PCI DSS : sécuriser les données de cartes de paiement

PCI DSS (Payment Card Industry Data Security Standard) est le standard qui protège les données de cartes de paiement. Édité par le PCI Security Standards Council, il s'impose par contrat à toute organisation qui stocke, traite ou transmet des données de cartes. Sa version courante est la 4.0 (et sa révision 4.0.1) v4.0.1. Cette page explique ses 12 exigences, qui est concerné, comment on démontre sa conformité (SAQ ou audit), et comment SOCLE outille sa mise en oeuvre. Public visé : équipes e-commerce, plateformes de paiement et leurs prestataires techniques.

En bref

PCI DSS est le standard de sécurité des données de cartes de paiement, édité par le PCI Security Standards Council. Il impose 12 exigences à toute organisation qui stocke, traite ou transmet ces données. Version courante : 4.0.1.

Ce que vous allez apprendre

• Savoir si PCI DSS s'applique à votre activité
• Comprendre la logique des 12 exigences
• Distinguer SAQ (auto-évaluation) et ROC (audit complet)
• Relier ces exigences à des contrôles techniques via SOCLE

Qu'est-ce que PCI DSS

PCI DSS n'est pas une loi mais un standard contractuel porté par les grands réseaux de cartes. Il fixe un ensemble de contrôles de sécurité dont l'objectif unique est de réduire la fraude en protégeant les données du titulaire de carte (numéro, données d'authentification). Le non-respect expose à des pénalités, à une responsabilité accrue en cas de fuite, voire au retrait de la capacité d'accepter les cartes.

Qui est concerné

Toute entité dans le flux de paiement est concernée : commerçants, places de marché, prestataires de services de paiement, mais aussi les sous-traitants techniques qui manipulent ou peuvent impacter ces données. Le niveau d'exigence dépend du volume de transactions (les niveaux 1 à 4).

La preuve de conformité prend deux formes selon le niveau :

SAQ (auto-évaluation)

Le SAQ (Self-Assessment Questionnaire) est une auto-évaluation déclarative, adaptée aux volumes modestes.

ROC (audit)

Le ROC (Report on Compliance) est un audit sur site par un QSA qualifié, imposé aux plus gros acteurs.

Réduire le périmètre

La meilleure stratégie PCI DSS consiste souvent à sortir vos systèmes du périmètre : externaliser la saisie de carte, tokeniser et ne jamais stocker ce qui n'est pas indispensable. Moins de systèmes exposés, moins de contrôles à prouver.

Les 12 exigences en six objectifs

PCI DSS organise ses 12 exigences autour de six objectifs.

Objectif	Exigences clés
Réseau sécurisé	Pare-feu, pas de mots de passe par défaut
Protéger les données	Stockage minimal, chiffrement en transit et au repos
Gestion des vulnérabilités	Antimalware, développement et logiciels sûrs
Contrôle d'accès	Moindre privilège, identifiants uniques, accès physique
Surveillance	Journalisation, suivi des accès, tests réguliers
Politique de sécurité	Politique formelle et sensibilisation

Glissez pour voir

La version 4.0 renforce notamment l'authentification (MFA généralisée) et la sécurité applicative, avec des exigences devenues obligatoires en 2025.

Comment SOCLE vous aide

PCI DSS exige des contrôles ; SOCLE fournit les briques techniques pour les implémenter et les prouver.

• Protection des données : le chiffrement au repos et en transit et les exigences SOCLE de chiffrement et de clés.
• Pas de secrets en clair : toute la section gestion des secrets et la détection des secrets dans le code.
• Contrôle d'accès : l'IAM cloud et le modèle Zero Trust.
• Surveillance : la journalisation et l'audit.
• Logiciels sûrs : la famille Sécurité applicative et l'analyse des dépendances.

À retenir

• PCI DSS est un standard contractuel qui protège les données de cartes, pas une réglementation publique.
• Toute entité du flux de paiement est concernée ; la preuve passe par un SAQ ou un ROC selon le volume.
• Réduire le périmètre (tokenisation, externalisation) est la stratégie la plus efficace.
• SOCLE couvre directement chiffrement, secrets, accès, journalisation et sécurité applicative.

FAQ : questions fréquentes

Qui doit être conforme à PCI DSS ?

Toute entité qui stocke, traite ou transmet des données de cartes de paiement : commerçants, places de marché, prestataires de paiement, mais aussi les sous-traitants techniques qui peuvent impacter ces données.

SAQ ou ROC : quelle preuve dois-je fournir ?

Le SAQ (auto-évaluation) convient aux volumes modestes ; le ROC (audit sur site par un QSA qualifié) s'impose aux plus gros acteurs. Le niveau de marchand détermine lequel s'applique.

PCI DSS est-il une loi ?

Non. PCI DSS est un standard contractuel imposé par les réseaux de cartes, pas une réglementation publique. Le non-respect expose à des pénalités et au retrait de la capacité d'accepter les cartes.

Quelles sont les 12 exigences de PCI DSS ?

Les 12 exigences se regroupent en six objectifs : réseau sécurisé, protection des données du titulaire, gestion des vulnérabilités, contrôle d'accès strict, surveillance et tests réguliers, et politique de sécurité formelle.

Quels sont les niveaux de marchands PCI DSS ?

PCI DSS définit quatre niveaux de marchands selon le volume annuel de transactions. Le niveau 1 impose un audit sur site par un QSA ; les niveaux inférieurs peuvent recourir à une auto-évaluation (SAQ).

Prochaines étapes

Le référentiel SOCLEDes exigences techniques traçables Gestion des secretsNe jamais exposer de données sensibles ISO/IEC 27001Le cadre de management souvent complémentaire Toutes les conformitésPanorama des normes et leur mapping SOCLE

Ressources officielles

• PCI Security Standards Council, les documents officiels et le catalogue des SAQ

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →