Retour aux guides SÉCURITÉ

Passerelle de Paiement Conforme PCI DSS : Ce que Cela Signifie pour Votre Entreprise

Le PCI DSS (Payment Card Industry Data Security Standard) est le cadre de sécurité mondial qui régit la façon dont les données de carte doivent être gérées par toute entité qui traite, stocke ou transmet des informations de carte de paiement. Pour les marchands qui choisissent une passerelle de paiement, le niveau de certification PCI DSS est l'un des critères de sélection techniques et commerciaux les plus importants. L'utilisation d'une passerelle certifiée PCI DSS Level 1 réduit significativement la charge de conformité du marchand, protège les porteurs de cartes et réduit le risque de violations de données qui entraînent des amendes du réseau de cartes et des coûts de réémission de cartes. Ce guide explique ce que signifie la conformité PCI DSS pour une passerelle, les niveaux de certification, ce qu'une passerelle Level 1 fait pour votre programme de conformité et ce que les marchands doivent encore faire de manière indépendante.

Passerelle de Paiement Conforme PCI DSS | RoxPay

Ce que Signifie la Conformité PCI DSS pour une Passerelle de Paiement

Le PCI DSS est un ensemble d'exigences de sécurité développé par les principaux réseaux de cartes (Visa, Mastercard, Amex, Discover, JCB) via le PCI Security Standards Council. La norme s'applique à toute entité qui traite, stocke ou transmet des données de titulaire de carte, définies principalement comme le Numéro de Compte Principal (PAN), combiné avec tout élément de données supplémentaire.

Pour une passerelle de paiement, la conformité PCI DSS signifie que l'infrastructure complète de la passerelle, y compris ses serveurs, réseaux, applications et procédures opérationnelles, satisfait aux exigences de sécurité définies dans la norme PCI DSS actuelle (actuellement la version 4.0).

Pourquoi cela compte pour les marchands : Une passerelle non conforme PCI DSS crée une exposition à la responsabilité pour chaque marchand l'utilisant. Si les données de titulaire de carte traitées via la passerelle sont compromises, les réseaux de cartes peuvent imposer des amendes, exiger la réémission de cartes aux frais du marchand et dans les cas graves révoquer les licences de traitement de l'acquéreur.

Certification continue : La conformité PCI DSS n'est pas une certification ponctuelle. Les passerelles Level 1 subissent des évaluations de sécurité annuelles sur site par un Qualified Security Assessor (QSA) et des analyses trimestrielles de vulnérabilités du réseau par un Approved Scanning Vendor (ASV).

Pour les marchands utilisant une passerelle de paiement à haut risque spécialisée, la certification PCI DSS Level 1 au niveau de la passerelle est particulièrement importante car les catégories de marchands à haut risque attirent une attention accrue des fraudeurs et des organismes de réglementation.

Niveaux PCI DSS : Level 1 vs Level 2 vs Level 3 vs Level 4

La certification PCI DSS est échelonnée par volume de transactions, avec différentes exigences de validation de conformité pour chaque niveau. Pour les passerelles de paiement (qui sont des prestataires de services), les niveaux pertinents sont définis différemment.

Niveaux des prestataires de services :
Les prestataires de services Level 1 traitent ou stockent ou transmettent plus de 300 000 transactions par carte par an. Ils doivent subir un Rapport de Conformité (RoC) annuel préparé par un Qualified Security Assessor, plus des analyses trimestrielles du réseau. C'est le niveau d'évaluation le plus rigoureux et celui dont RoxPay est certifié.

Les prestataires de services Level 2 traitent moins de 300 000 transactions par carte par an. Ils peuvent remplir eux-mêmes un Questionnaire d'Auto-Évaluation (SAQ) annuel plus des analyses trimestrielles.

Niveaux marchands (pour contexte) :
Marchand Level 1 : Plus de six millions de transactions Visa ou Mastercard par an.
Marchand Level 2 : Un à six millions de transactions par an.
Marchand Level 3 : 20 000 à un million de transactions e-commerce.
Marchand Level 4 : Moins de 20 000 transactions e-commerce ou moins d'un million d'autres transactions.

Ce que signale la certification Level 1 : Une passerelle certifiée PCI DSS Level 1 a subi l'évaluation de sécurité tierce partie la plus rigoureuse possible.

Comment l'Utilisation d'une Passerelle PCI DSS Level 1 Réduit Votre Charge de Conformité

L'utilisation d'une passerelle PCI DSS Level 1 réduit significativement la portée de votre propre programme de conformité PCI DSS, mais l'étendue de la réduction dépend de votre méthode d'intégration.

Intégration par page hébergée (réduction de portée complète) : Lorsque vous utilisez la page de paiement hébergée de la passerelle, votre client est redirigé vers le domaine de la passerelle pour saisir les détails de carte. Votre infrastructure ne voit jamais les données de carte. Sous ce modèle, vous êtes éligible au SAQ A, le questionnaire d'auto-évaluation le plus simple. Le SAQ A comporte environ 22 exigences, contre 300 pour le SAQ D.

Intégration Drop-in UI ou iFrame (réduction de portée quasi complète) : Lorsque la passerelle fournit des éléments iFrame injectés par JavaScript pour la saisie de carte dans votre page de checkout, les données de carte sont gérées dans l'iFrame sécurisé de la passerelle, pas dans le code de votre page.

API REST avec tokenisation (réduction de portée modérée) : Lorsque votre frontend collecte des données de carte et les envoie à votre serveur, qui appelle ensuite l'API de la passerelle, votre serveur est dans le périmètre PCI DSS.

Ce que signifie la réduction de portée en pratique : La conformité SAQ A est réalisable pour la plupart des petits et moyens marchands sans personnel de sécurité dédié ou d'évaluations externes coûteuses. La conformité SAQ D nécessite un investissement significatif.

Ce que les Marchands Doivent Encore Faire Même avec une Passerelle Conforme

L'utilisation d'une passerelle certifiée PCI DSS Level 1 réduit votre charge de conformité mais n'élimine pas toutes les obligations PCI.

Complétez votre SAQ : Même sous le SAQ A (le formulaire le plus simple pour les intégrations hébergées/iFrame), les marchands doivent compléter et conserver le questionnaire d'auto-évaluation.

Sécurisez votre couche d'application : Votre site web et votre application sont dans le périmètre PCI DSS même lors de l'utilisation d'une passerelle hébergée, spécifiquement en ce qui concerne la prévention des attaques de web skimming. PCI DSS 4.0 a introduit des exigences spécifiques autour de la protection des pages de paiement contre l'injection de scripts côté client (attaques de style Magecart).

Protégez vos identifiants API : Vos clés API et vos secrets de signature webhook doivent être stockés en toute sécurité, rotés régulièrement et ne jamais être exposés dans le code côté client ou le contrôle de version.

Maintenez l'hygiène de votre système : Les serveurs, applications et infrastructures faisant partie de votre environnement de paiement doivent être maintenus patchés et sécurisés.

Ne stockez pas de données interdites : Même lors de l'utilisation d'une passerelle hébergée, vous ne devez conserver aucun numéro de carte complet, CVV ou données de bande magnétique dans tout système que vous contrôlez.

Certification PCI DSS Level 1 de RoxPay et Ce qu'elle Couvre

RoxPay détient la certification PCI DSS Level 1 avec le numéro de certificat QS83A47X629. Cette certification est maintenue grâce à des évaluations annuelles sur site par un Qualified Security Assessor et des analyses trimestrielles du réseau par un Approved Scanning Vendor.

Ce que la certification couvre : L'ensemble de l'infrastructure de traitement des paiements de RoxPay, y compris les coffres de données de carte, les serveurs de traitement des transactions, l'infrastructure réseau, les endpoints API et les procédures opérationnelles.

Ce que cela signifie pour les marchands : Les marchands utilisant le checkout hébergé ou l'intégration drop-in UI de RoxPay peuvent être éligibles au SAQ A, l'exigence de validation de conformité minimale pour les marchands qui ne gèrent pas directement les données de carte.

Certification ISO 27001 : En plus du PCI DSS Level 1, RoxPay détient la certification ISO 27001, qui couvre le système de gestion de la sécurité de l'information de manière large.

Enregistrement OAM : RoxPay est enregistré auprès de l'OAM italien (Organismo Agenti e Mediatori), confirmant son statut d'opérateur de paiement réglementé en Italie.

Pour démarrer votre candidature RoxPay et accéder à l'environnement sandbox pour les tests d'intégration conformes PCI, complétez le formulaire d'onboarding numérique. Les identifiants sandbox sont disponibles immédiatement dès l'inscription. La documentation complète de l'API est disponible sur app.roxpay.eu/api/v4/docs.

RoxPay traite plus de 500 millions d'euros de volume annuel sur 120 systèmes de paiement avec un SLA de disponibilité de 99,9%. Tarification IC++ à partir de 0,45%, règlement vers toute banque SEPA en 24-48 heures.

Questions fréquentes

Quelle est la différence entre PCI DSS Level 1 et Level 2 ?

Pour les prestataires de services (passerelles de paiement), le Level 1 nécessite une évaluation annuelle sur site par un Qualified Security Assessor, produisant un Rapport de Conformité formel. Le Level 2 permet l'auto-complétion d'un Questionnaire d'Auto-Évaluation. Le Level 1 est plus rigoureux et offre aux marchands une assurance plus grande car un expert en sécurité indépendant a physiquement examiné et certifié l'ensemble de l'environnement de traitement.

Dois-je être conforme PCI DSS si j'utilise le checkout hébergé de RoxPay ?

Oui, mais votre obligation de conformité est minimale. L'utilisation du checkout hébergé ou du drop-in UI de RoxPay signifie que vous êtes éligible au SAQ A, ce qui implique de compléter un court questionnaire d'auto-évaluation d'environ 22 exigences, plus des analyses trimestrielles du réseau par un Approved Scanning Vendor. Vous n'avez pas besoin d'un audit QSA ou d'une évaluation complète SAQ D.

Qu'est-ce que PCI DSS 4.0 et cela affecte-t-il les marchands utilisant des checkouts hébergés ?

PCI DSS version 4.0 a été publié en 2022 et est devenu la norme effective en 2024. Pour les marchands utilisant des checkouts hébergés, l'exigence nouvelle la plus pertinente dans la v4.0 est la nécessité de maintenir un inventaire de scripts et une surveillance d'intégrité pour tous les scripts s'exécutant sur vos pages de paiement (pour prévenir le web skimming). Cela s'applique même sous le SAQ A. La documentation d'intégration de RoxPay inclut des conseils pour répondre à cette exigence.

En savoir plus

Vous pourriez aussi aimer

Passerelle de paiement à haut risque

Traitement sécurisé des paiements pour les secteurs à haut risque avec routage multi-acquéreur et protection contre les rétrofacturations.

Lire la suite

Solutions de paiement pour petites entreprises

Tarification IC++ transparente, terminal Smart POS gratuit et activation en 24 heures pour les petites entreprises.

Lire la suite

Intégrations de paiement e-commerce

Plugins en un clic pour Shopify, WooCommerce, Magento et PrestaShop avec accès API complet.

Lire la suite
Commencez aujourd'hui

Optimisez vos paiements dès aujourd'hui

RoxPay est certifié PCI DSS Level 1 (QS83A47X629) et ISO 27001. Les marchands utilisant le checkout hébergé sont éligibles à la conformité SAQ A. IC++ à partir de 0,45%, règlement vers toute banque SEPA en 24-48 heures.

Activez gratuitement → Parler à un expert

✓ Aucun coût fixe mensuel · ✓ Activation en 24 heures · ✓ Support technique dédié