La conformité PCI DSS est souvent perçue comme une contrainte technique et administrative lourde, réservée aux grandes organisations disposant d'équipes de sécurité dédiées. Pourtant, la majorité des marchands et des prestataires de services de paiement européens peuvent réduire drastiquement leur charge de conformité grâce à une approche éprouvée : le PCI Proxy. Ce guide explique concrètement ce qu'est un PCI Proxy, comment il fonctionne, et comment déterminer si votre organisation en a besoin.
Définition : qu'est-ce qu'un PCI Proxy ?
Un PCI Proxy est un service intermédiaire certifié PCI DSS qui s'intercale entre votre application et vos prestataires de services de paiement. Son rôle fondamental est d'intercepter les données de carte sensibles (numéro PAN, date d'expiration, CVV) avant qu'elles n'entrent dans votre environnement informatique, de les stocker de manière sécurisée dans un vault certifié, et de retourner à votre application un token sans valeur intrinsèque qui peut être utilisé pour déclencher des transactions ultérieures.
Concrètement, lorsqu'un client saisit ses coordonnées bancaires sur votre site ou application, ces données transitent directement vers le vault PCI Proxy sans jamais toucher vos serveurs. Votre application reçoit uniquement un identifiant de token, qu'elle peut stocker librement dans sa base de données sans aucune exigence de sécurité particulière. C'est le vault certifié qui conserve les données réelles et les transmet au PSP au moment opportun, de manière sécurisée et conforme.
Cette architecture de substitution est reconnue par les quatre grandes enseignes de cartes (Visa, Mastercard, American Express, Discover) comme une méthode valide de réduction du périmètre CDE (Cardholder Data Environment). Elle est également explicitement encadrée par les guidelines PCI DSS v4 relatives aux solutions de tokenisation tierces certifiées.
Comment un PCI Proxy réduit votre périmètre CDE
Le concept de CDE (Cardholder Data Environment) désigne l'ensemble des systèmes, réseaux et processus qui stockent, traitent ou transmettent des données de titulaires de carte. Plus votre CDE est étendu, plus le périmètre de votre évaluation PCI DSS est large, plus le nombre de contrôles à mettre en place est important, et plus le coût de la conformité est élevé.
Sans PCI Proxy, une intégration typique avec un PSP implique que vos serveurs web reçoivent les données de carte saisies dans votre formulaire de paiement, les transmettent à votre backend, qui les transfère ensuite au PSP via son API. Ce flux place l'ensemble de votre infrastructure web et backend dans le périmètre CDE, avec toutes les exigences qui en découlent : chiffrement des données en transit et au repos, contrôles d'accès stricts, journalisation des événements de sécurité, tests d'intrusion réguliers.
Avec un PCI Proxy, le formulaire de saisie des données de carte est hébergé directement par le vault (ou utilise un JavaScript sécurisé qui pointe vers le vault), court-circuitant entièrement vos serveurs. Votre environnement ne voit jamais les données de carte en clair ; il ne manipule que des tokens. Cette réduction du flux de données peut qualifier votre organisation pour un SAQ A ou SAQ A-EP, les questionnaires d'auto-évaluation les plus simples de la norme PCI DSS, au lieu d'un SAQ D qui comporte plusieurs centaines de questions.
Les différents types de PCI Proxy et leurs usages
Il existe plusieurs architectures de PCI Proxy selon les besoins métier. Le modèle iframe ou hosted fields est le plus répandu pour les intégrations e-commerce : le formulaire de paiement est fourni directement par le service PCI Proxy, hébergé sur son domaine certifié, et intégré visuellement dans votre interface via une iframe. Le client perçoit une expérience fluide sur votre site, mais les données de carte sont saisies directement dans l'environnement certifié du vault.
Pour les centres d'appels et les paiements MOTO (Mail Order / Telephone Order), le PCI Proxy peut fonctionner via une intégration téléphonique utilisant la technologie DTMF (Dual-Tone Multi-Frequency). Lorsqu'un client dicte ses coordonnées bancaires à un agent, le système de téléphonie capture les tonalités des touches composées et les transmet directement au vault PCI Proxy, sans que l'agent n'entende ni ne voie jamais les données. Cette approche permet aux centres d'appels de traiter des paiements par téléphone sans inclure leur infrastructure télécom dans le périmètre PCI DSS.
Enfin, le modèle API Proxy est destiné aux intégrations techniques où les données de carte proviennent de canaux variés (applications mobiles, terminaux physiques, API partenaires). Dans ce cas, le PCI Proxy agit comme une passerelle API transparente : vos appels API sont interceptés, les données sensibles extraites et tokenisées, et la requête modifiée est transmise au PSP cible avec les données réelles. Votre code ne change presque pas ; seul l'endpoint d'API est redirigé via le proxy.
Avez-vous besoin d'un PCI Proxy ? Critères d'évaluation
La réponse est presque certainement oui si votre organisation accepte des paiements par carte et souhaite minimiser sa charge de conformité PCI DSS. Plus précisément, un PCI Proxy est particulièrement indiqué si vous gérez des paiements récurrents ou des abonnements nécessitant de stocker des données card-on-file pour des transactions futures ; si vous opérez un centre d'appels traitant des paiements par téléphone ; ou si vous êtes un éditeur de logiciels ou une plateforme SaaS proposant des fonctionnalités de paiement à vos clients.
Pour les startups et les PME européennes, un PCI Proxy représente souvent la solution la plus économique pour démarrer l'acceptation de paiements en conformité PCI DSS. Plutôt que d'investir dans une infrastructure sécurisée propriétaire ou de recruter des experts en sécurité informatique, vous externalisez la partie la plus sensible de votre traitement des paiements à un prestataire spécialisé et certifié, et vous concentrez vos ressources sur votre cœur de métier.
Les grandes entreprises et les groupes avec des volumes de transactions élevés trouvent également de la valeur dans un PCI Proxy, notamment pour consolider leur posture de conformité dans un contexte multi-PSP ou multi-canal. La centralisation de toutes les données de carte dans un vault unique simplifie les audits, réduit les risques de fuites de données, et facilite la démonstration de conformité lors des évaluations annuelles par des QSA (Qualified Security Assessors).
PCI Proxy vs. autres solutions de conformité PCI DSS
Il convient de distinguer le PCI Proxy d'autres solutions parfois confondues avec lui. Un PSP comme Stripe ou Adyen propose des hosted payment pages qui réduisent également le périmètre CDE, mais ces solutions vous lient à un prestataire unique et ne permettent pas de portabilité des données de carte vers d'autres PSP. Un PCI Proxy, en revanche, est agnostique au PSP et vous permet d'utiliser simultanément ou séquentiellement plusieurs acquéreurs.
La tokenisation réseau proposée par Visa Token Service (VTS) ou Mastercard Digital Enablement Service (MDES) opère à un niveau différent : elle sécurise les transactions sur les réseaux de cartes en remplaçant le PAN par un token spécifique à l'appareil et au marchand pour chaque transaction individuelle. Elle ne gère pas le stockage des données card-on-file au niveau marchand ni la portabilité multi-PSP. Un PCI Proxy de niveau marchand et la tokenisation réseau sont complémentaires et non substituables.
Enfin, certaines entreprises envisagent de construire leur propre vault de tokens en interne. Si cette option offre un contrôle maximal, elle implique d'obtenir et de maintenir une certification PCI DSS Level 1 pour l'environnement vault, ce qui représente un investissement conséquent en temps, en ressources humaines et en infrastructure. Pour la grande majorité des organisations, déléguer cette responsabilité à un prestataire spécialisé comme PCI Proxy EU est plus économique et plus sûr.
Choisir votre PCI Proxy : ce qu'il faut vérifier
La certification PCI DSS Level 1 du prestataire est le critère sine qua non. Elle garantit que le vault a été audité par un QSA accrédité et satisfait aux 300+ contrôles de la norme dans sa version la plus exigeante. Demandez systématiquement l'Attestation de Conformité (AOC) du prestataire, qui détaille précisément les services et les composants couverts par la certification. Assurez-vous que le service de tokenisation que vous souhaitez utiliser est explicitement inclus dans le périmètre de l'AOC.
La résidence des données est un impératif réglementaire pour les marchands européens soumis au RGPD. Les données de carte de vos clients européens doivent idéalement être stockées dans des datacenters situés dans l'Union Européenne. Un vault hébergé en dehors de l'UE vous expose à des complications liées au transfert international de données personnelles, notamment depuis l'arrêt Schrems II de la Cour de Justice de l'UE qui a invalidé le Privacy Shield et durci les conditions des Clauses Contractuelles Types.
Vérifiez également la disponibilité des connecteurs natifs avec vos PSP actuels et futurs, la qualité de la documentation technique et du support, ainsi que les SLA de disponibilité du service. Un vault de tokens est une infrastructure critique de votre chaîne de paiement : une indisponibilité même brève peut bloquer l'ensemble de vos transactions. PCI Proxy EU garantit une disponibilité de 99,9 % avec des datacenters redondants en Europe et un support technique francophone disponible pour accompagner votre intégration.
Prêt à réduire votre périmètre PCI DSS ?
Nos experts vous accompagnent dans l'évaluation de votre architecture actuelle et la mise en place d'un PCI Proxy adapté à vos besoins et à votre volume de transactions.
Parler à un expert