Quel niveau PCI DSS s'applique à votre entreprise ?

Cela dépend du volume de transactions annuelles. Si vous en traitez plus de 6 millions, vous êtes Niveau 1 et devez faire l'objet d'un audit sur site. En dessous de ce seuil, un questionnaire SAQ suffit généralement. Nous vous aidons à déterminer lequel vous convient.

Comment PCI Proxy EU réduit-il votre charge PCI DSS ?

Vous nous transmettez les données de carte, nous les tokenisons et les conservons dans notre coffre-fort sécurisé. Les numéros de carte n'atteignent jamais vos serveurs — vous ne travaillez qu'avec des tokens. Cela vous fait passer de plus de 300 contrôles (SAQ D) à seulement 22 (SAQ A).

Le RGPD affecte-t-il la conformité PCI DSS en Europe ?

Oui. En Europe, vous devez respecter à la fois le PCI DSS et le RGPD. Les données de carte sont également des données personnelles. Avec la tokenisation, vous ne stockez que des tokens — ce qui simplifie les deux obligations.

Conformité PCI DSS

Conformité PCI DSS, moins de travail pour vous

Si vous acceptez les paiements par carte, vous devez vous conformer à PCI DSS. Nous conservons les données de carte en votre nom : vous travaillez avec des tokens et le questionnaire de conformité devient bien plus simple à compléter.

Réduction du périmètre PCI −95 % périmètre

Sans PCI Proxy SAQ D

400+ exigences

Avec PCI Proxy SAQ A

22 exigences

Vous ne gardez que des tokens

Ce que nous apportons

Vous héritez de notre certification : les données de carte restent dans notre coffre-fort, pas sur vos serveurs.

Niv. 1

Niveau 1 certifié

Le niveau le plus élevé, audité chaque année.

Exigences PCI DSS v4.0

Domaines couverts par la norme.

95 %

Réduction du périmètre PCI

Moins d'audits, moins de risques.

SAQ A

Qualification SAQ

Le questionnaire le plus léger.

En bref

Ce que PCI DSS 4.0 exige réellement

PCI DSS est la norme de sécurité applicable à toute organisation acceptant des paiements par carte (Visa, Mastercard et autres réseaux). Elle protège les données de carte à chaque étape : collecte, stockage et transmission.

Exigences

Niveaux

Objectif

Protéger les données de carte, en permanence.

Sécurité réseau

Pare-feux et configurations réseau sécurisées pour protéger l'environnement des données de carte.

Protection des données

Chiffrement des données de carte en transit et au repos. Interdiction de stocker les données sensibles d'authentification.

Gestion des vulnérabilités

Programmes antivirus, mises à jour de sécurité et gestion des correctifs sur tous les systèmes concernés.

Contrôle d'accès

Restriction de l'accès aux données de carte selon le principe du moindre privilège, avec authentification forte.

Surveillance et tests

Journalisation de tous les accès, surveillance continue et tests d'intrusion réguliers des systèmes.

Politique de sécurité

Politique de sécurité de l'information documentée, formation du personnel et gestion des prestataires tiers.

Périmètre PCI

Périmètre PCI DSS : ce que les marchands négligent souvent

Tout système qui stocke, traite ou transmet des données de carte — ou susceptible d'en affecter la sécurité — entre dans le périmètre PCI. C'est souvent beaucoup plus étendu qu'on ne le pense.

Sans PCI Proxy EU

Périmètre complet

Sites, applications, bases de données et réseaux qui traitent des données de carte doivent satisfaire des centaines de contrôles. Souvent plus de 300 dans le questionnaire SAQ D.

Avec PCI Proxy EU

Périmètre minimal

Les données de carte n'entrent jamais dans vos serveurs. Nous sommes certifiés PCI DSS Niveau 1 et conservons le numéro de carte dans notre coffre-fort. Vous ne gérez que des tokens.

Jusqu'à 95 % de moins

Passez du SAQ D (300+ contrôles) au SAQ A ou A-EP (moins de 30). Moins d'audits, moins d'ingénieurs dédiés, moins de risques.

Volume de contrôles à compléter

Sans PCI Proxy (SAQ D) 300+ contrôles

Avec API (SAQ A-EP) ~30 contrôles

Avec champs hébergés (SAQ A) 22 contrôles

Nous sommes certifiés PCI DSS Niveau 1

Parcours de conformité

Le parcours de conformité avec PCI Proxy EU

En trois étapes, PCI Proxy EU sort les données de carte de votre infrastructure et vous qualifie pour le SAQ A.

Le marchand intègre

Vous intégrez les champs hébergés (iFrame) ou l'API de PCI Proxy EU. La saisie de la carte s'effectue directement dans notre environnement sécurisé.

Le token remplace le PAN

Le numéro de carte (PAN) est immédiatement tokenisé. Vos serveurs ne reçoivent qu'un token sans valeur en cas de fuite de données.

Le marchand est qualifié SAQ A

Avec le périmètre réduit, vous vous qualifiez pour le SAQ A : seulement 22 exigences au lieu de 300+.

À savoir : après une violation de données, vous pouvez être reclassé au Niveau 1 même si vous traitez de faibles volumes. Votre acquéreur peut également exiger des contrôles supplémentaires.

Auto-évaluation

Quel questionnaire SAQ vous convient ?

Le SAQ est le questionnaire que vous complétez pour démontrer votre conformité. Il dépend de la façon dont les données de carte circulent dans vos systèmes. Avec nous, le chemin est bien plus simple.

Caractéristique	SAQ A	SAQ A-EP	SAQ D (sans proxy)
Nombre de contrôles	22	~30	300+
Données de carte sur vos serveurs	Non	Non	Oui
Mode d'intégration	Champs hébergés (iFrame)	API / JavaScript	Tout type
Audit externe annuel	Non requis	Simplifié	Requis (coûteux)
Scans ASV trimestriels	Facultatifs	Selon acquéreur	Obligatoires
Coûts estimés	Quelques centaines €	€1 000–€5 000	€10 000–€100 000+

SAQ A recommandé

Pourquoi le SAQ A est important

Le SAQ A est le questionnaire d'auto-évaluation le plus simple disponible. Il s'applique dès lors que votre site ne touche jamais directement aux données de carte.

Gain de temps considérable

22 exigences au lieu de 300+. Vos équipes se concentrent sur votre cœur de métier, non sur la conformité.

Réduction des coûts

Moins d'audits, moins d'ingénieurs dédiés. Les économies sont immédiates dès la première année.

Risque quasi nul

Aucune donnée de carte sur vos serveurs signifie aucun risque de fuite de données de paiement vous concernant.

Conformité simplifiée

Le SAQ A peut souvent être complété en interne, sans faire appel à un QSA externe onéreux.

Comparaison du nombre de contrôles

SAQ A

Avec champs hébergés

300+

SAQ D

Sans PCI Proxy

Passez du questionnaire le plus lourd au plus simple grâce à la tokenisation des données de carte.

Vos responsabilités

Ce qui reste de votre responsabilité

Même avec PCI Proxy EU, certaines obligations de conformité vous incombent toujours. Elles sont peu nombreuses et tout à fait gérables.

Sécurité de votre site

HTTPS actif, certificat TLS à jour et redirections sécurisées sur toutes les pages de paiement.

Formation du personnel

Sensibilisation annuelle de vos équipes aux risques liés aux données de paiement et aux tentatives de phishing.

Complétude du SAQ

Remplir et signer annuellement votre questionnaire SAQ A auprès de votre acquéreur.

Politique de sécurité

Documenter et maintenir votre politique de sécurité interne, même simplifiée dans le cadre du SAQ A.

Obligations annuelles

Ce qui est requis chaque année

La conformité PCI DSS est un processus continu. Voici les quatre obligations annuelles auxquelles vous devez répondre.

SAQ

Questionnaire d'auto-évaluation annuel à soumettre à votre acquéreur. Avec PCI Proxy EU : SAQ A, seulement 22 exigences.

Analyses ASV

Analyses de vulnérabilités trimestrielles par un organisme ASV approuvé, si exigées par votre acquéreur.

Test d'intrusion

Test de pénétration annuel requis pour certains niveaux. PCI Proxy EU effectue ces tests pour l'ensemble de son infrastructure.

Révision politique

Révision et mise à jour annuelle de votre politique de sécurité des paiements et sensibilisation du personnel.

Conformité continue

Obligations continues

La conformité PCI DSS ne se limite pas à un événement annuel. Voici les responsabilités permanentes à intégrer dans votre organisation.

Calendrier de conformité

Planification annuelle

Chaque trimestre

Analyses ASV de vos adresses IP exposées, si requises par votre acquéreur.

Chaque année

Compléter le SAQ A et le soumettre à votre acquéreur avec l'Attestation de conformité (AoC).

En continu

Surveiller les accès, maintenir votre inventaire des actifs et former vos équipes régulièrement.

En cas d'incident

Notifier votre acquéreur et appliquer votre plan de réponse aux incidents de sécurité.

Politique et formation

À maintenir

Politique de sécurité documentée

Même simplifiée avec le SAQ A, une politique formelle est exigée et doit être revue chaque année.

Sensibilisation du personnel

Formation annuelle obligatoire pour toutes les personnes ayant accès aux systèmes de paiement.

Gestion des prestataires

Maintenir la liste de vos prestataires de paiement et vérifier annuellement leur statut de conformité.

Plan de réponse aux incidents

Disposer d'un plan documenté pour réagir rapidement en cas de violation des données de paiement.

En résumé : vous travaillez avec des tokens. Nous conservons les données de carte. PCI DSS et RGPD deviennent plus simples à gérer.

En savoir plus sur la tokenisation

Certifications

Certifications et confiance

Notre infrastructure est auditée chaque année par des évaluateurs indépendants. Vous héritez de nos certifications.

Niv. 1

PCI DSS

Certification la plus élevée

100 %

Données EU

Centres de données européens uniquement

HSM

FIPS 140-2

Modules matériels certifiés pour les clés

AES

256 bits

Chiffrement au repos et en transit

Prêt à réduire votre périmètre PCI DSS ?

Contactez-nous : nous vous aidons à comprendre votre niveau PCI DSS et dans quelle mesure vous pouvez simplifier votre conformité avec PCI Proxy EU.

Nous contacter La tokenisation Comment ça fonctionne