PCI DSS Obligatoire pour TOUS les Marchands ?

[HandyFR]

Bonjour,

 

Suite à mon précédent post :

 

https://www.prestashop.com/forums/topic/420008-questions-debutant-par-rapport-au-paiement-en-ligne/?p=2171981

 

Je me suis penché sur la question de la conformité PCI DSS.

 

Est-ce que TOUS les marchands devraient-ils être conformes PCI DSS ?

 

En fait, un article de  Eric Chauvigné "Combattre les idées reçues sur la norme PCI-DSS" me donne un doute, notamment cette affirmation :

 

Idées reçues sur la certification PCI DSS

 

« Si je ne stocke pas de données bancaires, je n’ai pas besoin d’être certifié PCI DSS »

 

(plus loin dans l'article)

 

L’absence de certification PCI DSS peut porter atteinte à la sécurité des données et entraîner de lourdes conséquences telles que des amendes ou des coûts de procédures judiciaires, la perte d’opportunités commerciales, l’augmentation des frais de transactions facturés par les sociétés de cartes bancaires et la détérioration de l’image de marque de l’entreprise.

 

Source : https://www.globalsecuritymag.fr/Combattre-les-idees-recues-sur-la,20140429,44636.html

 

Merci de vos commentaires,

 

 

Handy

[Eolia]

A partir du moment où la transaction ne s'effectue pas sur votre site, mais par l'intermédiaire d'un site externe (Paypal, banque, etc...) vous n'avez, à aucun moment , accès au données bancaires du client.

Vous n'êtes donc pas concerné par cet article de loi.

 

La réglementation est en effet très stricte en France à ce sujet, et seul les organismes certifiés ont le droit de conserver certaines données bancaires.

[Oron]

Bonjour

 

Pour les nuls , pourriez-vous expliquer que c'est PSI DSS  ?

merci.

[Eolia]

Un peu de lecture: 

 

http://www.cbanque.com/actu/43773/paiement-en-ligne-la-cnil-limite-le-stockage-des-numeros-de-cartes-bancaires

 

http://www.journaldunet.com/ebusiness/expert/51327/pci-dss--une-certification-bientot-incontournable-pour-les-e-commercants.shtml

 

https://fr.pcisecuritystandards.org/minisite/en/

 

http://www.cartes-bancaires.com/IMG/pdf/PCIDSS.pdf

Edited October 26, 2015 by Eolia (see edit history)

[Oron]

C'est ça que je voulais savoir :

 

PCI DSS est l’acronyme anglais de Payment Card Industry Data Security Standard. Une traduction française serait « standard de
sécurité des données pour l’industrie des cartes de paiement

 

Merci pour la documentation.

[HandyFR]

A partir du moment où la transaction ne s'effectue pas sur votre site, mais par l'intermédiaire d'un site externe (Paypal, banque, etc...) vous n'avez, à aucun moment , accès au données bancaires du client.

Vous n'êtes donc pas concerné par cet article de loi.

 

La réglementation est en effet très stricte en France à ce sujet, et seul les organismes certifiés ont le droit de conserver certaines données bancaires.

 

1 - Les organismes certifiés ont le droit de conserver certaines données bancaires => Qui n'a JAMAIS reçu un mail client contenant INVOLONTAIREMENT un numéro de CB : PCI DSS obligatoire

 

2 - Les organismes certifiés ont le droit de conserver certaines données bancaires => Qui n'a JAMAIS reçu un courrier papier client contenant INVOLONTAIREMENT un numéro de CB : PCI DSS obligatoire

 

3 - Les organismes certifiés ont le droit de conserver certaines données bancaires => Qui n'a JAMAIS reçu une commande par téléphone avec paiement par CB : PCI DSS obligatoire

 

4 - A partir du moment où la transaction ne s'effectue pas sur votre site => Dans ce cas, à quoi sert le PCI DSS SAQ A ?

 

SAQ A has been developed to address requirements applicable to merchants whose cardholder data functions are completely outsourced to validated third parties, where the merchant retains only paper reports or receipts with cardholder data.

 

SAQ A merchants may be either e-commerce or mail/telephone-order merchants (card-not-present), and do not store, process, or transmit any cardholder data in electronic format on their systems or premises. 

 

Source : https://www.pcisecuritystandards.org/documents/SAQ_A_v3.pdf

 

Traduction Google :

 

SAQ A a été développé pour répondre aux besoins des commerçants dont détenteur des données fonctions sont complètement externalisé à des tiers validées, où le commerçant ne conserve que les rapports papier ou des reçus avec les données des titulaires de cartes.

 

Marchands SAQ A peuvent être soit e-commerce ou des marchands par courrier / téléphone ordre (carte non présente), et ne pas stocker, traiter ou transmettre des données de titulaire de carte au format électronique sur leurs systèmes ou des locaux.

Edited October 26, 2015 by Oron
Merci de ne pas écrire en rouge, le rouge est réserver aux modérateurs :) (see edit history)

[Eolia]

Ben vous vous répondez à vous même.

 

Avez-vous déjà vu dans votre BO ou votre base de données, le moindre numéro de carte bancaire client ????

 

Il faut arrêter de crier au loup quand il n'y en a pas.

 

De plus ne mélangez pas loi française et loi américaine. Aux US il n'existe pratiquement pas de contrat VAD donc les shops stockent les n° de CB pour effectuer les transactions offline, ce qui ne doit pas être votre cas^^

[HandyFR]

> De plus ne mélangez pas loi française et loi américaine

 

Je parle BIEN de la Loi Française :

 

Est-ce que PCI DSS s’applique à moi ?

 

Le programme PCI DSS s’applique à tout acteur qui stocke, traite ou transmet des données de cartes bancaires. Le nombre de données cartes manipulées importe peu même si le risque est proportionnel au volume de transactions de paiement traitées. Les acteurs qui traitent manuellement et stockent des supports papier contenant des données de cartes bancaires sont également concernés (reçus papier, talon de commande, données reçues par fax ou mail.

 

Source : http://www.cartes-bancaires.com/IMG/pdf/PCIDSS.pdf

 

(Désolé, j'avais oublié le FAX)

 

Merci de lire TOUTES les documentations PCI DSS.

 

PCI DSS obligatoire

Edited October 26, 2015 by Oron
Merci de ne pas écrire en rouge, le rouge est réserver aux modérateurs :) (see edit history)

[Eolia]

ééééééh on se calme !

 

Pas besoin d'écrire en rouge majuscule et souligné, hein !

 

Le document que vous citez et que j'avais mis en lien plus haut, est un document américain traduit en français

 

Le PCI SSC est une organisation américaine dont le rôle est de définir les standards PCI et de gérer leur cycle de vie pour le compte de la communauté des acteurs concernés, réseaux, établissements bancaires et marchands. Le PCI SSC maintient également une liste de sociétés agréées pour effectuer les contrôles de conformité et les analyses de vulnérabilité des systèmes d’information. Enfin le PCI SSC dispense des formations (ISA, Internal Security Assessor), qualifie les auditeurs de sécurité (QSA, Qualified Security Assessor)) habilités à réaliser des audits sur site et approuve les fournisseurs de solutions de sécurité pour effectuer des scans de vulnérabilité (ASV, Approved Scanning Vendor). La présentation du PCI SSC et les standards associés sont disponibles sur le site de PCI SSC à l’adresse https://www.pcisecuritystandards.org

 

Jamais la loi française n'a utilisé cette terminologie.

 

Alors on se calme et on va faire un petit jogging pour se détendre, ok ?

[Mediacom87]

Bonjour,

 

Le PCI DSS est totalement inutile pour tout utilisateur de PrestaShop ne faisant aucun encaissement lui même.

 

Comme le précise Eolia, dans 99% des cas en France, on utilise des contrat de Vente à Distance (VAD) auprès d'établissement bancaire sous traitant auprès d’organismes certifiés. Ainsi les données bancaires ne sont que traitées par ces organismes et jamais par la boutique PrestaShop elle même.

 

Lorsque je fait mon paiement je bascule sur une page sécurisé par des solution comme ATOS, SystemPay, LyraNetwork, Payzen, Ogone, ... mais ma boutique n'a jamais accès à ces données.

 

Donc je ne comprends pas votre réaction concernant cette alerte ... qui oserait envoyer ses données bancaires par fax, et lorsque l'on encaisse par téléphone la majorité du temps on tape les données sur la page de gestion du système bancaire donc qui lui et PCI DSS ?

[HandyFR]

Le rouge c'est pour souligner les points importants, afin de focaliser l'œil du lecteur pressé.

 

Vous parlez d'un organisme américain pcisecuritystandards.org

 

Je vous parle d'un organisme Français le GIE des Cartes Bancaires CB dont le document précédent (http://www.cartes-bancaires.com/IMG/pdf/PCIDSS.pdf) émane :

 

GIE des Cartes Bancaires CB 
Groupement d’Intérêt Economique régi par l’ordonnance du 23 septembre 1967. 

 

Source : http://www.cartes-bancaires.com/spip.php?rubrique16

 

CB est un Groupement d’Intérêt Economique (GIE) qui regroupe environ 130 établissements prestataires de services de paiement. Il assure les missions suivantes : la gouvernance, la sécurité et la promotion du système CB, ainsi que le développement de produits et services et l’innovation en matière monétique dans le respect des règles législatives et réglementaires. 

 

Source : http://www.cartes-bancaires.com/spip.php?rubrique7

 

Même si vous recevez INVOLONTAIREMENT des données CB sur papier, fax, mail (car qui dit mail, dit système informatique, et si votre serveur mail n'est PAS conforme PCI DSS, on ose à peine imaginer la suite si un petit génie vous subtilise ce numéro de CB et s'en vante en donnant tous les détails sur les forums sous surveillance de ce fameux GIE - ou votre petit voisin fouille votre poubelle et trouve les données papiers et se fait pincer par les forces de l'ordres) :

 

 

PCI DSS obligatoire

 

Source : http://www.cartes-bancaires.com/IMG/pdf/PCIDSS.pdf

 

Je sais, obtenir la Conformité PCI DSS est compliqué, c'est contraignant (1 Scan réussi de votre réseau tous les 4 mois mini) et c'est cher, MAIS C'EST OBLIGATOIRE. Et cela responsabilise les acteurs.

 

Et c'est AUSSI pour le bien de vos clients.

Edited October 26, 2015 by Oron
Merci de ne pas écrire en rouge, le rouge est réserver aux modérateurs :) (see edit history)

[Mediacom87]

Des codes de CB par Fax ??? Email ???? Papier ?????

 

Mais dans quel monde vivons nous.

 

c'est la version Web -2.0

[Eolia]

Vous devriez vraiment apprendre à lire: http://www.cartes-bancaires.com/spip.php?article96

 

Les banques affiliées au groupement CB ont décider de suivre les recommandations du PCI DSS. C'est leur choix, et c'est tant mieux.

Cette organisme n'est en aucun cas imposé par la loi française à ce sujet.

 

Pour faire simple:

 

Cet organisme a décidé de s'appuyer sur ce texte pour obtenir un niveau de confiance auto-certifié.

Le référencement CB garantit aux commerçants et aux acquéreurs CB, l’existence d’une offre en langue française, adaptée au marché CB ainsi que la confidentialité totale des données recueillies pendant ces audits. 

Je ne vois nulle part une quelconque référence à la loi française.

Cette organisme délivre le logo CB, que vous utilisez déjà certainement sur votre site.

 

Mais tant que vous, e-commerçant, vous ne stockez, ni n'avez accès à ces données, vous n'êtes pas concerné.

 

Si vous n'avez toujours pas compris et que vous vous prenez pour un organisme bancaire, on ne peut plus rien pour vous...

 

Ce texte de la CNIL (Organisme français) peut vous aider à réfléchir

 

 

Sur la durée de conservation des données.

La commission considère que la durée de conservation des données relatives à la carte doit correspondre au délai nécessaire à la réalisation de la transaction, c'est-à-dire au paiement effectif qui peut être différé à la réception du bien, augmenté, le cas échéant, du délai de rétractation prévu pour les ventes de biens et fournitures de prestations de services à distance (art. L. 121-20 du code de la consommation).

S'agissant des commerçants en ligne, le risque financier d'une utilisation non autorisée pesant in fine sur ces derniers, dès lors qu'ils n'ont pas mis en œuvre un système d'authentification de leurs clients, la commission estime qu'ils peuvent conserver le numéro de carte et la date de validité de celle-ci, à l'exclusion du cryptogramme visuel, dès lors que cette conservation est nécessaire pour la gestion des éventuelles réclamations des titulaires de cartes de paiement. Les données peuvent être conservées pour la durée prévue par l'article L. 133-24 du code monétaire et financier, en l'occurrence treize mois suivant la date de débit. Ce délai peut être étendu à quinze mois afin de prendre en compte la possibilité d'utilisation de cartes de paiement à débit différé.

Les données ainsi conservées à des fins de preuve doivent être versées en archives intermédiaires et utilisées uniquement en cas de contestation de la transaction. Les numéros de carte de paiement conservés à cette fin doivent faire l'objet de mesures de sécurité techniques, telles que décrites à l'article 5 de la présente recommandation, visant à prévenir toute réutilisation illégitime.

Dans les cas où les données relatives à la carte seraient collectées par un organisme assujetti aux obligations de lutte contre le blanchiment de capitaux pour offrir une solution de paiement à distance, elles peuvent être conservées jusqu'à la clôture du compte puis, le cas échéant, archivées conformément aux obligations légales en la matière.

La commission observe que la finalité du cryptogramme visuel est de s'assurer que le porteur est bien en possession du support physique de la carte. Dès lors, toute conservation du cryptogramme est susceptible de porter atteinte à cette finalité. En conséquence, la conservation du cryptogramme est interdite au-delà du temps strictement nécessaire à la réalisation de la transaction, y compris en cas de paiements successifs ou de conservation du numéro de la carte pour les achats ultérieurs.

Dans les cas où le numéro de la carte serait utilisé à d'autres fins, telles que la constitution d'un compte client visant à faciliter les achats ultérieurs ou la lutte contre la fraude, sa durée de conservation ne saurait excéder la durée nécessaire à l'accomplissement de cette finalité.

[HandyFR]

Il serait intéressant de savoir :

 

1 - Si vous avez BIEN lu les documents du GIE des Cartes Bancaires CB :

 

Est-ce que PCI DSS s’applique à moi ?

 

Le programme PCI DSS s’applique à tout acteur qui stocke, traite ou transmet des données de cartes bancaires. Le nombre de données cartes manipulées importe peu même si le risque est proportionnel au volume de transactions de paiement traitées. Les acteurs qui traitent manuellement et stockent des supports papier contenant des données de cartes bancaires sont également concernés (reçus papier, talon de commande, données reçues par fax ou mail.

 

Source : http://www.cartes-ba.../pdf/PCIDSS.pdf

 

2 - Si vous avez DÉJÀ effectué une conformité PCI DSS

 

3 - Si vous avez DÉJÀ répondu à un questionnaire SAQ de plus de 100 questions

 

Ensuite, et seulement ensuite, vous affirmerez :

 

PCI DSS obligatoire

Edited October 26, 2015 by Oron
Merci de ne pas écrire en rouge, le rouge est réserver aux modérateurs :) (see edit history)

[Oron]

Je crois que c'est assez bien expliquer, Prestashop n'est pas développé pour garde des informations bancaires, donc les informations carte bancaire ne reste pas stocké dans prestashop.

 

Même si vous avez un api la transmission des données ne sont pas sur le site du e-commerçant, mais chez la société de système bancaire et / ou votre banque en direct.

 

Et si vous notez sur un papier le numéro de la CB nom, date de valeur et cryptogramme pour une raison quelconque vous détruisez le papier après usage, vous n'avez pas à la garder dans un classeur chez vous.

Edited October 26, 2015 by Oron (see edit history)

[Eolia]

Alors là c'est désepéré, on ne peut plus rien pour vous...

 

Le programme PCI DSS s’applique à tout acteur qui stocke, traite ou transmet des données de cartes bancaires. Le nombre de données cartes manipulées importe peu même si le risque est proportionnel au volume de transactions de paiement traitées. Les acteurs qui traitent manuellement et stockent des supports papier contenant des données de cartes bancaires sont également concernés (reçus papier, talon de commande, données reçues par fax ou mail.

 

Vous êtes dans un de ces 3 cas ?

• Vous stockez des données bancaires ?
• Vous traitez des données bancaires ?
• Vous transmettez des données bancaires ?

 

Je ne crois pas, non... ou alors vous avez bien modifié le code de Prestashop^^ et là vous devenez un organisme de paiement qui doit adhérer au GIE. Mais c'est un autre débat.

[HandyFR]

Une fois de plus, vous n'avez NI lu les documents NI réalisé une Conformité PCI DSS.

 

Les géants de l'industrie des cartes bancaires ne sont ni des enfants de cœur, ni des associations caritatives :

 

Ils protègent leurs intérêts, et gare à ceux qui l'ignore superbement !

 

Renseignez-vous sur la conformité PCI DSS SAQ A (la plus basse pour les e-commerçants) et revenez.

 

La conformité PCI DSS est une norme de SÉCURISATION.

 

Laisseriez-vous la sécurité de côté ?

 

Car si votre site est conforme PCI DSS cela signifie qu'il a passé avec succès plusieurs milliers de tests de hacks, pénétration, brute force, SQL Injection, etc...

 

En sécurisant votre site, vous protégez les intérêts des géants de l'industrie des cartes bancaires.

 

Dans le cas contraire, vous jouez CONTRE leurs intérêts.

 

Être conforme PCI DSS c'est s'éviter bien des soucis et SÉCURISER son site d'une façon efficace.

 

Votre site n'est-il pas votre gagne pain ?

 

Et si demain vous perdez TOUT à cause d'un pirate du Mercredi après-midi qui s'est introduit sur votre serveur par une faille grossière ?

 

Qu'il a REMPLACÉ VOS paramètres bancaires français, par SES paramètres bancaires ÉTRANGER (disons, dans une banque en Syrie, en Corée du Nord, ou encore au Nigéria) ?

 

Pensez-vous que les géants de l'industrie des cartes bancaires viendront vous dire MERCI ?

 

Ou bien, pensez-vous que les géants de l'industrie des cartes bancaires viendront vous dire que VOUS ÊTES RESPONSABLE ?

 

Les géants de l'industrie des cartes bancaires protègent LEURS intérêts :

 

PCI DSS obligatoire

[Eolia]

Mais lol, c'est ridicule à un point !

 

Si un hacker du mercredi arrivait (mais il rêve) a pénétrer un de mes sites, et bien il ne trouverait aucune donnée bancaire concernant mes clients, donc je suis tranquille

 

De plus le PCI DSS ne vous protège pas des hackers^^

 

Mais si cela vous amuse d'essayer d'effrayer la population, grand bien vous fasse, J'avais oublié que l'on arrivait à la période d'Halloween :)

 

Je vous envoie une poignée de bonbons, attention aux caries !

[HandyFR]

J'ai marqué un point décisif n'est-ce pas ?

 

Se faire pénétrer son serveur par une faille grossière, œuvre d'un gamin qui change VOS paramètres bancaire Français, par SES paramètres bancaire étranger (Syrie, Corée du Nord, ou Nigéria) !

 

Mais je vois que Monsieur est plus fort que les MILLIERS d'ingénieurs en sécurité qui se sont DÉJÀ fait mettre la HONTE par des CENTAINES d'adolescents pré-pubères...

 

La liste des sites hackés de la sorte est longue, inutile d'en rappeler une seule partie.

 

À chaque jour sa peine.

 

À chaque jour sa faille.

 

Pour prouver votre BONNE FOI, une seule solution :

 

PCI DSS obligatoire

[2FR3]

Bonsoir,

 

Ce que l'on tente de vous expliquer simplement, c'est que vous n’êtes tout simplement pas un acteur de transaction bancaire. Vous et votre e-commerce faites confiance a des services externes tel que Paypal pour nommer le plus connu, mais aussi bien d'autres.

1. Le client fait commande
2. Vous transmettez le montant et d'autre infos a ces services (url d'allé)
3. Les services les traite
4. Les services indiquent a Prestashop le statut de la transaction (url de retour)

A aucun moment vous transmettez des données bancaires, vous transmettez des informations de commande a des SERVICES TIERS.

[2FR3]

J'ai marqué un point décisif n'est-ce pas ?

 

Se faire pénétrer son serveur par une faille grossière, œuvre d'un gamin qui change VOS paramètres bancaire Français, par SES paramètres bancaire étranger (Syrie, Corée du Nord, ou Nigéria) !

 

Mais je vois que Monsieur est plus fort que les MILLIERS d'ingénieurs en sécurité qui se sont DÉJÀ fait mettre la HONTE par des CENTAINES d'adolescents pré-pubères...

 

La liste des sites hackés de la sorte est longue, inutile d'en rappeler une seule partie.

 

À chaque jour sa peine.

 

À chaque jour sa faille.

 

Pour prouver votre BONNE FOI, une seule solution :

 

PCI DSS obligatoire

Vous avez émis ce message pendant que j’écrivais le mien.

Prestashop, jusqu'a preuve du contraire n'a pas et n'a pas eu de faille de sécurité de la sorte.

 

Si votre serveur n'est pas sécurisé, la faute n'est pas a Prestashop.

[Oron]

Sur le serveur des sites des e-commerçant les données, ne sont pas stocké sur le serveur du e-commerçant, Prestashop n'est pas conçu pour garder les données bancaires

a moins que j'ai du louper un module transparent

 

Sur votre serveur les seule données bancaires c'est le RIB IBAN BIC et avec ça les hackers ne vont pas modifier des données bancaires d'une CB et ni l'envoyer en Syrie (tiens pourquoi la syrie ?)  au Nigeria ? (tiens les brouteurs c'est plus au Benin Ghana Cöte d'ivoire) Corée du Nord ?

 

Bref arrêtez de propager n'importe quel informations. Merci de dialoguer convenablement vous n'êtes pas obligé d'être d'accord, mais restez ZEN merci.

[Eolia]

Non, vous n'avez marqué aucun point, d'ailleurs j'ai passé l'âge de jouer à ce genre de gamineries.

 

• Vous êtes simplement obtu et hermétique à toute explication.
• Vous diffusez des informations que vous ne comprenez pas, ni ne maîtrisez
• Vous mélangez loi et choix d'un organisme
• Vous connaissez mal le fonctionnement de Prestashop

Je vous souhaite un jour de comprendre les textes que vous lisez

 

Je lâche ce topic qui devient stérile, d'autres sujets plus sérieux m'attendent.

[Mediacom87]

Franchement vous découvrez le paiement sur Internet il y a 8 mois et vous venez avec des données aberrantes et vous pensez que nous avons tord alors que nous faisons du ecommerce et installons des systèmes de paiement depuis des années.

 

Vous devez être du genre à vous renseigner sur les forum de site sur la santé lorsque vous avez une maladie plutôt que d'écouter votre médecin ?

 

Nous ne sommes pas pour le débat mais jusqu'à maintenant à part répéter vos âneries en boucle vous n'avez rien démontré, alors revenez vers nous avec des arguments valables et documentés.

[HandyFR]

Je vous parle d'une INTRUSION grossière, du CHANGEMENT de la REDIRECTION de vos moyens de paiements vers UNE BANQUE ÉTRANGÈRE, et que me répondez-vous ?

 

Meuuuh non, impossible !

 

Langue de bois ou politiquement correct ?

 

Impossible, comme TOUS les sites hackés TOUS les jours (du petit poucet, au géant) ?

 

QUI sera tenu responsable ? VOUS.

 

Un scan de conformité PCI DSS régulier dûment réalisé dans les règles de l'art apporterait la preuve de votre BONNE FOI.

 

La "bonne foi" est la croyance qu'a une personne de se trouver dans une situation conforme au droit, et la conscience d'agir sans léser les droits d'autrui. C'est une notion fréquemment utilisée dans notre législation pour atténuer les rigueurs de l'application de règles positives.

 

Source : http://www.dictionnaire-juridique.com/definition/bonne-foi.php

 

Reste à savoir si NE RIEN FAIRE POUR SÉCURISER SON SITE EST UNE APPLICATION DE RÈGLES POSITIVES ?

 

Ou si engager une démarche de conformité PCI DSS est l'essence même de l'application de règles positives ?

 

Débattez Messieurs.

[Eolia]

Je n'ai jamais vu un tel acharnement dans la bêtise...

 

C'est incroyable de constater que vous vous enfoncez dans vos erreurs.

 

Vous mélangez tout.

 

La sécurité d'un site est une chose, le traitement des données bancaires en est une autre.

Pour ce second point, la loi française est claire: vous n'avez même pas le droit de le faire car vous n'êtes pas accrédité pour. Alors effectivement, si vous stockez ces données vous êtes déjà en tort, et en plus si vous vous faites hacker et que celles-ci sont diffusées, vous êtes une deuxième fois en tort. Ne comptez pas sur moi pour vous apporter des oranges.

 

La sécurité de votre site est de votre entière responsabilité à partir du moment où vous stockez des informations personnelles relatives à vos clients/membres. Cela n'a rien à voir avec Prestashop qui est très bien sécurisé à ce niveau.

Si un méchant pirate arrive à accéder aux données de votre site ce sera par un autre moyen (accès ssh, mots de passe stockés en clair sur votre pc infecté, un WordPress mal configuré et pas à jour sur le même hébergement, etc...). Vous serez donc effectivement jugé responsable pour négligence et votre soit-disant affiliation à un programme tel que PCI DSS ne vous sauvera pas.

 

Je me répète, vous n'êtes pas un organisme bancaire, alors arrêtez de prendre la grosse tête.

Vous affirmez n'importe quoi sans comprendre ce que vous dites.

Vous mélangez loi et choix sécuritaires

 

En fait je pense que vous êtes assez limité intellectuellement, j'en suis désolé pour vous.

 

Si vous essayez de devenir célèbre en racontant n'importe quoi, allez postuler dans les émissions de télé-réalité, cela vous conviendra parfaitement et c'est juste à votre niveau.

[Olecorre]

Bonjour,

 

Mettre en place une conformité PCI DSS ca ce compte en centaines de milliers d'euros. Un site ecommerce landa, peut mettre un SSL en place mais rien de plus tout ce qui est transaction CB est externalisé.

 

En 20 ans d'internet, je n'ai jamais eu un client qui a eu ces problèmes "Je vous parle d'une INTRUSION grossière, du CHANGEMENT de la REDIRECTION de vos moyens de paiements vers UNE BANQUE ÉTRANGÈRE'

[Mediacom87]

En 20 ans d'internet, je n'ai jamais eu un client qui a eu ces problèmes "Je vous parle d'une INTRUSION grossière, du CHANGEMENT de la REDIRECTION de vos moyens de paiements vers UNE BANQUE ÉTRANGÈRE'

Sachant en plus que nous travaillons sur des projets de 500 à 5 millions de CA donc la taille n'a pas de lien mais en gros en France les site accrédité PCI DSS sont des sites comme la fnac, vente privée ... des énormes structures gérant des centaines de millions de CA et ayant des millions de clients et qui souhaite apporter un service supplémentaire à leur clients.

[iorek]

Bonjour,

 

Il est certain que comprendre PCI-DSS n’est pas une mince affaire. En premier lieu, il ne faut pas non plus en faire une montagne car il n’existe pas UNE certification PCI-DSS mais différents niveaux à respecter. Selon le niveau, la procédure peut être triviale ou extrêmement complexe.

 

Pour commencer, dois-je me conformer à PCI-DSS ?

 

Allons voir ce document en Français :

 

Page 5 :

La norme PCI DSS s’applique à toutes les entités impliquées dans le traitement des cartes de paiement, notamment les commerçants, les entreprises de traitement, acquéreurs, émetteurs et prestataires de services, ainsi qu’à toutes les autres entités qui stockent, traitent ou transmettent des données du titulaire (CHD) et/ou des données d’identification sensibles (SAD). Les 12 clauses de la norme PCI DSS sont détaillées ci-dessous.

 

Mon interprétation est donc, que ce ne sont pas uniquement les données sensibles (numéro de carte) qui semblent concernées mais les données du porteur également (email pour le ticket par exemple). Il est vrai que ce pourrait être sujet à interprétation, c’est probablement pour cela que dans cette version ils identifient explicitement les commerçants comme concernés. J’ai donc le sentiment qu’il n’y a plus réellement d’interprétation possible avec cette formule qui il est vrai diffère de celles auparavant véhiculées.

 

OK, je dois donc me conformer à PCI-DSS, mais comment faire en sorte que ce ne soit pas un sacerdoce ?

 

Avec PCI-DSS 3, c’est réellement plus clair. Le résumé est ici et pour faire vite, je dois me conformer à :

 

SAQ A :

• Le site marchand est complètement géré par un prestataire PCI-compliant, OU
• Le site marchand intègre un paiement via redirection ou via iFrame vers un service de paiement.

SAQ A-EP :

• Le site marchand intègre une API depuis le navigateur client à destination d’un service de paiement sans passer par les serveurs du marchand, OU
• Le site marchand intègre un paiement via redirection ou via iFrame vers un service de paiement MAIS certains éléments de ces pages ont pour origine le site marchand (CSS, JS…).

SAQ D-Merchant :

• Quand le marchand ne satisfait ni SAQ A ou SAQ A-EP, OU
• Le marchand enregistre des données de carte, OU
• La page de paiement est gérée par le marchand.

 

Ensuite, pour voir ce qu’il faut faire pour satisfaire ces exigences, rendez-vous ici mais notez que le premier niveau SAQ A reste relativement simple à mettre en œuvre : https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-1_SAQ_A_rev1-1.pdf.

 

Mon interprétation est donc, j'utilise Prestashop avec un module réalisant une intégration d'un fournisseur de paiement en respectant SAQ A, je dois juste remplir ce formulaire.

[HandyFR]

Bonjour,

 

Il est certain que comprendre PCI-DSS n’est pas une mince affaire.

 

[...]

 

 

SAQ A :

• Le site marchand est complètement géré par un prestataire PCI-compliant, OU
• Le site marchand intègre un paiement via redirection ou via iFrame vers un service de paiement.

SAQ A-EP :

• Le site marchand intègre une API depuis le navigateur client à destination d’un service de paiement sans passer par les serveurs du marchand, OU
• Le site marchand intègre un paiement via redirection ou via iFrame vers un service de paiement MAIS certains éléments de ces pages ont pour origine le site marchand (CSS, JS…).

[...]

Mon interprétation est donc, j'utilise Prestashop avec un module réalisant une intégration d'un fournisseur de paiement en respectant SAQ A, je dois juste remplir ce formulaire.

 

Bravo, et merci d'avoir lu les documents PCI DSS.

 

Oui, le SAQ A est très simple à réaliser et à obtenir.

 

Oui, le SAQ A est un simple questionnaire. Mais celui-ci vous met en situation de COMPRENDRE qui sont les véritables Maîtres du jeu.

 

La lacune de SAQ A est qu'aucun SCAN n'est nécessaire, c'est pourquoi il est préférable de réaliser la conformité supérieure : le SAQ A-EP.

 

Oui, le SAQ A-EP possède un questionnaire de plus de 120 questions qui vous fait rentrer dans la logique de sécurisation voulue par les géants de l'industrie des Cartes Bancaires.

 

Oui, le SAQ A-EP nécessite un SCAN de VOS réseaux (site et IP personnelle (chez votre FAI, même si celle-ci est dynamique)).

 

Et là, vous découvrirez PEUT-ËTRE des problèmes de sécurité, qu'il sera OBLIGATOIRE de résoudre pour obtenir la Conformité PCI DSS. De plus, il est nécessaire de faire AU MINIMUM un SCAN tous les quatre mois afin de conserver cette conformité.

 

NON, une conformité ne coûte PAS des centaines de milliers d'Euros pour un petit e-Commerçant comme nous.

 

Vous pouvez en trouver pour moins de 250 $, quel que soit le niveau de SAQ demandé, de SAQ A à SAQ D.

 

Pensez à TrustWave :

 

https://www.trustwave.com/Services/Compliance-and-Risk/PCI-Services/

 

ControlScan (que j'utilise) :

 

https://www.controlscan.com/compliance/

 

Pour trouver les bonnes affaires, lancez cette recherche Google : "Nom de produit" cheap

 

Vous trouverez ainsi cette promotion :

 

http://www.sslpool.com/trustkeeper-pci-compliance-scan

 

Il existe une conformité PCI DSS à 99 $ (merci de me contacter en MP pour connaître l'URL privée pour bénéficier de cette promotion).

 

Mais avant toute chose, merci de penser "GRATUIT", car oui, IL Y A DES SERVICES DE SCAN PCI DSS GRATUITS (bien entendu, vous n'obtiendrez PAS de conformité PCI DSS avec un site de SCAN gratuit, mais au moins, vous connaîtrez votre niveau de sécurité) !

 

1 - En tout premier lieu, testez votre certificat SSL GRATUITEMENT avec Qualys :

 

https://www.ssllabs.com/ssltest/analyze.html?d=prestashop.com&latest

 

2 - Une fois que vous aurez obtenu la note A à votre test de certificat SSL, vous pourrez passer un SCAN PCI DSS GRATUIT de votre site, toujours avec Qualys :

 

https://freescan.qualys.com/freescan-front/

 

Vous pouvez essayer gratuitement le service de Comodo (que je n'ai pas essayé) :

 

https://www.hackerguardian.com/

 

Ou encore, utiliser l'un des 15 outils de "Network Vulnerability Scanner" :

 

http://www.openfoundry.org/en/resourcecatalog/Security/Network-Vulnerability-Scanner

 

Ou bien ceux listés sur cette page :

 

http://www.securitywizardry.com/index.php/products/scanning-products/network-scanners.html

 

ATTENTION certains services sont gratuits, mais d'autres sont TRÈS chers, lisez bien les clauses !

 

Avec ce ou ces rapports vous vous ferez une idée précise du niveau de sécurité site.

 

~~~~~~~~~~~~

 

Pour conclure, pourquoi le SAQ A existe, si il est si facile à obtenir d'après vous ?

 

Peut-être est-ce la volonté des géants de l'industrie des Cartes Bancaires, mais quelle est leur intention véritable ?

 

Je vous laisse SEUL JUGE.

 

(Relisez mes posts précédents de ce thread pour comprendre ce que je pense de cette affirmation).

[2FR3]

Houlala ...

[KevinNash]

 

1 - Les organismes certifiés ont le droit de conserver certaines données bancaires => Qui n'a JAMAIS reçu un mail client contenant INVOLONTAIREMENT un numéro de CB : PCI DSS obligatoire

 

2 - Les organismes certifiés ont le droit de conserver certaines données bancaires => Qui n'a JAMAIS reçu un courrier papier client contenant INVOLONTAIREMENT un numéro de CB : PCI DSS obligatoire

 

3 - Les organismes certifiés ont le droit de conserver certaines données bancaires => Qui n'a JAMAIS reçu une commande par téléphone avec paiement par CB : PCI DSS obligatoire

 

1 - Moi JAMAIS.

 

2 - Moi JAMAIS.

 

3 - Moi JAMAIS.

 

Le tout en 6 ans de e-commerce.

 

Numéro de CB par email ou courrier involontairement, j'en rigole encore... Avec le numéro ccv et le code de validation 3D Secure non tant qu'à faire ?

 

Bien fun ce topic mais je suis bien renseigné, grâce à Eolia, merci a lui.

 

Pitié, ne me fais pas une réponse pavé toute surlignée, en couleur et tout le toutim HandyFR, je ne la lirai pas

Edited October 27, 2015 by KevinNash (see edit history)

[HandyFR]

Pas encore convaincu ?

 

Nous sommes le 28 Octobre 2015.

 

N'importe qui peut visualiser ce certificat SSL :

 

 

 

Source : https://goo.gl/Wzm2mQ

 

N'importe qui, car le service Qualys SSLlabs est anonyme et gratuit.

 

N'importe qui, ce peut être un petit génie du Mercredi après-midi.

 

Qu'apprendra ce "N'importe qui" à sa lecture ?

 

Que ce certificat souffre de 1 faiblesse et 1 vulnérabilité :

 

1 - Une faiblesse Diffie-Hellman, rendue public le 20 MAI 2015. Soit il y a 5 mois.

 

Source : https://weakdh.org/

 

2 - Une vulnérabilité POODLE rendue public le 14 OCTOBRE 2014. Soit il y a plus de 12 longs mois.

 

Source : https://fr.wikipedia.org/wiki/POODLE

 

Qu'est-ce qu'une attaque POODLE ?

 

Wikipedia nous informe ainsi :

 

POODLE (de l'anglais Padding Oracle On Downgraded Legacy Encryption) est une vulnérabilité logicielle présente dans le protocole SSL 3.0, qui permet de déchiffrer les informations échangées entre le navigateur Web de la victime et le serveur sécurisé, avec  l'attaque de l'homme du milieu.

 

Source : Source : https://fr.wikipedia.org/wiki/POODLE

 

Comprenez-vous où peut mener cette vulnérabilité ?

 

À qui appartient ce certificat ?

 

À un microbe comme nous, ou à un grand groupe multinational brassant des millions d'euros de chiffre d'affaires sur son site avec un centaine de milliers de visiteurs chaque mois en France seule ? 

 

Source : http://goo.gl/XTwNdR

 

Comprenez-vous ce que risque ce grand site ?

 

Cela fait 5 mois que la faiblesse Diffie-Hellman n'a pas été comblée. 12 longs mois que la vulnérabilité POODLE n'a pas été comblée.

 

Diffie-Hellman et POODLE == Double attaque de l'homme du milieu

 

Définition :

L'attaque de l'homme du milieu

 

Dans l'attaque de l'homme du milieu, l'attaquant a non seulement la possibilité de lire, mais aussi de modifier les messages.

Le but de l'attaquant est de se faire passer pour l'un (voire les 2) correspondants, en utilisant, par exemple :

• l'ARP Spoofing : c'est probablement le cas le plus fréquent. Si l'un des interlocuteurs et l'attaquant se trouvent sur le même réseau local, il est possible, voire relativement aisé, pour l'attaquant de forcer les communications à transiter par son ordinateur en se faisant passer pour un « relais » (routeur, passerelle) indispensable. Il est alors assez simple de modifier ces communications ;
• le DNS Poisoning : L'attaquant altère le ou les serveur(s) DNS des parties de façon à rediriger vers lui leurs communications sans qu'elles s'en aperçoivent ;
• l'analyse de trafic afin de visualiser d'éventuelles transmissions non chiffrées ;
• le déni de service : l'attaquant peut par exemple bloquer toutes les communications avant d'attaquer un parti. L'ordinateur ne peut donc plus répondre et l'attaquant a la possibilité de prendre sa place.

 

Source : https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu#L.27attaque_de_l.27homme_du_milieu

 

Tant de désinvoltures en matière de sécurité sont-elles un modèle à prendre en exemple ?

 

Et vous, votre site souffre t-il des mêmes faiblesses et vulnérabilités GROSSIÈRES ?

 

Grossières, car la vérification de la sécurisation d'un certificat SSL est PUBLIC, GRATUITE et ANONYME, c'est la partie émergée de l'iceberg. "N'importe qui" peut la réaliser librement, à la recherche de je ne sais quoi...

 

Généralement, un SCAN PCI DSS révèle 2, 10 ou 100 fois plus de faiblesses et vulnérabilités.

 

Si VOUS ne faites pas un SCAN PCI DSS régulier, "N'importe qui" pourra le faire à votre place avec tout un tas d'outils gratuits. Les forums d'entraide sur le sujet sont à foison. Ensuite, ce  "N'importe qui" prendra les décisions qu'il voudra :

 

Vous avertir comme moi. Ou vous nuire comme...  "N'importe qui".

 

Laisseriez-vous ce petit "N'importe qui" devenir votre dernier "N'importe quoi" ?

 

Laisseriez-vous "N'importe qui" prendre votre avenir entre ses mains étrangères ?

 

Ou préféreriez-vous avoir un site sécurisé ICI et CHEZ VOUS ?

 

 

 

Mon interprétation est donc, j'utilise Prestashop avec un module réalisant une intégration d'un fournisseur de paiement en respectant SAQ A, je dois juste remplir ce formulaire.

 

 

 

Conformité PCI DSS obligatoire

[Eolia]

Ha ha ha !!! En tout cas on rigole bien

 

Vous devez être un très bon commercial dans votre domaine pour arriver à faire gober n'importe quoi à n'importe qui.

 

J'espère que ceux qui liront ce post sauront discerner la vérité dans cette soupe commerciale, dont le seul but visiblement est de vendre ces accréditations "bidon".

 

La seule chose à retenir est qu'il est de la responsabilité de chacun de veiller à assurer la meilleure protection des données personnelles stockées sur vos serveurs.

Aucune certification ou label ne vous protégera, c'est à vous de prendre les moyens techniques nécessaires.

 

Pour Info, cher Monsieur, Ni le PDG d'Orange, ni celui de Sony n'ont été inquiétés par la justice lors du piratage de leurs fichiers ces derniers mois.

Maintenez vos sites à jour, changez régulièrement vos mots de passe, ne les stockez pas en clair, éviter de conserver des données personnelles qui ne vous sont pas utiles et votre bonne foi sera reconnue en cas de problème.

 

Ça me rappelle ceux qui annonçaient la fin du monde en 2012... personnellement je n'ai rien vu

[Oron]

Bonjour

 

Je pense que tous le monde à compris, maintenant à chacun de faire la part des choses. Le forum n'est pas pour imposer, ni pour ameuter les gens.

De plus que les caractères gras et de toute hauteur commencent à faire mal au yeux (tant que vous n'avez pas des yeux abîmé par des coups d'arc, ça vous gênera pas)

 

Je vous invite à arrêter ce dialogue (de sourd) sinon je crains qu'il va faire 10 pages du forum et pendant 10 ans. (oups au bout de 10 ans 1000 pages au moins

[Mediacom87]

Moi j'ai pas réussi à comprendre ce qui est de la citation de texte de lois ou des discours d'illuminé inculte.

 

Comme le dit très simplement Eolia, la sécurité est importante, mais le label ne changera rien.

 

Par contre j'aime beaucoup la bonne blague du dépôt de données détourné au profit d'un autre ... donc je résume, le gars arrive sur la page de paiement de mon site, il clique sur paiement CB qui envoie donc une liste de données crypté à l'aide d'un certificat unique ... et le gars il va réussir à récupérer entre mon site et la banque ... ben je sais pas quoi car les données ne concerne qu'un paiement donc si j'ai pas le paiement sur mon compte je vais m'inquiéter et ne pas livrer.

 

Au moins  on risque pas découvrir des faille poil de cul sur mon certificat SSL puisque je n'en ai même pas lol

 

En tout cas les américain et Google arrivent bien à faire peur pour rien ...

[KevinNash]

Pitié, ne me fais pas une réponse pavé toute surlignée, en couleur et tout le toutim HandyFR, je ne la lirai pas

 

Arghh !!!! Il l'a faite la réponse à n'en plus finir ! Il a même battu son record de longueur et lourdeur !!!!

 

Et moi, j'ai menti car... je l'ai lu

Edited October 28, 2015 by KevinNash (see edit history)

[HandyFR]

Excellent, je vois que le sujet fait toujours autant débat.

 

Je pense avoir fait un large tour d'horizon de la conformité PCI DSS.

 

Je comprends que les exemples factuels développés dans mes messages puissent surprendre, choquer, voire même exacerber les croyances populaires. Cependant, les propos négationnistes niant la réalité des risques de l'Internet du genre : "C'est impossible", "ça n'existe pas", "jamais vu ça" ou encore "Ha ! Ha ! Je suis trop fort !" n'ont jamais sécurisé un site.

 

Seul un SCAN régulier, conforme aux règles PCI DSS (même effectué avec des outils gratuits dont je vous donnai les URLs) dument suivi des actions correctrices appropriées peuvent élever votre site à un niveau de sécurité suffisant pour tenir éloignés les petits génies malfaisants du Mercredi après-midi. D'un autre côté, je comprends aussi l'intérêt particulier de quelques-uns d'enfermer le débat dans le négationnisme : Les coûts de réparation en aval sont généralement bien supérieurs aux coûts de prévention en amont.

 

Mesdames, Messieurs, j'espère seulement avoir éveillé la conscience d'un seul d'entre vous, si tel est le cas, alors mon but aura été largement dépassé.

 

Ceci est mon dernier post sur ce fil de discussion,

 

Bonne chance à vous toutes et tous, et rappelez-vous :

 

Conformité PCI DSS obligatoire

[Mediacom87]

Il serait bon de fermer définitivement ce topic afin d'éviter qu'il remonte inutilement dans les sujets récents.

[Oron]

Bonjour

 

Pour la quiétude du forum et vu que j'avais demander de vous calmer et d'arrêter le dialogue de sourd, et que personne n'écoute, je ferme le topic, je ne vois pas ce qu'il peut apporter de plus. Fermer mais toujours consultable.

 

Merci de votre compréhension.