{"id":34059,"date":"2025-02-20T13:37:56","date_gmt":"2025-02-20T13:37:56","guid":{"rendered":"https:\/\/www.trustguard.eu\/non-classifiee\/la-norme-pci-dss-v4-0-1-exige-que-les-boutiques-en-ligne-effectuent-une-analyse-pci-de-leur-site-web\/"},"modified":"2025-02-27T13:49:33","modified_gmt":"2025-02-27T13:49:33","slug":"pci-dss-v4-0-1","status":"publish","type":"post","link":"https:\/\/www.trustguard.eu\/fr\/blog-fr\/pci-dss-v4-0-1\/","title":{"rendered":"La norme PCI DSS v4.0.1 exige que les boutiques en ligne effectuent une analyse PCI de leur site web."},"content":{"rendered":"

UPDATE:<\/h2>\n

PCISecurityStandards<\/a> a suspendu les exigences des points 6.4.3 et 11.6.1, entre autres, pour les boutiques en ligne SAQ-A.
\nVoir aussi https:\/\/blog.pcisecuritystandards.org\/important-updates-announced-for-merchants-validating-to-self-assessment-questionnaire-a<\/a><\/p>\n

\"pciEn tant que PSP ou boutique en ligne, vous devez pouvoir prouver, conform\u00e9ment \u00e0 la derni\u00e8re norme PCI DSS v4.0.1, que les scripts contenus dans votre panier d’achat et charg\u00e9s dans les navigateurs des clients ont \u00e9t\u00e9 d\u00e9lib\u00e9r\u00e9ment ins\u00e9r\u00e9s par vous et n’ont pas \u00e9t\u00e9 modifi\u00e9s sans autorisation par des \u00ab tiers \u00bb. \u00c0 partir du 31 mars 2025, ces exigences de s\u00e9curit\u00e9 seront obligatoires. Une analyse p\u00e9riodique du site web, accompagn\u00e9e d’un rapport PCI, vous aidera \u00e0 respecter cette obligation. Il est temps d’agir !<\/strong><\/p>\n

Contexte de la norme PCI DSS<\/h2>\n

Les boutiques en ligne traitent quotidiennement des donn\u00e9es sensibles relatives aux clients, telles que les informations de paiement, ce qui en fait une cible privil\u00e9gi\u00e9e pour les cybercriminels. Pour garantir que les boutiques en ligne traitent les donn\u00e9es de paiement, telles que les num\u00e9ros de carte, en toute s\u00e9curit\u00e9, la norme de s\u00e9curit\u00e9 des donn\u00e9es de l’industrie des cartes de paiement (PCI DSS) a \u00e9t\u00e9 cr\u00e9\u00e9e en 2004 par les organisations de cartes de cr\u00e9dit (Visa, Mastercard, JCB, American Express et Discover Financial Services).<\/p>\n

PCI utilise 4 niveaux pour d\u00e9terminer si vous devez \u00e9galement obtenir une certification PCI. Votre PSP ou acqu\u00e9reur (banque qui traite les transactions par carte de cr\u00e9dit) peut vous inviter \u00e0 remplir un questionnaire d’auto-\u00e9valuation (PCI-SAQ). En outre, il peut vous \u00eatre demand\u00e9 d’utiliser une analyse de vuln\u00e9rabilit\u00e9 du site web PCI pour v\u00e9rifier la s\u00e9curit\u00e9 de votre site web.<\/p>\n

Le programme PCI est continuellement mis \u00e0 jour pour refl\u00e9ter les nouvelles exigences, en fonction des nouveaux d\u00e9veloppements sur l’internet et des techniques utilis\u00e9es par les pirates informatiques. Par exemple, envisagez de ne plus utiliser TLS 1.0. Vous pouvez le d\u00e9montrer par une analyse PCI trimestrielle, si votre PSP vous le demande.<\/p>\n

Qu’est-ce qui va changer avec PCI DSS v4.0.1 ?<\/h2>\n

Ce qui est nouveau, c’est l’accent mis par PCI sur l’utilisation de scripts sur la page de paiement. \u00c9tant donn\u00e9 que la page de paiement se trouve d\u00e9j\u00e0 dans le panier d’achat, un pirate peut utiliser un script personnalis\u00e9 pour tenter de rediriger vos clients vers un autre site web qui ressemble beaucoup \u00e0 la page de paiement d’un PSP. Les num\u00e9ros de cartes saisis par des clients peu m\u00e9fiants tombent alors entre les mains de pirates et de fraudeurs.<\/p>\n

PCI 6.4.3 (la ‘condition’)<\/strong>
\nPour tous les scripts de votre page de paiement qui sont charg\u00e9s et ex\u00e9cut\u00e9s dans le navigateur du consommateur, vous devez \u00eatre en mesure de prouver :<\/p>\n