Conformité PCI DSS
Toutes les entreprises qui traitent les données des cartes bancaires doivent se conformer aux Normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Cette exigence s'applique également aux marchands de commerce électronique qui transfèrent tout le traitement des paiements à des tiers vérifiés PCI DSS et qui ont un site web qui ne reçoit pas directement les données du porteur de carte, mais peut affecter la sécurité de la transaction de paiement.
Les mesures nécessaires pour assurer la conformité à la norme PCI DSS dépendent du niveau de conformité aux exigences PCI (volume annuel total des transactions par cartes de crédit, de débit et prépayées) :
- Niveau 1 : Plus de 6 millions de transactions
- Niveau 2 : 1 million – 6 millions de transactions
- Niveau 3 : 20000 – 1 million de transactions
- Niveau 4 : Moins de 20000 transactions
Vous pouvez en lire plus sur les niveaux de conformité PCI ici.
Pour assurer la conformité à la norme PCI DSS, effectuez les actions suivantes :
- Si vous avez déjà un certificat de conformité PCI DSS, envoyez-le simplement à la banque. Vous n'avez pas besoin d'effectuer les étapes suivantes.
- Effectuez les actions décrites dans le tableau ci-dessous, selon la méthode d'acquiring utilisée.
| Méthode d'acquiring | Étapes nécessaires |
|---|---|
| Paiement par lien | Aucune action requise. |
| Intégration via redirection | Remplissez le questionnaire d'auto-évaluation SAQ A (obligatoire pour les Niveaux 1-3, recommandé pour le Niveau 4). |
| Intégration directe | |
| Web SDK Core | |
| Web SDK Payment | Remplissez le questionnaire d'auto-évaluation SAQ A (obligatoire pour les Niveaux 1-3, recommandé pour le Niveau 4). |
| Mobile SDK Core | Remplissez les questionnaires d'auto-évaluation SAQ A et SAQ D — exigences 6.3, 6.4, 6.5 (obligatoire pour tous les niveaux). |
| Mobile SDK Payment | Remplissez le questionnaire d'auto-évaluation SAQ A (obligatoire pour le Niveau 1-3, recommandé pour le Niveau 4). |