Un vault PCI est bien plus qu'une base de données chiffrée. C'est une infrastructure spécialisée avec des niveaux de sécurité physiques, logiques et cryptographiques conçus spécifiquement pour protéger les données de carte. Comprendre comment fonctionne un vault PCI dans le cloud vous aidera à évaluer les options disponibles et à choisir une solution adaptée à vos besoins.
Architecture d'un vault PCI dans le cloud
Un vault PCI cloud de niveau enterprise est construit en couches de sécurité imbriquées. La couche la plus interne est le HSM (Hardware Security Module), qui génère et stocke les clés cryptographiques dans du matériel inviolable. Autour du HSM se trouve le service de gestion des clés (KMS), qui orchestre l'utilisation des clés pour le chiffrement et le déchiffrement des données de carte.
La couche de stockage chiffrée contient les PAN chiffrés avec AES-256, avec une séparation stricte entre les données et les clés. La couche applicative (API du vault) expose les opérations de tokenisation, déchiffrement contrôlé et paiement, avec authentification forte et contrôle d'accès granulaire. Enfin, la couche réseau comprend segmentation, pare-feu de nouvelle génération et WAF.
Certifications requises : PCI DSS Level 1, HSM et FIPS 140-2
Pour être considéré comme fiable pour le stockage de données de carte, un vault PCI cloud doit posséder plusieurs certifications :
- PCI DSS Level 1 : l'audit le plus rigoureux, réalisé annuellement par un QSA agréé, avec un rapport ROC complet. C'est le niveau minimum attendu pour un vault de production
- FIPS 140-2 Level 3 : certification américaine pour les HSM, qui garantit la résistance physique à la falsification et l'impossibilité d'extraire les clés du matériel
- ISO 27001 : certification du système de management de la sécurité de l'information, couvrant les processus organisationnels en plus de la technique
- SOC 2 Type II : rapport d'audit sur les contrôles de sécurité, disponibilité, intégrité du traitement et confidentialité
Tokenisation vs chiffrement : pourquoi la tokenisation est supérieure
Le chiffrement et la tokenisation sont deux approches différentes pour protéger les données de carte, avec des implications distinctes pour la conformité PCI DSS. Dans le chiffrement, les données de carte restent présentes (sous forme chiffrée) dans vos systèmes — vous êtes dans le scope PCI DSS. Dans la tokenisation, les données de carte quittent complètement vos systèmes et sont remplacées par un token opaque — vous sortez du scope.
De plus, les données chiffrées peuvent en théorie être déchiffrées si la clé est compromise. Un token n'a pas de relation mathématique avec les données d'origine — même si votre base de données de tokens est compromise, les attaquants ne peuvent pas en extraire des numéros de carte. La tokenisation offre donc une protection supérieure et une posture de conformité plus simple.
Sécurité physique des datacenters
La sécurité d'un vault PCI commence par la sécurité physique du datacenter qui l'héberge. PCI DSS Requirement 9 impose des contrôles stricts : contrôle d'accès physique avec badges et biométrie, surveillance vidéo en temps réel avec enregistrement, zones de sécurité avec accès séparé pour les équipements sensibles, et procédures de livraison sécurisées pour le matériel.
PCI Proxy EU opère dans des datacenters Tier IV en Europe, avec des certifications de sécurité physique conformes à PCI DSS. Les accès sont journalisés et audités, et les HSM sont protégés dans des zones à accès restreint supplémentaires au sein des datacenters.
Gestion du cycle de vie des tokens
Un vault PCI mature gère le cycle de vie complet des tokens : création lors de la capture de la carte, utilisation pour les paiements et les autorisations, mise à jour automatique lors du renouvellement de carte (Account Updater), et suppression sécurisée selon les règles de rétention définies.
PCI DSS impose des limites strictes sur la durée de conservation des données de carte : seules les données nécessaires à des fins commerciales légitimes peuvent être conservées, et uniquement pendant la durée nécessaire. Le vault PCI Proxy EU permet de définir des politiques de rétention automatiques et d'effacement sécurisé des tokens obsolètes.
Disponibilité et reprise après sinistre
Un vault PCI cloud doit offrir une disponibilité en ligne avec votre chaîne de paiement. PCI Proxy EU opère avec une architecture active-active multi-zones, avec un SLA de disponibilité de 99,99 % et des RPO/RTO conformes aux exigences des acquéreurs. Les sauvegardes chiffrées sont répliquées dans plusieurs datacenters européens.
La reprise après sinistre pour un vault PCI est particulièrement sensible : les procédures de restauration doivent maintenir l'intégrité des clés cryptographiques et garantir qu'aucune donnée de carte n'est exposée pendant le processus. PCI Proxy EU dispose de procédures DR testées et documentées, conformes aux exigences PCI DSS Requirement 12.10.
Confiez le stockage de vos données de carte à un vault PCI certifié Level 1, hébergé dans l'UE avec HSM dédié. Découvrir PCI Proxy EU.