Les secteurs des assurances et de la santé sont souvent perçus comme éloignés des enjeux PCI DSS, une norme associée au commerce en ligne et aux grandes surfaces. C'est une erreur dangereuse : dès qu'une organisation accepte des paiements par carte — primes d'assurance, honoraires médicaux, tickets modérateurs — elle entre dans le périmètre PCI DSS. Et ces secteurs présentent des risques spécifiques que la plupart des consultants ne mentionnent jamais.
Pourquoi les assureurs sont dans le scope PCI DSS
Une compagnie d'assurance qui accepte le règlement des primes par carte bancaire — que ce soit en ligne, par téléphone ou en agence — est soumise à PCI DSS exactement comme n'importe quel marchand e-commerce. Le volume de transactions détermine le niveau PCI applicable (de 1 à 4), mais l'obligation de conformité existe dès la première transaction par carte, quelle que soit la taille de l'organisation.
Le risque particulier des assureurs réside dans la combinaison de données sensibles : données financières (PANs) et données médicales coexistent souvent dans les mêmes systèmes de gestion des sinistres. Une violation qui expose des données de carte expose potentiellement aussi des informations médicales, créant un cumul d'obligations RGPD bien plus grave qu'une violation uniquement financière.
Les assureurs qui opèrent des centres d'appels pour la souscription ou le renouvellement de contrats sont exposés à un risque PCI spécifique : les agents téléphoniques qui saisissent les données de carte des assurés créent un environnement MOTO (Mail Order/Telephone Order) qui doit être spécifiquement sécurisé. Sans une solution de tokenisation adaptée, l'ensemble de l'infrastructure téléphonique entre dans le CDE.
Les risques PCI cachés dans les systèmes de gestion clinique
Dans le secteur de la santé, les systèmes de gestion clinique (logiciels de gestion de cabinet médical, systèmes hospitaliers) intègrent de plus en plus des modules de paiement pour le règlement des actes et des tickets modérateurs. Ces modules sont souvent développés par des éditeurs spécialisés en santé qui n'ont pas nécessairement une expertise PCI DSS approfondie, créant des angles morts dangereux.
Le problème majeur est la segmentation réseau insuffisante : dans de nombreux établissements de santé, les terminaux de paiement partagent le même réseau que les systèmes médicaux (DPI, imagerie, laboratoires). Cette absence de segmentation fait entrer l'ensemble du réseau hospitalier dans le CDE, rendant la conformité PCI DSS extraordinairement coûteuse et complexe à obtenir.
Les paiements récurrents : un angle mort réglementaire
Les assureurs utilisent abondamment les paiements récurrents pour les prélèvements de primes mensuelles. Lorsque ces prélèvements sont effectués par carte bancaire (et non par prélèvement SEPA), ils créent une obligation de stockage ou de référencement des données de carte qui est souvent mal gérée. Stocker un PAN pour des prélèvements futurs sans infrastructure conforme PCI DSS est une violation grave du standard.
La solution correcte est la tokenisation card-on-file : lors de la première transaction, le PAN est tokenisé et un token est stocké à sa place. Les prélèvements récurrents utilisent ce token, et l'assureur ne stocke jamais de PAN dans ses systèmes. Cette approche réduit le périmètre PCI au strict minimum et garantit que les données de carte des assurés sont protégées même en cas de compromission des bases de données.
SAQ applicable et niveau de conformité dans ces secteurs
La plupart des assureurs et établissements de santé de taille moyenne (moins de 6 millions de transactions par carte annuelles) sont classés en niveau 3 ou 4 PCI DSS. Pour ce niveau, un SAQ (questionnaire d'auto-évaluation) annuel suffit, accompagné de scans de vulnérabilité trimestriels par un ASV agréé. Le choix du SAQ approprié dépend de la manière dont les données de carte sont traitées.
Un assureur qui utilise uniquement un service de paiement hébergé ou tokenisé (sans jamais voir les PANs) peut qualifier pour le SAQ A, le plus simple (environ 22 questions). En revanche, un établissement qui traite les données de carte dans ses propres systèmes devra répondre au SAQ D (plus de 300 questions). La différence en termes de charge de travail et de coût de conformité est considérable, et justifie à elle seule l'investissement dans une solution de tokenisation.
La double conformité RGPD/PCI DSS : une opportunité de rationalisation
Pour les organisations des secteurs assurance et santé, la double conformité RGPD et PCI DSS peut sembler une charge administrative écrasante. Mais ces deux référentiels partagent de nombreuses exigences communes : contrôle d'accès, chiffrement, journalisation des accès, gestion des incidents. Une approche intégrée, qui traite les deux référentiels simultanément, permet de mutualiser les efforts et de réduire significativement le coût total de conformité.
La tokenisation joue un rôle clé dans cette rationalisation : en supprimant les PANs de vos environnements, vous réduisez simultanément votre périmètre PCI DSS et le risque de violation de données à caractère personnel au sens du RGPD. Un seul investissement technique produit des bénéfices conformité sur les deux référentiels, ce qui est particulièrement attractif pour des secteurs comme l'assurance et la santé, déjà soumis à de lourdes obligations réglementaires.
Assureurs et prestataires de santé : simplifiez votre conformité PCI DSS avec une solution de tokenisation adaptée à vos contraintes sectorielles. Découvrir PCI Proxy EU.