :

Cette exigence s'applique particulièrement aux accès administrateurs des serveurs web et de Prestashop.
Vérifier régulièrement que les accès à l’administration de PrestaShop, les accès FTP, à la base de données sont toujours tous utiles et notoire régulièrement les comptes inutilisés.

2. Gestion des vulnérabilités (Requirements 6.3 & 6.3.3)

Les vulnérabilités de sécurité sont identifiées et gérées. Tous les composants système sont protégés contre les vulnérabilités connues en installant les correctifs/mises à jour de sécurité applicables.
Les correctifs/mises à jour critiques ou de haute sécurité sont installés dans le mois suivant leur publication.

Les recommandations FOP :

- Maintenez à jour le Core de Prestashop sur la dernière version.
- Mettez vos modules et thèmes à jour
- Utilisation d'un VMS (Vulnerability Management System) 
- Surveillance des CVE (Common Vulnerabilities and Exposures) Prestashop dernières CVE de l'écosystème prestashop
- Mise à jour de l'infrastructure (OS, serveur web, PHP, MySQL)

3. Authentification robuste (Requirements 8.3.1 – 8.3.9)

Spécifications techniques des obligations

  • Longueur minimale : 12 caractères (ou 8 si limitation technique)
  • Combinaison alphanumérique obligatoire
  • Changement tous les 90 jours
  • Conservation de l’historique des 4 derniers mots de passe
  • Réglés sur une valeur unique pour la première utilisation et lors de la réinitialisation
  • Doivent être modifiés immédiatement après la première utilisation.
Les recommandations FOP :

- Renforcement de la complexité des mots de passe
- Implémentation de l'authentification à deux facteurs (2FA)
- Rotation régulière des mots de passe et URL d'administration 
- Pour Prestashop, privilégiez des modules de sécurité reconnus qui implémentent ces fonctionnalités. 
- Configurez des alertes en cas de tentatives de connexion suspectes.
- Mise en place 2FA (authentification à 2 facteurs type google authenticator) pour les admin
- Changement régulier de l’url d’administration

Cette exigence reste une bonne pratique jusqu’au 31 mars 2025, après quoi elle sera obligatoire et devra être pleinement prise en compte lors d’une évaluation du standard PCI DSS.

4. Tests de sécurité (Requirements 11.3.2 & 11.3.2.1)

  • Scans de vulnérabilités externes trimestriels
  • Utilisation d’un ASV (Approved Scanning Vendor)
  • Scans après chaque changement significatif
  • Résolution des vulnérabilités selon score CVSS

Liste officielle des ASV : 

https://listings.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors

Les recommandations FOP :

Établissez un calendrier de tests incluant :
- Scans automatiques mensuels
- Tests manuels trimestriel
- Revue de code après chaque mise à jour majeure
- Documentation des résultats et actions correctives

5. Gestion des prestataires (Requirements 12.8.1 – 12.8.5)

  • Liste à jour des prestataires
  • Contrats incluant les responsabilités de sécurité
  • Suivi annuel de la conformité PCI DSS
  • Documentation des rôles et responsabilités
Les recommandations FOP :

- Faire un inventaire de tous vos prestataires liés au paiement
- Vérifier que vos contrats mentionnent leurs responsabilités en matière de sécurité
- Effectuer un suivi annuel de leur conformité PCI DSS
- Clarifier qui fait quoi en matière de sécurité

6. Réponse aux incidents (Requirement 12.10.1)

Plan d’intervention requis incluant :

  • Rôles, responsabilités et stratégies de communication et de contact en cas d’incident de sécurité suspecté ou confirmé, y compris la notification des marques de paiement et des acquéreurs, au minimum.
  • Procédures de réponse aux incidents avec des activités de confinement et d’atténuation spécifiques pour différents types d’incidents.
  • Procédures de reprise et de continuité des activités. 
  • Processus de sauvegarde des données.
  • Analyse des exigences légales pour signaler les compromissions.
  • Couverture et réponses de tous les composants critiques du système.
  • Référence ou inclusion des procédures de réponse aux incidents des marques de paiement.
Les recommandations FOP :

Préparer un document qui répond à :

- Qui contacter en cas de piratage ? (interne et externe)
- Comment isoler un problème pour éviter la propagation ?
- Où sont stockés les backup et comment les restaurer ?
- Quelles obligations en cas de fuite ?

Autres recommandations

Cet article n’est pas exhaustif en matière de recommandations sécuritaires, d’autres bonnes pratiques sont à mettre en place, notamment :

  • Former votre personnel et ceux de vos clients aux bonnes pratiques sécuritaires
  • Avoir un plan de réponse en cas d’incident
  • Mettre en place d’un WAF (Firewall applicatif) intelligent pour stopper les attaques en amont :
    • Protection contre les attaques web courantes (injection SQL, XSS)
    • Filtrage du trafic malveillant
    • Détection des comportements suspects
  • Mettre en place un FIM (File Integrity Monitoring) : un système de surveillance de l’intégrité des fichiers. C’est une technologie de sécurité qui surveille et détecte les modifications apportées aux fichiers.
  • Diagnostiqueur de WAF pour évaluer la vraie sécurité des applications
  • Monitoring :
    • Surveillance des logs en temps réel
    • Détection des anomalies
    • Alertes automatisées
  • Sauvegarde :
    • Backups réguliers chiffrés
    • Tests de restauration
    • Stockage sécurisé hors-site
  • Télécharger vos modules et thèmes sur des sites de confiance

En conclusion

La conformité avec le PCI DSS v4.0 est une étape incontournable pour toute entreprise traitant des paiements en ligne. Bien que certaines exigences semblent complexes, elles visent avant tout à protéger les données sensibles de vos clients et à renforcer la sécurité de vos systèmes

La version 4.0.1 du PCI DSS représente une évolution significative des exigences de sécurité. Les e-commerçants doivent particulièrement se concentrer sur :

  • L’automatisation des contrôles de sécurité
  • La documentation des procédures
  • La formation continue
  • La gestion proactive des vulnérabilités

Avec la mise en place des mesures appropriées – telles que l’utilisation de modules de sécurité, la mise à jour régulière de votre plateforme et la sensibilisation de votre équipe – vous pouvez aborder cette transition sereinement.

N’oubliez pas que la sécurité est un processus continu et non une simple case à cocher, et qu’elle reste cruciale pour protéger votre activité et la confiance de vos clients.

Documents de référence et liens utiles :

SAQ-A, formulaire officiel : https://docs-prv.pcisecuritystandards.org/SAQ%20(Assessment)/SAQ/PCI-DSS-v4_0_1-SAQ-A-r1.pdf

Présentation rapide PCI DSS : https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Supporting%20Document/PCI-DSS-v4-0-At-a-Glance-r1-FR.pdf?lang=fr

Publications similaires

|

FOP DaY #1 nos remerciements

ParChristophe Vidal

FOP DaY #1 nos remerciements Le premier FOP Day s’est déroulé le vendredi 8 Octobre à Poitiers/Futuroscope et a été un grand succès à la lecture des retours très positifs que nous recevons. C’est très motivant pour en organiser d’autres. Le CA remercie les sponsors, Store Commander, Lyra, Vaisonet, 772424, BeezUP, Presta Module, PrestaShop sans qui le Friends of Presta Day n’aurait pu avoir…