La conformité PCI DSS peut sembler écrasante avec ses 12 exigences principales et des centaines de sous-exigences. Mais pour la plupart des marchands et PME européens, une approche stratégique — combinant réduction de périmètre et tokenisation — permet de couvrir 90 % des obligations avec un effort minimal. Voici la check-list pratique de conformité PCI DSS pour 2025.
Étape 1 : Identifier votre niveau de marchand et vos obligations
Avant toute démarche de conformité, déterminez votre niveau de marchand PCI DSS. Le niveau est déterminé par le volume de transactions annuelles traité avec chaque réseau de paiement (Visa, Mastercard, American Express). Niveau 1 : plus de 6 millions de transactions/an — audit QSA annuel obligatoire. Niveaux 2-4 : moins de 6 millions — SAQ autorisée.
Consultez également les exigences spécifiques de votre acquéreur. Certains acquéreurs imposent des contraintes supplémentaires — scan trimestriel ASV, tests de pénétration — même pour les marchands de niveau 4. Connaître ces exigences dès le départ permet d'éviter les mauvaises surprises lors du renouvellement annuel de votre conformité.
Étape 2 : Cartographier et réduire votre périmètre CDE
Identifiez tous les systèmes, personnes et processus qui stockent, traitent ou transmettent des données de carte. Dressez un inventaire complet : serveurs web, serveurs d'application, bases de données, systèmes de point de vente, réseaux et employés ayant accès aux données de carte. Cet inventaire est la base de votre périmètre CDE.
Une fois le périmètre cartographié, cherchez à le réduire au maximum. La tokenisation est l'outil principal : en déployant PCI Proxy EU pour gérer la saisie et le stockage des données de carte, vous sortez immédiatement la plupart de vos systèmes du périmètre CDE. L'objectif est d'atteindre un périmètre minimal pour simplifier les étapes suivantes.
Étape 3 : Sécuriser le réseau et les systèmes dans le périmètre
Pour les systèmes restants dans le périmètre CDE, vous devez satisfaire les exigences de sécurité réseau de PCI DSS. Exigence 1 : déployez et maintenez des pare-feux pour segmenter le CDE du reste du réseau et d'Internet. Documentez toutes les règles de pare-feu et revoyez-les au moins tous les six mois. Exigence 2 : changez tous les mots de passe par défaut des équipements réseau et systèmes, et supprimez les services et protocoles inutiles.
Pour une PME avec un périmètre minimal (post-tokenisation), ces exigences se résument souvent à configurer correctement le pare-feu de votre hébergeur cloud et à sécuriser vos identifiants d'API. La complexité est proportionnelle à la taille du périmètre — raison supplémentaire de le réduire au maximum avant de démarrer la démarche de conformité.
Étape 4 : Protéger les données stockées et en transit
Exigence 3 : si vous stockez des PAN (ce que vous devriez éviter grâce à la tokenisation), ils doivent être protégés par chiffrement fort (AES-256), hachage unidirectionnel ou troncature. Ne jamais stocker CVV, données de piste ou PIN après autorisation. Avec la tokenisation PCI Proxy EU, vous ne stockez que des tokens — cette exigence ne s'applique pratiquement plus à vos systèmes.
Exigence 4 : toutes les données de carte transmises sur des réseaux publics doivent être chiffrées avec TLS 1.2 minimum (TLS 1.3 recommandé). Assurez-vous que vos API et formulaires de paiement utilisent HTTPS avec des certificats valides, et que les versions TLS obsolètes sont désactivées sur vos serveurs.
Étape 5 : Gestion des vulnérabilités et contrôle des accès
Exigences 5 et 6 : déployez des solutions anti-malware sur tous les systèmes dans le périmètre et maintenez vos logiciels à jour avec les patches de sécurité dans les 30 jours suivant leur publication. Pour les applications web exposées aux paiements, réalisez des tests de sécurité applicatifs (DAST/SAST) et, si nécessaire, déployez un WAF (Web Application Firewall).
Exigences 7, 8 et 9 couvrent le contrôle des accès : n'accordez l'accès aux données de carte qu'aux personnes qui en ont besoin pour leur travail (principe du moindre privilège). Créez des identifiants individuels pour chaque utilisateur avec accès au CDE — jamais de comptes partagés. Authentification multifacteur obligatoire pour l'accès à distance au CDE. Pour l'accès physique, contrôlez et journalisez l'entrée dans les zones hébergeant des systèmes CDE.
Avec un périmètre réduit par la tokenisation, ces exigences s'appliquent souvent uniquement à vos clés API PCI Proxy EU et aux systèmes qui y ont accès — un périmètre gérable pour la plupart des PME sans équipe dédiée à la sécurité.
Étape 6 : Surveillance, tests et politique de sécurité
Exigences 10 et 11 : journalisez tous les accès aux systèmes CDE et conservez ces logs pendant au moins 12 mois (3 mois immédiatement disponibles). Mettez en place une surveillance des logs et des alertes pour les comportements anormaux. Réalisez des tests de pénétration annuels sur votre périmètre CDE et des scans de vulnérabilités trimestriels avec un scanner ASV approuvé par le PCI SSC.
Exigence 12 : documentez votre politique de sécurité de l'information, incluant les rôles et responsabilités en matière de sécurité des paiements. Formez vos employés à la sécurité des données de carte au moins une fois par an. Réalisez une évaluation des risques annuelle pour identifier les nouvelles menaces et adapter vos contrôles en conséquence.
Comment réduire 90 % de la charge de conformité avec PCI Proxy EU
En déployant PCI Proxy EU pour la tokenisation, vous externalisez la partie la plus complexe de la conformité PCI DSS — le stockage et le traitement sécurisés des PAN — à un prestataire certifié PCI DSS niveau 1. Résultat : votre périmètre CDE se réduit à un niveau minimal, la plupart des exigences des étapes 3 à 5 ne s'appliquent plus à vos systèmes, et vous pouvez vous qualifier pour une SAQ-A ou SAQ-A-EP plutôt qu'une SAQ-D complexe.
Cette réduction de périmètre se traduit directement en économies : moins d'heures de consultant, pas d'audit QSA (pour les marchands de niveaux 2-4), tests de pénétration sur un périmètre réduit, et équipes internes moins mobilisées par les activités de conformité. Pour une PME qui traitait précédemment les paiements en interne, le retour sur investissement de la tokenisation est généralement positif dès la première année.
Simplifiez votre conformité PCI DSS 2025 avec la tokenisation : découvrir PCI Proxy EU.