Qu’est-ce que la norme PCI DSS ?
PCI DSS signifie “Payment Card Industry Data Security Standard”. Il s’agit est un standard de sécurité international créé par les grands réseaux de cartes bancaires, dont Visa, Mastercard, American Express, Discover et JCB, pour protéger les données des porteurs de cartes bancaires et réduire la fraude.
La norme PCI-DSS définit un ensemble de règles de sécurité et d’exigences techniques et organisationnelles applicables à toute organisation qui stocke, traite ou transmet des données de cartes bancaires.
Son objectif est de protéger les donateur·rices contre la fraude et les fuites de données, et d’assurer un haut niveau de confiance dans les paiements en ligne.
Elle concerne donc toute structure qui accepte des paiements par carte, y compris les associations lorsqu’elles collectent des dons en ligne ou mènent des campagnes de collecte. Pour les organisations à but non lucratif, cette norme est particulièrement importante : à chaque fois que vous gérez un don en ligne ou lancez une campagne, vous manipulez des données sensibles. Ne pas respecter la norme peut exposer votre organisation à des risques financiers (amendes, frais supplémentaires) ainsi qu’à une perte de confiance de la part de vos donateurs.
Historique
2004
C’est l’année des prémices de la norme par Visa, MasterCard, Amex, JCB et Discover.
2006 (v1.0)
En 2006 est créé le PCI Security Standards Council (PCI SSC). Les premières règles sont édictées et standardisées, composées de 12 exigences relatives à la sécurité.
2010 (v2.0)
La norme évolue en prenant en compte la gestion des nouveaux risques et menaces ainsi que le développement de nouvelles technologies.
2013 (v3.0)
Cette nouvelle version introduit la sécurité comme un processus continu. Elle renforce le contrôle et la gestion des accès, des vulnérabilités et des prestataires.
2022 (v4.0)
L’évolution de la version 3 vers la version 4 met encore plus en lumière la nécessité d’avoir des processus de sécurité et met l’accent sur la gestion des risques liés au Cloud. Cette évolution, jugée majeure, généralise aussi l'authentification multi-facteurs et le chiffrement TLS 1.2+.
2024
En 2024, certains aspects complexes de la norme sont clarifiés. La version 4 devient la référence, avec certaines nouvelles exigences applicables progressivement jusqu’en 2025.
Les 6 principes PCI DSS pour sécuriser vos dons en ligne
La norme PCI-DSS est divisée en 6 grands principes, qui eux-mêmes répondent à 12 exigences. Ils ont vocation à structurer la norme et à définir des règles pratiques et détaillées pour être en conformité.
| Principe (objectif) | Exigences associées |
|
1. Construire et maintenir un réseau et des systèmes sécurisés Assurer que votre site internet, vos outils de collecte et votre plateforme de don en ligne sont protégés (pare-feu, certificats SSL). Gestion de la sécurité des mots de passe. |
1. Installer et maintenir une configuration de pare-feu pour protéger les données. 2. Ne pas utiliser les mots de passe système ou paramètres de sécurité par défaut des fournisseurs. |
|
2. Protéger les données des titulaires de cartes Ne jamais stocker les informations de carte. Confier le traitement à un prestataire certifié et utiliser des connexions sécurisées (HTTPS). |
3. Protéger les données stockées des titulaires de cartes. et ne pas stocker soi-même les numéros de carte. 4. Chiffrer la transmission des données de cartes sur les réseaux publics ouverts. Tous vos formulaires de dons et vos pages de collecte en ligne doivent passer par le protocole https. |
|
3. Maintenir un programme de gestion des vulnérabilités Identifiez et gérez les failles de sécurité. Mettez régulièrement à jour vos logiciels, CMS et plugins. Installer un antivirus pour réduire les risques d’intrusion ou de piratage. |
5. Utiliser et mettre à jour régulièrement un logiciel antivirus. 6. Développer et maintenir des systèmes et applications sécurisés. |
|
4. Mettre en œuvre de solides mesures de contrôle d’accès Contrôler qui a accès aux données et limiter l’accès aux outils de collecte de dons et aux données sensibles aux personnes qui en ont besoin. Créer des comptes personnels sécurisés. |
7. Restreindre l’accès aux données aux seules personnes qui en ont besoin pour leur mission. 8. Attribuer un identifiant unique à chaque utilisateur ayant accès aux systèmes . 9. Restreindre l’accès physique aux données des titulaires de cartes. |
|
5. Surveiller et tester régulièrement les réseaux Vérifier régulièrement les connexions et activités suspectes. Testez de temps en temps tout votre parcours de don pour vous assurer que tout fonctionne et qu’il est sécurisé. |
10. Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes. Vous pouvez par exemple monitorer les connexions au back-office et détecter les comportements suspects. 11. Tester régulièrement les systèmes et processus de sécurité. |
|
6. Maintenir une politique de sécurité de l’information Mettre en place des règles simples (mots de passe, vigilance email) et sensibiliser vos collaborateurs, bénévoles et salariés aux bonnes pratiques. Par exemple, il est interdit de collecter des données de carte manuellement auprès d’un porteur. |
12. Maintenir une politique de sécurité qui s’applique à tout le personnel. |
Points clés pour sécuriser votre collecte de fonds en ligne
-
Toute organisation qui accepte des paiements par carte (site e-commerce, association qui récolte des fonds en ligne, prestataire de billetterie…) doit s’assurer de la conformité PCI DSS.
-
Le niveau de certification dépend du volume de transactions annuelles : plus il est élevé, plus les contrôles sont stricts.
-
iRaiser propose à ses clients une solution de paiement intégrée : l’iRaiser Payment System, pour gérer tous les aspects du traitement des paiements. Elle fluidifie le processus de don, optimise les taux de conversion et réduit les paiements échoués, tout en offrant des informations détaillées sur la gestion financière. Afin de répondre aux exigences de sécurité, nous collaborons avec un large éventail de prestataires de paiement certifiés pour assurer un traitement des dons sécurisé, fiable et efficace.
La conformité PCI DSS n’est qu’une partie de l’équation lorsqu’il s’agit de protéger vos donateur·rices et de sécuriser votre stratégie de collecte de fonds en ligne.
Au-delà des données de paiement, les associations sont aussi exposées à d’autres risques : cyberattaques, phishing, violations de données… Pour aller plus loin, découvrez notre article : Cybersécurité : bien protéger votre collecte de fonds en ligne et votre organisation.