Niveaux de conformité PCI DSS
PCI DSS comporte quatre niveaux de marchands, déterminés par le nombre de transactions par carte que vous traitez par an. Voici ce que signifie chaque niveau, ce qu'il exige — et comment la tokenisation simplifie votre validation quel que soit votre niveau.
Votre niveau dépend du volume — pas de vos efforts
Les réseaux de cartes et les acquéreurs assignent un niveau d'après votre volume annuel de transactions par réseau. Plus votre volume est élevé, plus votre validation est rigoureuse. Une violation de données peut faire passer n'importe quel marchand directement au Level 1.
Déterminé par le volume
Votre nombre annuel de transactions par réseau de cartes décide de votre niveau, assigné par votre acquéreur.
Validation différente
Le Level 1 nécessite un audit externe ; les niveaux 2 à 4 s'auto-évaluent généralement avec un questionnaire.
Une violation fait monter
Une compromission peut faire passer tout marchand au reporting Level 1, quelle que soit sa taille.
Niveaux marchands PCI DSS en un coup d'œil
| Niveau | Volume annuel de transactions | Validation typique |
|---|---|---|
| Level 1 | Plus de ~6 M de transactions/an (ou tout marchand après une violation) | Rapport de Conformité annuel (QSA) + scans ASV trimestriels |
| Level 2 | ~1 M à 6 M de transactions/an | Self-Assessment Questionnaire annuel + scans trimestriels |
| Level 3 | ~20 000 à 1 M de transactions e-commerce/an | Self-Assessment Questionnaire annuel + scans trimestriels |
| Level 4 | Moins de ~20 000 transactions e-commerce / jusqu'à 1 M autres transactions/an | Self-Assessment Questionnaire annuel (scans si applicable) |
Seuils indicatifs — les chiffres exacts varient selon le réseau de cartes. Confirmez votre niveau auprès de votre banque acquéreuse.
Votre niveau reste — votre charge de travail diminue
La tokenisation ne change pas le niveau que votre volume vous assigne, mais elle transforme ce que vous devez valider. Quand les données de carte ne touchent jamais vos systèmes, la plupart des marchands sont éligibles au SAQ A — le questionnaire le plus court — à n'importe quel niveau. PCI Proxy est lui-même un coffre-fort PCI DSS Level 1, vous héritez donc du gros du travail.
Niveaux PCI DSS : vos questions
01 Quels sont les niveaux de conformité PCI DSS ?
PCI DSS définit quatre niveaux de marchands basés sur le volume annuel de transactions par carte. Le Level 1 est le plus élevé (généralement plus de 6 millions de transactions par an ou tout marchand après une violation), le Level 2 correspond à environ 1 à 6 millions, le Level 3 couvre environ 20 000 à 1 million de transactions e-commerce, et le Level 4 est tous les autres. Les niveaux supérieurs exigent une validation plus rigoureuse.
02 Comment savoir à quel niveau PCI j'appartiens ?
Votre niveau est défini par votre acquéreur ou les réseaux de cartes en fonction de votre volume annuel de transactions par réseau. Les seuils exacts varient légèrement selon le réseau de cartes, confirmez donc auprès de votre banque acquéreuse — mais le volume est le principal critère, et une violation peut faire passer n'importe quel marchand au Level 1.
03 Que doit faire chaque niveau PCI ?
Les marchands de Level 1 ont besoin d'un Rapport de Conformité annuel d'un Qualified Security Assessor plus des scans trimestriels. Les niveaux 2 à 4 complètent généralement un Self-Assessment Questionnaire et, si des données de carte sont manipulées, des scans trimestriels. Réduire les données de carte que vous traitez réduit le questionnaire que vous devez remplir.
04 La tokenisation change-t-elle mon niveau PCI ?
La tokenisation ne change pas le niveau que votre volume vous assigne, mais elle réduit considérablement ce que vous devez valider. Comme les données de carte ne touchent jamais vos systèmes, la plupart des marchands sont éligibles au SAQ A beaucoup plus court — quel que soit leur niveau — rendant la conformité bien plus simple à tout volume.
Simplifiez la conformité PCI à tout niveau
Parlez-nous de votre volume et de votre gestion des cartes, et nous vous montrerons comment la tokenisation maintient votre validation sur SAQ A.