Le PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité créée par les principaux réseaux de paiement : Visa, Mastercard, American Express, Discover (USA) et JCB (Japon). Elle a été mise en place pour standardiser les mesures de sécurité à travers l’industrie des cartes bancaires, assurant une protection cohérente et efficace des données des titulaires de carte. Car, sans la confiance que rend possible cette norme, il serait difficile d’imaginer un monde avec des transactions en ligne, où les consommateurs peuvent effectuer des achats en toute confiance !
Frédéric Toumelin, responsable du secteur banque et assurance chez Blueway, nous éclaire sur les enjeux qui se cachent derrière cette norme, notamment avec la dernière phase de déploiement de la version 4 du 31 mars 2025.
Peux-tu nous parler des enjeux actuels de la norme PCI DSS ?
Pour commencer, il faut déjà bien avoir à l’esprit que le PCI DSS est une norme d’autorégulation. Ce qui signifie qu’elle a été élaborée par l’industrie des paiements elle-même, et non imposée par un gouvernement. Cette approche d’autorégulation permet une plus grande flexibilité et une adaptation plus rapide aux évolutions technologiques et aux nouvelles menaces en matière de sécurité. Cependant, elle implique également une responsabilité accrue pour les acteurs de l’industrie, qui doivent s’engager activement à respecter et à appliquer la norme. Ce qui est essentiel dans ce contexte, car sans confiance le système n’est tout simplement pas viable.
En cas de non-respect de la norme PCI DSS, les banques s’exposent à des amendes conséquentes pouvant aller jusqu’à 100.000€ par mois et par commerçant, jusqu’à ce que la conformité soit rétablie. Ces amendes ont vocation à être répercutées contractuellement sur les commerçants concernés. Sachant que si le défaut de conformité débouche sur une violation avérée des données cela déclenche naturellement d’autres conséquences financières – sans même parler de la perte de confiance des clients, nuisant gravement à la réputation des établissements. Des actions légales peuvent en effet être intentées aussi bien par les clients affectés que par les régulateurs en charge de la protection de la vie privée. C’est ainsi qu’en 2017 la société canadienne Equifax s’était vu imposer une amende record de 425 millions de dollars à la suite d’une action collective emmenée par le Federal Trade Commission. La raison: une fuite de données personnelles incluant plusieurs centaines de milliers de numéros de cartes de paiement.
L’enjeu principal est donc de protéger l’écosystème des paiements, incluant les porteurs de cartes, les commerçants, les banques et les fournisseurs de cartes eux-mêmes. PCI DSS englobe toutes les étapes du processus de paiement, depuis le moment où un client saisit ses informations de carte jusqu’à l’autorisation et au règlement de la transaction, et à l’éventuelle conservation des données au-delà du débouclement de la transaction. En protégeant chaque maillon de cette chaîne, la norme vise à prévenir les risques de violation de données et à maintenir l’intégrité du système financier global.
Quelles sont les dernières évolutions de la norme et ses implications pour les établissements financiers ?
La norme PCI DSS a été introduite en 2004 et évolue depuis : la version actuelle est la 4.0, publiée en 2022. Ces mises à jour régulières reflètent l’engagement continu de l’industrie à améliorer la sécurité des paiements et à anticiper les défis posés par un paysage de menaces en constante évolution. Chaque nouvelle version apporte des améliorations et des clarifications basées sur les retours d’expérience et les meilleures pratiques en matière de sécurité. La version 4.0 introduit des changements importants, notamment une meilleure prise en compte des API, qui sont de plus en plus utilisées dans le contexte de l’open banking et prochainement de l’open finance. Cette évolution reconnaît donc l’importance de l’APIM dans l’échange de données financières et la nécessité de sécuriser les interfaces pour prévenir les accès non autorisés et les fuites d’informations sensibles. Les exigences mises à jour aident ainsi les organisations à concevoir et à mettre en œuvre des API sécurisées, garantissant ainsi la confidentialité et l’intégrité des données financières partagées.
Il faut noter que les nouvelles exigences de la version 4.0 entrent en vigueur progressivement, avec certaines mesures applicables depuis le 31 mars 2024 et d’autres à partir du 31 mars 2025. Cette approche progressive vise à donner aux organisations le temps nécessaire pour comprendre les nouvelles exigences, mettre à jour leurs systèmes et processus, et assurer une transition en douceur vers la conformité. Elle reconnaît que la mise en œuvre de changements importants en matière de sécurité peut prendre du temps et nécessiter de planifier l’utilisation de nouveaux processus et de nouveaux outils.
Comment optimiser votre démarche Data Quality dans le secteur finance ?
Concrètement, qui est actuellement concerné par PCI DSS ?
La norme PCI DSS concerne toutes les entités qui gèrent des numéros de carte. Elle inclut non seulement les institutions financières et les commerçants « traditionnels », mais aussi une gamme croissante d’entreprises qui traitent des paiements par carte dans le cadre de leurs activités, comme certains éditeurs de logiciels ou encore les PSP (Payment Service Providers) de plus en plus nombreux depuis que leur statut a été introduit par la DSP1 en 2009. La norme s’applique donc à toute organisation qui stocke, traite ou transmet des données de titulaire de carte, quelle que soit sa taille ou son secteur d’activité. Les banques sont directement impliquées dans le traitement des paiements, en tant qu’émetteurs (attribution de cartes) ou acquéreurs (traitement des transactions pour les commerçants). En tant qu’émetteurs, elles sont responsables de la délivrance des cartes aux clients et de la gestion des comptes associés. En tant qu’acquéreurs, elles traitent les transactions effectuées par les porteurs de cartes chez les commerçants et transfèrent les fonds entre les comptes. Ce double rôle place les banques et leur digitalisation au cœur du système de paiement par carte et souligne leur responsabilité en matière de sécurité.
Les assurances, quant à elles, jouent fréquemment un rôle de commerçants en acceptant des paiements carte, notamment pour le règlement des cotisations. Cette activité les soumet aux exigences de PCI DSS, qui les oblige à protéger les données des titulaires de carte de la même manière que tout autre commerçant.
Quels sont tes conseils face aux défis soulevés par PCI DSS ?
Depuis le début, PCI DSS implique la mise en œuvre de mesures de sécurité robustes pour protéger certaines informations confidentielles contre les accès non autorisés, les utilisations abusives et les divulgations. Les données des titulaires de carte comprennent non seulement le numéro de la carte, mais aussi d’autres informations sensibles telles que le nom du titulaire, la date d’expiration et le code de sécurité (CVV). La norme PCI DSS définit ainsi des exigences détaillées pour la collecte, le stockage, le traitement et la transmission de ces données.
La formation du personnel et les audits réguliers sont également essentiels pour assurer la conformité à la norme PCI DSS. Car il faut amener les employés à comprendre leurs responsabilités en matière de sécurité et à se familiariser avec les meilleures pratiques pour protéger les données des titulaires de carte. Les audits réguliers, quant à eux, permettent d’évaluer l’efficacité des mesures de sécurité mises en place et d’identifier les éventuelles lacunes ou faiblesses.
Comment Blueway accompagne ses clients autour de ces enjeux ?
Aujourd’hui l’open banking permet à des tiers d’accéder aux données financières des clients via des API. Offrant de nouvelles opportunités d’innovation et de services personnalisés, il crée également de nouveaux défis en matière de sécurité. Il augmente en effet le nombre de points d’accès aux données sensibles et accroît donc potentiellement le risque de violation de données.
Dans ce contexte, une solution d’APIM – comme notre module API Governance – fournit des outils pour enregistrer et surveiller l’activité des API, ce qui permet non seulement d’apporter des contrôles en amont mais aussi de détecter d’éventuelles anomalies et donc de réagir plus efficacement.
En complément, le module Data Catalog de notre plateforme Phoenix peuvent aider les organisations à auditer et à contrôler l’accès aux données sensibles, en identifiant les enregistrements qui contiennent des informations critiques. Dans le cadre de PCI DSS, cela permet notamment de s’assurer qu’il n’y a pas de présence de données carte en dehors des zones du SI prévues pour les traiter correctement. Or, la grande diversité d’intervenants impliqués dans les traitements cartes conduit souvent à la duplication et au partage d’information sensibles en dehors du cadre prévu. Cela peut par exemple se manifester dans des champs de commentaires libres de certains applicatifs, ou même dans des environnements de données non structurées : répertoires sur des espaces de travail partagés, serveur de messagerie, etc. Avec le Data Catalog, de tels écarts peuvent être détectés de manière automatique, de manière régulière voire en temps réel si nécessaire.
La conformité à PCI DSS représente donc un enjeu vital pour l’ensemble de l’écosystème des paiements. Elle est essentielle pour maintenir la confiance des consommateurs, protéger les entreprises contre les pertes financières et préserver l’intégrité du système financier mondial. Les organisations qui ne respectent pas la norme s’exposent à des risques importants, tant financiers que réputationnels, et peuvent compromettre la stabilité de l’ensemble du secteur. Une démarche pro active est donc plus que souhaitable dans ce domaine !
Échangez sur le Data Catalog avec un expert Blueway !
