Login
ESSAI GRATUIT

La norme PCI DSS v4.0.1 exige que les boutiques en ligne effectuent une analyse PCI de leur site web.

UPDATE:

PCISecurityStandards a suspendu les exigences des points 6.4.3 et 11.6.1, entre autres, pour les boutiques en ligne SAQ-A.
Voir aussi https://blog.pcisecuritystandards.org/important-updates-announced-for-merchants-validating-to-self-assessment-questionnaire-a

pci 4.0.1En tant que PSP ou boutique en ligne, vous devez pouvoir prouver, conformément à la dernière norme PCI DSS v4.0.1, que les scripts contenus dans votre panier d’achat et chargés dans les navigateurs des clients ont été délibérément insérés par vous et n’ont pas été modifiés sans autorisation par des « tiers ». À partir du 31 mars 2025, ces exigences de sécurité seront obligatoires. Une analyse périodique du site web, accompagnée d’un rapport PCI, vous aidera à respecter cette obligation. Il est temps d’agir !

Contexte de la norme PCI DSS

Les boutiques en ligne traitent quotidiennement des données sensibles relatives aux clients, telles que les informations de paiement, ce qui en fait une cible privilégiée pour les cybercriminels. Pour garantir que les boutiques en ligne traitent les données de paiement, telles que les numéros de carte, en toute sécurité, la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) a été créée en 2004 par les organisations de cartes de crédit (Visa, Mastercard, JCB, American Express et Discover Financial Services).

PCI utilise 4 niveaux pour déterminer si vous devez également obtenir une certification PCI. Votre PSP ou acquéreur (banque qui traite les transactions par carte de crédit) peut vous inviter à remplir un questionnaire d’auto-évaluation (PCI-SAQ). En outre, il peut vous être demandé d’utiliser une analyse de vulnérabilité du site web PCI pour vérifier la sécurité de votre site web.

Le programme PCI est continuellement mis à jour pour refléter les nouvelles exigences, en fonction des nouveaux développements sur l’internet et des techniques utilisées par les pirates informatiques. Par exemple, envisagez de ne plus utiliser TLS 1.0. Vous pouvez le démontrer par une analyse PCI trimestrielle, si votre PSP vous le demande.

Qu’est-ce qui va changer avec PCI DSS v4.0.1 ?

Ce qui est nouveau, c’est l’accent mis par PCI sur l’utilisation de scripts sur la page de paiement. Étant donné que la page de paiement se trouve déjà dans le panier d’achat, un pirate peut utiliser un script personnalisé pour tenter de rediriger vos clients vers un autre site web qui ressemble beaucoup à la page de paiement d’un PSP. Les numéros de cartes saisis par des clients peu méfiants tombent alors entre les mains de pirates et de fraudeurs.

PCI 6.4.3 (la ‘condition’)
Pour tous les scripts de votre page de paiement qui sont chargés et exécutés dans le navigateur du consommateur, vous devez être en mesure de prouver :

  • que le script a été placé avec votre accord
  • et que le script n’a pas été modifié (ou supprimé) sans votre accord.

Pour ce faire, vous devez être en mesure de documenter les scripts que vous avez placés, y compris les rapports (des analyses) qui vous permettent de prouver cette vérification et l’intégrité des scripts.

PCI 11.61.1 (la solution)

  • Vous avez mis en place un contrôle qui alerte votre entreprise en cas de modifications (non autorisées), y compris les différences et l’impact sur les en-têtes http tels qu’ils sont traités par le navigateur du consommateur.
  • La solution de contrôle utilisée doit être en mesure d’évaluer l’en-tête http et la page de paiement.
  • Le contrôle doit avoir lieu au moins une fois tous les sept jours ou périodiquement, conformément à l’analyse des risques spécifiée au point 12.3.1.

En bref : pour vous conformer à cette disposition, vous DEVEZ utiliser une analyse PCI

Vous devez être en mesure de démontrer que les scripts de votre panier d’achat, qui sont également chargés dans les navigateurs de vos clients, ont été délibérément insérés par vous et n’ont pas été modifiés sans autorisation par des « tiers », y compris des changements au niveau http. Cela signifie que votre site web doit être scanné périodiquement et que vous devez prouver, par le biais d’un rapport PCI, que lors d’un nouveau scan PCI, les scipts n’ont pas été modifiés (par vous-même, mais pas par quelqu’un d’autre).

PCI DSS v4.0.1 obligatoire pour le 31 mars 2025 !

Vous voulez savoir si votre boutique en ligne répond aux dernières exigences en matière de sécurité ?

Demandez un scan à Trust Guard dès aujourd’hui et protégez votre entreprise et vos clients.

En savoir plus

Pourquoi effectuer des analyses de sécurité régulières ?

blog-les analyses de sécurité régulières
Aujourd'hui, la sécurité des sites web est cruciale pour toute entreprise opérant en ligne. L'un des moyens les plus efficaces d'assurer la sécurité de votre site web est d'effectuer des analyses de sécurité périodiques. Ces analyses offrent de nombreux avantages, qu'il s'agisse de la sécurité proactive du site web ou du renforcement de la confiance des clients. Nous examinons ici les principales raisons pour lesquelles des analyses de sécurité régulières sont essentielles pour votre entreprise.
EN SAVOIR PLUS

La responsabilité de la cybersécurité incombe réellement à l’entrepreneur

ua-blog-responsibility
En tant qu'entrepreneur ou directeur d'une organisation, la responsabilité de la sécurité du site Web vous incombe. À l’heure où les menaces numériques deviennent de plus en plus sophistiquées, assurer la sécurité en ligne est essentiel. Et c’est une responsabilité que vous ne pouvez tout simplement pas ignorer.
EN SAVOIR PLUS

Afficher les résultats de l’analyse au niveau basique ou expert

ua-basic-expert-view
Pour renforcer la confiance lorsque votre client souhaite passer une commande, Trust Guard met désormais à disposition une bannière de paiement. Grâce à cette bannière, les clients peuvent immédiatement voir qu'ils peuvent effectuer un achat en ligne en toute sécurité.
EN SAVOIR PLUS

Prêt à commencer ?

Scannez votre site web dès maintenant, gratuitement et sans obligation, et protégez les données confidentielles de vos clients.

ESSAI GRATUIT

Trust Guard

Veenweg 158 – B
3641 SM  MIJDRECHT
Pays-Bas
+31 (0)297 – 381 303
info@trustguard.eu

b2u logo

Business to You

Exclusive partner Trust Guard EMEA

Navigation

Solution
Secteurs
Relations
A propos de nous
Nouvelles
État du système

Restez à l'écoute

Linkedin X-twitter Facebook
S'abonner à la newsletter
Conditions générales
Politique de confidentialité
Politique de cookies
Droits d'auteur
Trust Guard Security Scanned