Aperçu des Standards de Sécurité PCI
Nos Standards de Sécurité PCI
Les Standards de Sécurité PCI sont élaborés et maintenus par le PCI Security Standards Council afin de protéger les données de paiement tout au long du cycle de vie du paiement. Les différents Standards PCI prennent en charge différents acteurs et fonctions au sein du secteur des paiements.
Certains Standards PCI sont destinés à être utilisés par des organisations impliquées dans les paiements, telles que les commerçants, les prestataires de services et les institutions financières, dans leur propre environnement. Ces standards prennent en charge l’implémentation de pratiques, de technologies et de processus sécurisés au sein de l’organisation.
D’autres Standards de Sécurité PCI sont destinés aux développeurs, aux fournisseurs de technologies et aux fournisseurs de solutions qui souhaitent démontrer que leur produit ou service a été conçu dans un souci de sécurité et répond à un ensemble défini d’exigences de sécurité. Ces standards soutiennent la validation et la liste des produits et services qui répondent aux exigences du standard et du programme de validation.
Tous les Standards de Sécurité PCI sont développés en collaboration avec un réseau mondial de parties prenantes du secteur des paiements.
Les Standards de Sécurité PCI
Standard de Sécurité des Données PCI (PCI DSS)
Le PCI DSS définit les exigences de sécurité visant à protéger les environnements dans lesquels les données des comptes de paiement sont stockées, traitées ou transmises. Le PCI DSS fournit une base de référence des exigences techniques et opérationnelles conçues pour protéger les données des comptes de paiement.
Chiffrement Point à Point (P2PE)
Le Standard PCI P2PE définit les exigences de sécurité pour les Solutions P2PE, les Composants P2PE et les Applications P2PE afin de protéger les données des comptes de paiement par cryptage, depuis leur saisie dans le dispositif de paiement du commerçant jusqu’à leur décryptage dans l’environnement du fournisseur de solutions ou du fournisseur de composants.
Logiciel Sécurisé
Le Standard PCI Secure Software définit les exigences de sécurité auxquelles doivent se conformer les éditeurs et développeurs de logiciels afin de garantir que les logiciels de paiement sont conçus et gérés de manière sécurisée, et que l’intégrité des transactions de paiement ainsi que la confidentialité des données de paiement stockées, traitées ou transmises dans le cadre de ces transactions sont protégées.
Cycle de Vie Sécurisé Des Logiciels (Secure SLC)
Le Standard du Cycle de Vie Sécurisé des Logiciels (SLC) définit des exigences de sécurité pour les fournisseurs et développeurs de logiciels afin de garantir que la sécurité est intégrée tout au long du cycle de vie du logiciel et que celui-ci est sécurisé dès sa conception et capable de résister aux attaques.
Point d'Interaction (POI) PTS
Le Standard de Sécurité des Transactions par Code PIN (PTS) au Point d’Interaction (POI) définit les exigences de sécurité relatives aux caractéristiques et à la gestion des dispositifs utilisés pour protéger les codes PIN (numéros d’identification personnels) des titulaires de cartes, les données de compte et autres données sensibles des cartes de paiement au point d’interaction.
Fournisseur de Services de Jetons (TSP)
Le Standard TSP (Token Service Provider) définit les exigences de sécurité applicables aux Fournisseurs de Services de Jetons (TSP) qui génèrent et émettent des jetons de paiement EMV, conformément au Cadre Technique de la Spécification de Tokenisation des Paiements EMV®.
Sécurité du Code PIN
Le Standard de Sécurité par code PIN définit les exigences de sécurité pour la gestion, le traitement et la transmission sécurisés des données relatives aux numéros d’identification personnels (PIN) lors du traitement des transactions par carte de paiement en ligne et hors ligne aux distributeurs automatiques de billets et aux terminaux de point de vente (TPV) avec ou sans assistance.
Production et Approvisionnement de Cartes - Logique
Ce Standard définit les exigences logiques de sécurité pour le développement, la fabrication, le transport et la personnalisation des cartes de paiement et de leurs composants.
Les Exigences de Sécurité Logique pour la Production et la Fourniture de Cartes sont complémentaires aux Exigences de Sécurité Physique pour la Production et la Fourniture de Cartes.
Production et Approvisionnement de Cartes - Physique
Ce standard définit les exigences de sécurité physique pour les fonctions de production et de fourniture de cartes.
Les Exigences de Sécurité Physique pour la Production et la Fourniture de Cartes sont complémentaires aux Exigences de Sécurité Logique pour la Production et la Fourniture de Cartes.
PCI 3DS SDK
Ce standard définit les exigences de sécurité, les procédures d’évaluation et la directive applicables aux Kits de Développement Logiciel (SDK) 3DS, tels que définis dans la spécification EMV® 3-D Secure SDK, afin de prévenir les transactions non autorisées sans présentation de la carte (CNP) et de protéger les commerçants contre les risques de fraude liés aux transactions CNP.
Paiements Mobiles sur COTS (MPoC)
Les Paiements Mobiles PCI sur COTS (MPoC) s’appuient sur les standards existants de la Saisie du code PIN sur COTS (SPoC) et des Paiements Sans Contact PCI sur COTS (CPoC), qui traitent individuellement les exigences de sécurité pour les solutions permettant aux commerçants d’accepter les PIN des titulaires de cartes ou les paiements sans contact, à l’aide d’un smartphone ou d’un autre appareil mobile commercial disponible dans le commerce (COTS).
Paiements Sans Contact sur COTS (CPoC)
Ce standard définit les exigences de sécurité applicables aux solutions permettant à un appareil commercial standard (COTS) d’un commerçant (par exemple, un téléphone ou une tablette) d’accepter les paiements sans contact sans avoir recours à un lecteur sans contact externe, en exploitant les capacités NFC natives inhérentes à un appareil COTS.
Saisie du Code PIN Basée sur Logiciel sur COTS (SPoC)
Ce standard définit les exigences de sécurité pour les solutions sécurisées d’acceptation des paiements mobiles qui permettent d’effectuer des transactions avec saisie d’un code PIN sur un appareil commercial standard (COTS) (par exemple, un smartphone ou une tablette).
Module de Sécurité Matériel (HSM) PTS
Le Standard de Sécurité des Transactions par Code PIN (PTS) et des Modules de Sécurité Matériels (HSM) définit les exigences de sécurité relatives aux caractéristiques et à la gestion des modules de sécurité matériels tout au long de leur cycle de vie, afin de garantir la confidentialité et l’intégrité des données lors d’activités telles que les transactions financières et la personnalisation des cartes de paiement.
Intended Audience
Standard de Sécurité des Données de Paiement (PA-DSS) – Retiré
Le Standard de Sécurité des Données de l’Application de Paiement (PA-DSS) sera retiré à compter du 28 octobre 2022 et remplacé par le Standard de Sécurité des Logiciels et le Standard de Cycle de Vie des Logiciels Sécurisés.