La conformité PCI DSS est souvent perçue comme un exercice difficile et coûteux, mais la plupart des entreprises abordent le problème à l'envers : elles cherchent à sécuriser un environnement large plutôt qu'à réduire le périmètre pour n'avoir presque rien à sécuriser. Une stratégie de réduction du périmètre bien exécutée peut transformer un projet de conformité de plusieurs mois en quelques semaines de travail. Voici comment procéder en trois étapes structurées.
Comprendre le périmètre PCI DSS (CDE)
Le périmètre PCI DSS, appelé CDE (Cardholder Data Environment), est l'ensemble des systèmes, personnes et processus qui stockent, traitent ou transmettent des données de titulaire de carte — et tous les systèmes qui sont connectés ou qui pourraient avoir un impact sur la sécurité de ces données. Ce périmètre est souvent beaucoup plus large que prévu lors d'un premier diagnostic.
Le standard PCI DSS v4.0 précise que même les systèmes qui ne manipulent pas directement des données de carte mais qui se trouvent dans le même réseau que des systèmes qui en manipulent sont potentiellement en scope. C'est pourquoi la segmentation réseau est l'une des premières mesures à mettre en place : elle permet d'isoler le CDE du reste du réseau de l'entreprise.
Un concept important est la notion de "connected-to" : tout système qui peut communiquer avec un système du CDE est potentiellement en scope. Sans segmentation, le CDE peut rapidement englober l'ensemble du réseau de l'entreprise, rendant la conformité disproportionnée et coûteuse.
Étape 1 : cartographier tous les flux de données de carte
La première étape est une cartographie exhaustive de tous les flux de données de carte dans l'organisation. Cette cartographie doit répondre à plusieurs questions : Où les données de carte entrent-elles dans le système ? Quels systèmes les traitent ou les stockent ? Comment circulent-elles entre les systèmes ? Quand et comment sont-elles définitivement supprimées ou remplacées ?
Pour chaque point d'entrée des données de carte (formulaire web, terminal physique, centre d'appels, API partenaire), documentez le flux complet jusqu'au point de traitement final. Identifiez tous les systèmes qui touchent les données : serveurs web, bases de données, systèmes de facturation, outils CRM, solutions de reporting, logs. Chaque système identifié est potentiellement en scope.
- Listez tous les canaux d'acceptation des paiements (web, mobile, téléphone, POS, API)
- Tracez le cheminement des données depuis la saisie jusqu'au traitement final
- Identifiez tous les systèmes qui stockent, transmettent ou traitent des PAN
- Cartographiez les connexions réseau entre ces systèmes et le reste du SI
- Documentez les rôles des personnes ayant accès aux données de carte
Cette cartographie révèle souvent des surprises : des logs applicatifs qui enregistrent des PAN partiels, des bases de données de test qui contiennent des données de carte de production, ou des exports Excel partagés en interne avec des données de paiement. Chaque découverte est une opportunité de réduction du périmètre.
Étape 2 : tokeniser tous les flux identifiés
Une fois les flux cartographiés, la tokenisation est le mécanisme le plus efficace pour éliminer les données de carte des systèmes en scope. L'objectif est de remplacer chaque PAN par un token à tous les points de stockage et de traitement qui n'ont pas besoin de la valeur réelle du PAN pour fonctionner.
Dans la plupart des architectures, seul le PSP ou le processeur de paiement a besoin du PAN réel — et encore, uniquement pour initier la transaction. Tous les autres systèmes (CRM, facturation, reporting, abonnements, service client) n'ont besoin que d'un identifiant stable pour référencer la carte : c'est exactement ce que fournit le token PCI Proxy.
La tokenisation via PCI Proxy EU peut être intégrée à chaque point d'entrée des données de carte. Pour les formulaires web, le formulaire hébergé PCI Proxy garantit que le PAN ne touche jamais vos serveurs. Pour les centres d'appels, l'agent utilise un clavier sécurisé PCI Proxy pour saisir la carte sans que le PAN ne soit enregistré sur les systèmes du centre d'appels. Pour les flux API existants, le SDK PCI Proxy intercepte le PAN avant qu'il n'atteigne votre base de données.
Étape 3 : éliminer les contacts PAN résiduels
Après la tokenisation des nouveaux flux, des données de carte résiduelles subsistent souvent dans les anciens systèmes : historiques de transactions en base de données, sauvegardes d'archives, logs applicatifs, rapports exportés. Ces données résiduelles maintiennent des systèmes "anciens" en scope et doivent être éliminées de manière sécurisée.
La purge des données résiduelles doit être documentée et réalisée selon des procédures de destruction sécurisée conformes aux exigences PCI DSS. Pour les données en base de données, une migration vers des tokens est préférable à une simple suppression, car elle préserve la continuité des données pour les abonnements et les clients récurrents.
- Auditez les bases de données pour identifier les colonnes contenant des PAN
- Migrez les PAN résiduels vers des tokens PCI Proxy avec un script de migration sécurisé
- Purgez les logs applicatifs qui contiennent des données de carte
- Supprimez ou chiffrez les sauvegardes contenant des données de carte non tokenisées
- Mettez en place des contrôles pour empêcher les futurs stockages de PAN
Mesurer et valider la réduction du périmètre
Une fois la tokenisation déployée et les données résiduelles éliminées, il est essentiel de valider formellement la réduction du périmètre avec votre QSA ou votre acquéreur. Cette validation consiste à démontrer que les systèmes précédemment en scope ne traitent plus de données de carte en clair et à documenter les contrôles de segmentation réseau.
La validation formelle permet de mettre à jour votre SAQ (souvent de passer d'un SAQ D à un SAQ A ou SAQ A-EP), ce qui réduit significativement le nombre d'exigences à démontrer lors des audits suivants. Pour les marchands Level 2 et supérieurs, cette réduction peut se traduire par une réduction substantielle des coûts d'audit annuel et des efforts de conformité continue.
Réduisez votre périmètre PCI DSS dès aujourd'hui avec une approche structurée et des outils éprouvés : Découvrir PCI Proxy EU.