PCI DSS v4.0 représente la révision la plus profonde du standard depuis sa création. Avec 64 nouvelles exigences et une refonte du cadre d'évaluation, cette mise à jour impacte tous les marchands et prestataires de services de paiement — en particulier en Europe, où le contexte réglementaire ajoute une couche de complexité supplémentaire.
De v3.2.1 à v4.0 : une révision structurelle du standard
PCI DSS v4.0 a été publié en mars 2022 par le PCI Security Standards Council. La version v3.2.1 est restée valide jusqu'au 31 mars 2024, date à laquelle elle a été officiellement retirée. Depuis le 1er avril 2024, seule la v4.0 est valide pour les évaluations et les attestations de conformité. Les 64 nouvelles exigences introduites en v4.0 avec un statut "best practice" sont devenues obligatoires le 31 mars 2025.
Cette transition représente un changement de paradigme : la v4.0 abandonne en partie l'approche prescriptive de la v3.2.1 pour introduire une approche "customized" permettant aux organisations d'implémenter des contrôles alternatifs pour atteindre les objectifs de sécurité définis. Pour les marchands européens, cela offre plus de flexibilité mais aussi une responsabilité accrue dans la démonstration de la conformité.
Les 5 changements majeurs qui impactent les marchands européens
Premier changement majeur : les exigences renforcées sur la gestion de l'inventaire des systèmes et des actifs. La v4.0 exige une documentation précise et maintenue à jour de tous les composants du système dans le périmètre, incluant les interfaces hardware et logicielles. Pour les marchands européens qui ont souvent des systèmes legacy, cet inventaire représente un effort significatif.
Deuxième changement : la gestion renforcée des scripts sur les pages de paiement (exigences 6.4.3 et 11.6.1). Tout script JavaScript s'exécutant sur une page de paiement doit être autorisé, son intégrité vérifiée, et un mécanisme de détection des modifications non autorisées doit être en place. Cette exigence cible directement les attaques de type Magecart qui ont touché de nombreux e-commerçants européens ces dernières années.
Troisième changement : les exigences d'authentification multi-facteur sont étendues à tous les accès au Cardholder Data Environment (CDE), et non plus seulement aux accès à distance. Pour un marchand européen qui a des accès internes à des systèmes contenant des données de carte, cela implique potentiellement de revoir toute l'infrastructure d'authentification.
Nouvelles exigences sur la protection des pages de paiement en ligne
L'exigence 6.4.3 est l'une des plus structurantes pour les e-commerçants. Elle impose que tous les scripts de paiement sur les pages web soient gérés via une politique documentée couvrant : la liste autorisée de tous les scripts présents, la justification business de chaque script, et une méthode de vérification d'intégrité. En pratique, cela signifie mettre en place une Content Security Policy (CSP) stricte et un processus de révision régulière des scripts tiers.
L'exigence 11.6.1 va plus loin en imposant un mécanisme de détection des modifications non autorisées des en-têtes HTTP et du contenu des pages de paiement. Les outils de surveillance de l'intégrité des pages web deviennent ainsi obligatoires pour tous les marchands qui hébergent leurs propres pages de paiement — même partiel. La solution la plus simple pour se conformer reste d'externaliser complètement la page de saisie vers un prestataire certifié.
Impact sur le périmètre PCI et la réduction du CDE
La v4.0 confirme et renforce l'approche de réduction du périmètre comme stratégie de conformité. Les exigences sur la segmentation réseau sont plus précises, avec une obligation de tests de pénétration ciblant explicitement les contrôles de segmentation. Pour les marchands européens qui utilisent la segmentation pour isoler leur CDE, ces tests deviennent une exigence annuelle obligatoire.
La tokenisation reste la meilleure approche pour réduire le périmètre. La v4.0 reconnaît explicitement la valeur des tokens de paiement comme méthode de réduction du CDE. Un marchand qui utilise une solution de tokenisation certifiée et ne stocke jamais de données de carte brutes bénéficie toujours des périmètres les plus restreints et des questionnaires d'auto-évaluation les plus simples.
Calendrier de mise en conformité et priorités pour 2025
Le 31 mars 2025 marquait la date limite pour la conformité totale à PCI DSS v4.0, incluant les 64 exigences "future-dated". Les organisations qui ne sont pas encore entièrement conformes doivent prioriser les exigences à plus fort impact : la gestion des scripts de paiement (6.4.3), l'authentification multi-facteur étendue, et les exigences de surveillance continue des systèmes du périmètre.
Pour les marchands européens qui travaillent avec des acquéreurs exigeant une attestation de conformité annuelle, la fenêtre de tolérance est terminée. Les QSA (Qualified Security Assessors) européens ont adapté leurs procédures d'évaluation pour couvrir toutes les nouvelles exigences v4.0. Il est recommandé d'entamer le processus d'évaluation avec un QSA dès maintenant pour éviter les délais liés à l'afflux de demandes en fin d'année.
Comment PCI Proxy EU facilite la conformité v4.0
Les solutions de tokenisation comme PCI Proxy EU sont particulièrement adaptées pour répondre aux nouvelles exigences v4.0. En externalisant la capture et la transmission des données de carte vers un prestataire certifié PCI DSS Level 1, le marchand élimine la majorité des nouvelles obligations : pas de scripts de paiement à gérer sur ses propres pages, pas de données de carte dans son CDE à protéger avec les nouveaux contrôles d'authentification, et un périmètre réduit qui simplifie les tests de pénétration.
La conformité v4.0 est exigeante mais gérable pour tout marchand qui a adopté une architecture de paiement moderne basée sur la tokenisation et les pages de paiement hébergées. Les marchands qui traitent directement les données de carte doivent en revanche s'attendre à un effort de mise en conformité significatif.
Vous souhaitez simplifier votre conformité PCI DSS v4.0 ? Découvrir PCI Proxy EU.