Qu'est-ce que la conformité Magento PCI et pourquoi votre boutique Magento en a besoin ?

Publié: 2022-06-01

Le commerce électronique s'est développé de plus en plus rapidement ces derniers temps. Par conséquent, de nombreuses entreprises ouvrent leur boutique en ligne sur différentes plateformes telles que Woocommerce, Shopify,… en particulier Magento en raison des fonctionnalités brillantes. Cependant, outre les énormes avantages, la sécurité est également la principale préoccupation des clients et des propriétaires. Les acheteurs ne veulent pas que leurs informations personnelles soient révélées à des tiers qui pourraient leur nuire et les entreprises veulent conserver une image professionnelle pour gagner la confiance des clients. Par conséquent, dans cet article, nous vous présenterons une solution exceptionnelle pour vous aider à résoudre le problème difficile : la conformité Magento PCI.

Pour commencer, vous devez vous familiariser avec la conformité PCI

Alors, qu'est-ce que la conformité PCI ?

qu'est-ce que la conformité PCI

PCI est l'abréviation de Payment Card Industry. La conformité PCI est un ensemble de normes et de lois de base visant à améliorer la sécurité des données de paiement dans le monde. Les politiques, la gestion de la sécurité, l'architecture réseau, la conception logicielle et d'autres restrictions en font partie. PCI DSS établit les meilleures pratiques pour les entreprises de commerce électronique afin d'apporter un environnement sécurisé pour les données sensibles. Un autre élément de connaissance est que le Conseil des normes de sécurité PCI développe et distribue toutes les normes de conformité PCI. Le Conseil des normes de sécurité PCI a été créé en 2006 pour élaborer ces réglementations et superviser la conformité PCI dans l'industrie du commerce électronique. Visa, Mastercard, JCB International, Discover Financial Services et American Express font partie des plus grands réseaux mondiaux de cartes de paiement représentés au sein du conseil.

La conformité PCI est obligatoire pour toute entreprise qui exploite une boutique en ligne. Les entreprises qui adhèrent et obtiennent la conformité PCI DSS (normes de sécurité des données de l'industrie des cartes de paiement) sont qualifiées de conformes à la norme PCI.

Il existe différents niveaux de conformité PCI DSS que vous devez connaître

La conformité PCI comporte quatre étapes différentes, chacune faisant référence à une évaluation annuelle par un évaluateur de sécurité qualifié et à une analyse trimestrielle par un fournisseur d'analyse agréé de portée variable.

Conformité PCI DSS Niveau 1

Il s'agit du niveau initial de conformité PCI pour le commerce électronique, et il est utilisé pour les organisations qui traitent des millions de transactions. Les types d'entreprises suivants sont soumis à ces règles :

  • Les entreprises de commerce électronique qui traitent plus de 6 millions de transactions Visa ou Mastercard chaque année, consistent en transactions en ligne et hors ligne (si une entreprise a une présence hors ligne)
  • Chaque année, les facilitateurs de paiement exécutent environ 300 000 transactions.
  • Toutes les boutiques en ligne que Visa considère comme étant de niveau 1
  • Chaque année, un auditeur PCI agréé effectue un audit pour vérifier leur conformité. Chaque trimestre, les organisations de niveau 1 doivent faire effectuer une analyse PCI par un fournisseur d'analyse approuvé, ou ASV.

Conformité PCI DSS niveau 2

Cette forme de régulation est généralement adaptée aux grandes entreprises avec un volume de transactions inférieur à 6 millions :

  • 1 à 6 millions de transactions Visa sont effectuées chaque année par les commerçants, qui effectuent à la fois des paiements en ligne et physiques.
  • Avec plus de 300 000 transactions annuelles, les facilitateurs de paiement sont très demandés.
  • Chaque année, ces entreprises doivent remplir un questionnaire d'auto-évaluation, ou SAQ, ainsi qu'un scan PCI tous les trimestres.

Conformité PCI DSS Niveau 3

Ce niveau de conformité PCI pour le commerce électronique est destiné aux commerçants qui effectuent entre 20 000 et 1 million de transactions de commerce électronique Visa par an.

Ces cabinets, comme le niveau 2, doivent remplir un SAQ annuel mais ne sont tenus d'exécuter des scans trimestriels que sous certaines conditions.

Conformité PCI DSS Niveau 4

Le niveau 4 concerne les petites entreprises de commerce électronique avec moins de transactions :

  • Les vendeurs qui effectuent moins de 20 000 transactions Visa par an ne sont pas éligibles.
  • Commerçants qui exécutent un million ou plus de transactions Visa par an (en ligne et hors ligne)

Bien qu'une analyse SAW annuelle soit requise, l'analyse PCI trimestrielle est effectuée « selon les besoins ».

L'aperçu des principaux niveaux de conformité PCI DSS fourni ci-dessus vous aidera à déterminer le niveau de conformité que votre entreprise doit atteindre.

Conformité Magento PCI

Conformité Magento PCI

Édition commerciale de Magento

Magento 2 Commerce (Cloud) Edition, en particulier la dernière version Magento 2.4.4 est certifié PCI en tant que fournisseur de solutions de niveau 1, perpétuant l'héritage de son prédécesseur. La conformité PCI est de plus en plus accessible aux entreprises. Ils peuvent compter sur l'attestation de conformité PCI de Magento pour les aider à démontrer qu'ils ont satisfait aux critères.

Étant donné que la majorité des personnes qui utilisent Commerce Edition sont des moyennes et grandes entreprises qui gèrent plus de 6 millions de transactions par an, cela est essentiel.

De plus, les magasins Magento sont reliés à des passerelles de paiement, qui envoient les données directement à la passerelle de paiement plutôt que de les stocker sur le serveur Magento. Les éditions Magento Open Source et Commerce ont cette capacité.

Magento Édition Open Source

L'édition Open Source ne contient pas de conformité PCI en tant que fonctionnalité. Cependant, il existe quelques options pour rendre votre site Web Magento conforme à la norme PCI :

1. Effectuez un paiement via un service tiers (par exemple, PayPal express)

C'est ainsi que nous l'avons indiqué dans la section de l'édition Commerce.

Vous n'aurez pas besoin d'être conforme à la norme PCI si vous choisissez cette option car les informations de carte de crédit ne seront pas stockées sur votre serveur. L'utilisation d'une passerelle de paiement tierce dans le passé aurait pu perturber le processus de paiement de votre client. Cependant, ce n'est plus un problème.

Avec une passerelle de paiement tierce, par exemple l'intégration de Magento Stripe, les commerçants peuvent désormais offrir une expérience de paiement transparente. Vous pouvez apporter des modifications à l'application principale de commerce électronique Magento sans avoir à passer par une réévaluation pour être conforme à la norme PCI si des données sensibles ne sont pas stockées sur le serveur Magento.

2. Utilisez une application de paiement SaaS conforme à la norme PCI.

Vous pouvez utiliser le CRE Secure, qui est conforme à la norme PCI, par exemple. Le client est dirigé vers un site Web différent (l'URL change), mais le formulaire peut être ajusté pour correspondre au design de votre boutique.

Et la question est de savoir pourquoi vous devez être conforme à la norme PCI ?

Liste de contrôle des exigences de conformité PCI DSS

Il n'est pas exagéré d'affirmer que le commerce électronique domine le marché depuis plusieurs années. Parallèlement à ce développement, on se soucie de plus en plus de la sécurité des données des clients lorsqu'il s'agit de transactions financières en ligne. Bien que la conformité PCI ne soit pas requise par la loi, elle est considérée comme telle par la jurisprudence. Cela se produit parce que, tout en acceptant les paiements par carte, il est de votre responsabilité de protéger les informations financières sensibles de vos clients.

Les entreprises de commerce électronique bénéficient de la conformité PCI de diverses manières, notamment :

Violations de données

  • Sans conformité PCI, votre entreprise est exposée à des violations de données, des fuites et des pirates, ce qui peut entraîner de graves pertes de revenus.
  • La conformité PCI renforce vos défenses contre la cybercriminalité et aide à prévenir les violations de données.
  • En outre, votre entreprise peut faire face à des poursuites, à des frais de remplacement de carte et à des frais d'indemnisation des clients.
  • Si une violation de données est découverte et que votre entreprise est conforme à la norme PCI, les coûts de la violation sont réduits.
  • Réduire le nombre de violations de données. Plus important encore, protégez les données des titulaires de carte (nos clients) contre les cyberattaques.

Pénalités et lourdes amendes

  • Le non-respect des règles PCI peut entraîner diverses amendes pouvant épuiser complètement vos ressources financières.
  • En fonction du volume de transactions et de la durée de la non-conformité, les pénalités peuvent aller de 5 000 $ à 100 000 $ par mois.
  • Les manquements à la conformité du gouvernement pourraient entraîner des amendes substantielles en plus des sanctions imposées par les fournisseurs de paiement.
  • Pour les infractions graves, les amendes peuvent atteindre 20 millions d'euros.
  • Des accusations de fraude, des examens médico-légaux et des sanctions supplémentaires peuvent être imposées si l'entreprise enfreint à nouveau la loi

Perte de réputation et de revenus

  • Selon un récent sondage Verizon, 69 % des clients éviteraient de faire affaire avec une entreprise qui a subi une violation de données, même si elle proposait de meilleures offres que ses concurrents.
  • Les consommateurs ont désormais des attentes élevées en matière de sécurité et une faible tolérance aux vulnérabilités de la confidentialité des données, grâce à une connaissance accrue des problèmes de confidentialité des données des consommateurs.
  • Les violations de données peuvent nuire à la réputation de votre marque tout en réduisant la fidélité des clients.

Suspension de l'utilisation des cartes de crédit sur votre boutique Magento

  • Après une violation de données, le non-respect de la conformité PCI peut entraîner la révocation de votre capacité à accepter les paiements par carte de crédit.
  • La suspension de votre compte de carte de crédit est une perte plus grave pour votre entreprise car elle empêche votre magasin de traiter les cartes de crédit à l'avenir.
  • Vous aurez besoin d'une politique de sécurité stricte conforme aux directives PCI pour éviter de telles pertes.

Passons maintenant à la liste de contrôle des exigences de conformité PCI DSS

12 exigences clés

Pour les entreprises qui gèrent les données des titulaires de carte et maintiennent un réseau de traitement des paiements, le PCI SSC a établi 12 normes divisées en six sections. Toutes ces exigences doivent être respectées par toute entreprise qui souhaite être en conformité.

Construire et maintenir un réseau sécurisé

Le premier ensemble d'exigences fait référence au maintien d'un réseau sécurisé et précise qu'une entreprise doit :

  • Installe et maintient à jour un pare-feu.
  • Sur les données client, utilise des mots de passe originaux sélectionnés par l'utilisateur plutôt que des mots de passe fournis par le fournisseur.

Protégez les données des titulaires de carte

Protégez les informations sur les titulaires de carte qui ont été stockées.

  • Plusieurs niveaux de sécurité sont utilisés pour prendre soin des données de titulaire de carte stockées.
  • Il est essentiel de respecter cette exigence de conformité PCI en évitant de conserver les données des titulaires de carte plus longtemps que nécessaire.
  • Laissez les clients entrer leurs informations de carte de crédit via une passerelle de paiement et n'envoyez jamais d'informations de paiement sans cryptage robuste.

Crypter les données sur les titulaires de carte qui sont envoyées sur Internet.

  • Cryptez la transmission des données des titulaires de carte via des réseaux ouverts et publics.
  • Avant de transporter des données de cartes sensibles vers plusieurs systèmes, il est essentiel de les chiffrer. En utilisant les technologies SSL et TLS, vous pouvez accomplir cela.
  • Le cryptage des données pendant le transit est extrêmement important car il protège les données des consommateurs même si les réseaux sont violés pendant le transfert.
  • Un certificat SSL augmente la confiance des consommateurs tout en approuvant le transit sécurisé des données.

Gérer la vulnérabilité

La troisième catégorie concerne la manière dont une entreprise gère les vulnérabilités du réseau et nécessite qu'une entreprise :

  • Un logiciel antivirus doit être utilisé et mis à jour régulièrement.
  • Crée et maintient des logiciels et des systèmes sécurisés.

Mettre en œuvre des mesures de contrôle d'accès solides

Restreindre l'accès aux données de la carte

L'accès aux données des titulaires de carte devrait être limité à ceux qui ont un besoin professionnel de savoir.

En limitant l'accès aux données des titulaires de carte à un petit nombre de personnes, vous pouvez réduire la fraude et le vol de données.

Les administrateurs disposant d'informations d'identification autorisées peuvent se voir accorder l'accès.

Il vous aide également à suivre toutes les modifications du système en surveillant et en documentant le contrôle d'accès.

L'entrée limitée vous permet de catégoriser les procédures de sécurité en fonction de qui a besoin de savoir, vous donnant une image claire de toutes les tâches administratives.

ID uniques pour l'accès aux données

Chaque personne ayant accès à l'ordinateur doit recevoir un identifiant unique.

Vous pouvez suivre l'activité de chaque personne autorisée à l'aide d'identifiants uniques.

Effectuez une autorisation à 2 facteurs pour une protection supplémentaire, modifiez régulièrement les mots de passe d'accès et conservez des journaux détaillés.

Les identifiants uniques vous aident également à contrôler les comptes d'utilisateurs et à protéger l'accès des utilisateurs à tous les niveaux, ce qui facilite la gestion des identités et des accès (IAM).

Restreindre l'accès physique aux données

L'accès physique aux données des titulaires de carte doit être limité

La sécurité des données s'étend aux centres de données et aux serveurs dans le monde physique.

Les données doivent être conservées dans un environnement sécurisé avec un accès autorisé, que ce soit sur site ou hors site.

Les centres de données internes doivent garder un œil sur les travailleurs et les visiteurs illégaux. Avant de donner accès au centre de données, vous pouvez également mettre à jour régulièrement les contrôles de sécurité.

Si vous conservez des données hors site, examinez les précautions de sécurité utilisées par le fournisseur de stockage et choisissez un service d'hébergement Magento réputé.

Surveiller et tester régulièrement les réseaux

Le cinquième ensemble de normes se concentre sur la façon dont une entreprise surveille et examine son réseau, et il exige que l'entreprise :

  • Tous les accès aux données des titulaires de carte et aux ressources du réseau sont suivis et surveillés.
  • Évalue régulièrement les systèmes et protocoles de sécurité.

Maintenir une politique de sécurité de l'information

Enfin, tous les systèmes et procédures doivent être testés régulièrement, comme l'exige la norme PCI DSS, pour s'assurer que la sécurité est maintenue.

Alors, comment obtenir la conformité PCI ? Quelques brèves sur Python (17)

Toute entreprise ou organisation qui accepte les paiements par carte en ligne ou conserve les données de carte de crédit doit être conforme à la norme PCI, via le PCI Compliance Security Standard Council.

Les entreprises doivent généralement vérifier leur conformité PCI chaque année ou chaque trimestre en employant un évaluateur professionnel ou une entreprise pour déterminer si elles effectuent correctement les transactions.

Alors, comment vous conformez-vous à la norme PCI ?

  • Déterminez le niveau PCI que vous souhaitez utiliser. La quantité de transactions par carte que votre organisation traite chaque année détermine lequel des quatre niveaux vous sera attribué. Ils influenceront votre approche de la conformité PCI DSS.
  • Choisissez un questionnaire pour votre auto-évaluation (SAQ). Induisez sept types différents en fonction de votre niveau de commerçant et de la manière dont vous traitez les informations de carte de crédit. Chaque classe indique un ensemble distinct de normes qui doivent être respectées pour être conforme à la norme PCI.
  • Créez un réseau sécurisé pour satisfaire aux normes de certification PCI DSS. De l'analyse des vulnérabilités à la maintenance et à la réparation de la sécurité, cette méthode peut tout gérer. Pour faire face à tous les gros travaux, vous aurez besoin de l'aide d'un entrepreneur en technologie de l'information.
  • Remplissez le formulaire Attestation de conformité (AOC) - Un document qui vérifie les résultats d'un audit PCI DSS.
  • La route vers la conformité PCI peut être difficile à parcourir. Cependant, si vous souhaitez sécuriser la perception que vos clients ont de vous et de vos données vitales contre les pirates, cela vaut le détour.

Nous vous proposons, en tant que propriétaire de boutique Magento, de configurer un plugin SecurePay conforme à la norme PCI DSS. Pour les détaillants, ce sera un moyen plus rentable d'envoyer les informations de transaction à SecurePay pour traitement.

En outre, vous pouvez vous demander combien coûte la conformité PCI ?

Les coûts de conformité PCI varient en fonction de la taille de votre entreprise, des procédures de traitement des cartes et d'autres considérations.

La conformité PCI DSS peut coûter aussi peu que 300 $ par an pour les petites entreprises, selon les facteurs suivants :

  • 50 $ - 200 $ pour un questionnaire d'auto-évaluation (SAQ).
  • L'analyse des vulnérabilités coûte entre 100 $ et 200 $ par adresse IP.
  • Environ 70 $ par employé pour la formation et la formulation de politiques.
  • De 100 $ à 10 000 $ pour les mesures correctives (selon la quantité de travail nécessaire pour respecter la conformité et la sécurité).

Le coût global d'un examen PCI DSS pour les grandes entreprises devrait être d'environ 70 000 $, y compris

  • Audit sur place : environ 40 000 $
  • L'analyse des vulnérabilités coûte environ 1 000 $.
  • Environ 15 000 $ pour les tests d'intrusion
  • 5 000 $ pour la formulation de politiques et la formation.
  • Remédiation (mises à jour des logiciels et du matériel, etc.) : 10 000 $ – 500 000 $

Le prix à payer pour être conforme à la norme PCI au niveau de l'entreprise n'est pas bon marché. Néanmoins, les frais de conformité PCI ne valent pas la peine de mettre en péril les informations de vos clients ou l'image à long terme de votre entreprise.

Enfin, nous vous donnerons quelques bonnes pratiques pour la conformité Magento PCI

comment obtenez-vous la conformité PCI?

Entrainement d'employé

La conformité Magento PCI est une exigence technologique qui nécessite des connaissances et une formation approfondies avant la mise en œuvre.

Assurez-vous que votre plateforme Magento est sécurisée par une équipe d'experts.

Consacrez-vous à la formation des employés ou employez des experts de l'industrie pour vous aider avec la conformité et la sécurité de Magento.

Questionnaires d'auto-évaluation (SAQ)

Avec les petits détaillants, le PCI DSS a publié neuf questionnaires d'auto-évaluation.

Le SAQ est un examen d'évaluation de sécurité de base oui/non qui vous permet d'évaluer votre sécurité et d'effectuer des actions de réparation efficaces.

Vous pouvez compléter l'évaluation et ajouter une attestation de conformité une fois que vous avez déterminé quel questionnaire convient à votre entreprise.

Le PCI SAQ sert de vérification de la conformité et de la sécurité. Lorsque vous collaborez avec des entreprises tierces, c'est avantageux.

Documenter les politiques et les rapports de conformité

Tenez un registre des réglementations de sécurité en documentant régulièrement les changements et les processus opérationnels de votre entreprise.

Le rapport PCI sur la conformité et l'attestation de conformité (RoC/AoC) est une évaluation de la conformité de la sécurité.

Elle est effectuée par un évaluateur de sécurité qualifié (QSA) ou un évaluateur interne qualifié pour déterminer si votre boutique Magento est sécurisée pour traiter les données des titulaires de carte.

Effectuer un entretien régulier

La conformité Magento PCI est un processus de gestion continu et non une évaluation ponctuelle.

Des analyses de vulnérabilité doivent être effectuées régulièrement, la sécurité doit être mise à jour et les procédures de conformité doivent être soigneusement documentées.

Les configurations du système Magento changent tout le temps, et si vous ne les suivez pas, vous perdrez les contrôles de conformité et mettrez en péril la sécurité des données.

Conclusion

Dans l'environnement Internet, faire face au problème de sécurité n'est pas facile pour les entreprises et les clients. Par conséquent, la conformité Magento PCI peut être une aide pour les entreprises afin de réduire les risques provenant de l'environnement en ligne. Cela aide non seulement les acheteurs à se sentir plus en sécurité lors de leurs achats dans votre magasin, mais vous pouvez également renforcer la confiance des clients, ce qui peut renforcer l'image de la marque et attirer plus de clients. Ensuite, si vous êtes propriétaire d'une boutique Magento, n'hésitez pas à mettre en place la conformité Magento PCI. Si vous ne savez pas quoi faire, vous pouvez visiter notre service : développement Magento pour trouver la solution ou nous contacter directement pour plus de commodité.