Externaliser la conformité PCI DSS est une stratégie adoptée par de nombreux marchands et entreprises de paiement pour réduire la charge opérationnelle liée à la gestion des données de carte. Cependant, une idée reçue dangereuse persiste : celle selon laquelle déléguer la conformité à un prestataire certifié signifie se décharger entièrement de toute responsabilité. La réalité est plus nuancée, et comprendre ce qui peut véritablement être externalisé — et ce qui reste inévitablement à votre charge — est essentiel pour bâtir un programme de conformité solide.
Ce que l'externalisation PCI DSS signifie réellement
L'externalisation PCI DSS consiste à confier à un prestataire tiers certifié PCI DSS Level 1 — comme un fournisseur de tokenisation, un gateway de paiement ou un PSP — la gestion des composants les plus sensibles de votre environnement de données de carte (CDE). En pratique, cela signifie que les données de carte ne transitent jamais par vos systèmes : elles sont capturées directement par le prestataire, tokenisées, et votre infrastructure ne reçoit qu'un token opaque qui ne constitue pas une donnée sensible au sens PCI DSS.
Ce modèle réduit considérablement votre périmètre de conformité. Si votre intégration est conçue de façon à ce que vos serveurs ne voient jamais un PAN (Primary Account Number) en clair, vous pouvez prétendre au SAQ A — le questionnaire d'auto-évaluation le plus simple — au lieu du SAQ D, qui comporte 329 exigences. La différence en termes de coût, de temps et de charge documentaire est immense.
Ce que vous pouvez déléguer à un prestataire certifié
La liste de ce qui peut être externalisé est longue et représente le cœur de la valeur ajoutée d'un prestataire PCI DSS certifié. Vous pouvez déléguer le stockage sécurisé des données de carte, la tokenisation et la détokenisation, la gestion des clés cryptographiques (Key Management), la certification HSM (Hardware Security Module), les audits de sécurité périodiques, les tests de pénétration sur l'infrastructure du vault, et la maintenance des certifications PCI DSS annuelles.
Un prestataire comme PCI Proxy EU prend en charge l'intégralité de la chaîne cryptographique : les PAN sont capturés via des formulaires hébergés (hosted payment fields) ou une API directe, stockés dans un vault certifié PCI DSS Level 1 hébergé en Europe, et remplacés par des tokens dans tous vos systèmes aval (CRM, ERP, facturation, etc.). Votre infrastructure ne voit jamais la donnée brute, et le périmètre PCI de votre côté se réduit à presque zéro.
Les responsabilités résiduelles qui restent au marchand
Même avec le meilleur prestataire PCI DSS du monde, certaines responsabilités demeurent irréductiblement vôtres. La première est la responsabilité contractuelle vis-à-vis de vos acquéreurs et des réseaux de cartes : c'est vous, en tant que marchand, qui signez le contrat d'acceptation et qui êtes responsable des amendes en cas de violation de données chez un sous-traitant. Le fait d'avoir externalisé ne vous exonère pas des pénalités si votre prestataire est compromis.
La deuxième responsabilité résiduelle concerne les points d'entrée des données dans votre propre infrastructure. Si vous avez des processus de back-office où un agent saisit manuellement des numéros de carte — même occasionnellement — ces flux créent un CDE chez vous, indépendamment de ce que fait votre prestataire. De même, si votre intégration technique achemine les données de carte via vos serveurs avant de les envoyer au prestataire, vous avez un périmètre PCI actif. L'architecture d'intégration est déterminante.
La troisième responsabilité résiduelle est la gestion de votre Questionnaire d'Auto-Évaluation (SAQ). Même si vous êtes éligible au SAQ A, vous devez quand même le compléter et le soumettre à votre acquéreur annuellement. Le prestataire peut vous accompagner dans cette démarche, mais ne peut pas la réaliser à votre place.
Comment vérifier la validité d'un prestataire PCI DSS
Avant de confier vos données de carte à un prestataire, vous devez vérifier rigoureusement son niveau de certification. Le PCI Security Standards Council maintient une liste publique des prestataires de services certifiés (PCISSC Registered Service Providers List). Cherchez-y le nom de votre prestataire et vérifiez que sa certification est valide et couvre bien les services que vous comptez utiliser.
Au-delà du niveau PCI DSS, demandez à voir l'AOC (Attestation of Compliance) — le document officiel signé par un QSA (Qualified Security Assessor) qui atteste de la conformité du prestataire. L'AOC précise l'étendue de la certification, les services couverts et la date de validité. Un prestataire qui refuse de partager son AOC ou qui ne peut pas en produire un à jour est un signal d'alarme sérieux.
Le modèle de responsabilité partagée en pratique
La meilleure façon de conceptualiser l'externalisation PCI DSS est de la voir comme un modèle de responsabilité partagée, similaire à celui du cloud computing. Votre prestataire est responsable de la sécurité de l'infrastructure qu'il gère : le vault, les HSM, les clés cryptographiques, les certifications. Vous êtes responsable de la sécurité de tout ce que vous contrôlez : la configuration de votre intégration, la formation de vos équipes, la politique d'accès à votre back-office, et la compliance de vos processus opérationnels.
En pratique, cette séparation des responsabilités se traduit par une documentation contractuelle précise. Votre accord avec le prestataire doit explicitement mentionner quels composants PCI DSS sont couverts par sa certification, comment les incidents sont notifiés, et quelles sont les obligations respectives en cas de violation. Un contrat vague sur ces points est une source de litige potentiel si un incident survient.
Questions fréquentes
Si mon prestataire est certifié PCI DSS Level 1, suis-je moi-même conforme ?
Non. La certification de votre prestataire couvre son infrastructure, pas la vôtre. Vous devez toujours compléter votre propre SAQ ou faire réaliser un audit QSA selon votre niveau de marchand. Ce que la certification de votre prestataire vous permet, c'est de réduire significativement votre périmètre — et donc le SAQ applicable — mais elle ne remplace pas votre propre démarche de conformité.
Que se passe-t-il si mon prestataire subit une violation de données ?
En cas de violation chez votre prestataire impliquant des données de carte de vos clients, les amendes des réseaux de cartes (Visa, Mastercard) peuvent vous être imputées en tant que marchand signataire du contrat d'acceptation. C'est pourquoi il est crucial de choisir un prestataire dont la certification est valide, récente, et dont l'AOC couvre explicitement les services que vous utilisez.
La tokenisation suffit-elle à externaliser toute la conformité PCI ?
La tokenisation est l'outil le plus efficace pour réduire votre périmètre PCI DSS, mais elle ne couvre que les flux numériques. Si vous avez des paiements par téléphone (MOTO) gérés par des agents, ou des terminaux physiques en point de vente, ces flux créent des CDE supplémentaires qui nécessitent leurs propres solutions de mise en conformité.
Vous souhaitez externaliser la gestion des données de carte et réduire votre périmètre PCI DSS au minimum ? Découvrez PCI Proxy EU.