Le terme PCI DSS as a Service est souvent utilisé dans le marketing des fournisseurs de paiement, mais il recouvre des réalités très différentes. Qu'est-ce qui peut réellement être délégué à un prestataire ? Qu'est-ce qui reste obligatoirement sous la responsabilité du marchand ? Et comment comparer les coûts d'une gestion interne avec ceux d'un service managé ?
Qu'est-ce que le PCI DSS as a Service ?
Le PCI DSS as a Service désigne une approche dans laquelle un prestataire certifié PCI DSS Level 1 prend en charge les éléments les plus complexes de la conformité PCI DSS, principalement le stockage, le traitement et la transmission sécurisés des données de carte. Le marchand externalise la gestion du CDE (Cardholder Data Environment) au prestataire, réduisant ainsi considérablement son propre scope de conformité.
Concrètement, cela signifie que le vault de tokens, les HSM, le chiffrement des données au repos et en transit, la surveillance des accès, les logs d'audit et les scans de vulnérabilités sur l'infrastructure de stockage des cartes sont gérés par le prestataire. Le marchand n'a plus besoin de maintenir cette infrastructure coûteuse en interne.
Ce qui est totalement délégué au prestataire
Dans un modèle PCI DSS as a Service mature comme celui proposé par PCI Proxy EU, les éléments suivants sont entièrement pris en charge par le prestataire :
- Stockage sécurisé des PAN : le vault de tokens avec chiffrement AES-256, gestion des clés via HSM
- Certification PCI DSS Level 1 : audit annuel QSA, rapport ROC, gestion des non-conformités
- Infrastructure sécurisée : segmentation réseau, contrôles d'accès, surveillance 24/7, SIEM
- Scans de vulnérabilités : ASV scans trimestriels sur l'infrastructure du vault
- Gestion des patchs : mise à jour et durcissement des systèmes dans le CDE
- Tests de pénétration : sur l'infrastructure du prestataire, pas sur celle du marchand
Ce qui reste légalement chez le marchand
Même avec un prestataire PCI DSS as a Service, certaines obligations restent irréductiblement sous la responsabilité du marchand. PCI DSS Requirement 12.8 est explicite : l'utilisation d'un prestataire ne transfère pas la responsabilité de la conformité au marchand.
- Politique de sécurité des données : le marchand doit maintenir sa propre politique de sécurité
- Formation du personnel : sensibilisation annuelle à la sécurité obligatoire pour les employés
- Contrôle d'accès physique : aux locaux où se trouvent les terminaux ou postes de travail
- Gestion des incidents : le plan de réponse aux incidents doit être maintenu par le marchand
- SAQ ou ROC : selon le niveau marchand, une auto-évaluation ou un audit externe reste nécessaire
- Due diligence sur les prestataires : vérification annuelle de la conformité PCI DSS du prestataire (Req. 12.8.4)
Comparaison des coûts : gestion interne vs service managé
La gestion interne de la conformité PCI DSS pour un marchand de niveau 2 ou 3 représente un investissement significatif. Une estimation réaliste comprend : audit QSA annuel (15 000 à 50 000 €), scans ASV trimestriels (2 000 à 5 000 €/an), tests de pénétration annuels (5 000 à 20 000 €), infrastructure sécurisée (HSM, SIEM, WAF), et ressources humaines dédiées.
En comparaison, un service PCI DSS managé via la tokenisation PCI Proxy EU revient généralement à quelques centimes par transaction tokenisée, sans coût d'infrastructure initial ni ressource humaine dédiée à la maintenance du CDE. Pour la majorité des marchands, le ROI est positif dès le premier mois.
Quel SAQ avec un service PCI DSS managé ?
L'un des avantages majeurs d'un service PCI DSS managé est la simplification du questionnaire d'auto-évaluation (SAQ). Un marchand e-commerce qui utilise un formulaire de paiement hébergé chez le prestataire (sans aucun code carte sur ses serveurs) peut se qualifier pour le SAQ A, le plus simple : seulement 22 questions contre 329 pour le SAQ D.
Cette réduction du scope SAQ traduit directement une réduction de la charge administrative et du risque de non-conformité. Moins de contrôles à maintenir signifie moins de risques d'oublis et moins de travail annuel pour maintenir la conformité.
Comment choisir son prestataire PCI DSS as a Service
Lors de l'évaluation d'un prestataire PCI DSS as a Service, vérifiez systématiquement : la certification PCI DSS Level 1 (rapport ROC disponible), la liste des acquéreurs acceptés, la résidence des données (important pour le RGPD), les SLAs de disponibilité, le support technique multilingue, et la clarté du contrat sur les responsabilités partagées.
PCI Proxy EU est certifié PCI DSS Level 1, avec une infrastructure basée dans l'Union européenne, garantissant la résidence des données conformément au RGPD. La documentation complète et le support dédié facilitent le processus d'audit annuel de vos marchands.
Déléguez la complexité PCI DSS à un prestataire certifié Level 1 et concentrez-vous sur votre cœur de métier. Découvrir PCI Proxy EU.