Le conseil des normes de sécurité des paiements par carte bancaire (PCI) a publié un nouveau questionnaire d’auto-évaluation pour les cyber-marchands qui redirigent leurs clients vers une page de paiement externalisée.

Le conseil des normes de sécurité PCI-DSS vient d’édicter une nouvelle procédure d’auto- évaluation SAQ (Self Assessement Questionnaire), une évolution de la procédure dite SAQ A. Celle-ci concernait les sites commerciaux qui externalisaient totalement leur procédure de paiement en ligne par carte bancaire vers un partenaire bancaire. La nouvelle procédure SAQ A-EP s’adresse aux marchands qui externalisnt même partiellement la fonction de paiement en redirigeant leurs clients vers une page de paiement hébergée et gérée par un fournisseur de service de paiement PSP (Payment Service Provider). Cette démarche contraint les entreprises qui pensaient s’affranchir des contraintes PCI DSS puisque le conseil des normes PCI Council considère désormais que même si le cyber-marchand redirige le consommateur vers un prestataire en charge de réaliser le paiement, il est toujours responsable de la sécurité de la page web qui effectue cette redirection. Il a donc toujours la responsabilité de sa conformité à la norme PCI DSS. Les marchands qui reçoivent un courrier de leur partenaire bancaire à propos du PCI DSS devront donc s’auto-évaluer sur la base du questionnaire SAQ A-EP ou devront faire appel à un certificateur QSA (Qualified Security Assessor).

Pour être précis, le questionnaire SAQ A-EP s’adresse aux cyber-marchands utilisant trois modes de redirection : l’hosted payment page (le site marchand redirige son client vers la page web de paiement hébergée par son fournisseur de service de paiement ou PSP) ; l’Iframe (la page de paiement du fournisseur de service de paiement – PSP – est intégrée dynamiquement dans la page de paiement du commerçant) ; l’API with Direct Post (le formulaire de saisie est livré par le serveur du marchand mais les données postées sont directement envoyées au PSP comme dans les solutions Direct Post Method (DPM) de Authorize.net ou de l’API AJAX de Payline.

Le conseil PCI-DSS considère que les cyber-marchands qui externalisent leur page de paiement réduisent fortement le risque de piratage des cartes mais ne l’annule pas totalement puisque la page de redirection peut être modifiée. Sans rendre la démarche obligatoire, il recommande donc aux marchands de sécuriser leurs serveurs web et la page de redirection. Selon lui, ils demeurent responsables de leur conformité au standard. La banque du site marchand peut donc demander à ce qu’il stipule cette conformité en remplissant le formulaire SAQ A-EP. De quoi s’agit-il ? C’est une version  allégée du PCI DSS mais qui conserve ses principales exigences, celles-ci étant in fine à la discrétion de la banque d’acquisition et de l’éventuel QSA retenu pour accompagner le processus. Ces exigences du PCI SSC sont (par ordre de priorité) :

1. S’assurer que son prestataire de paiement (PSP) est certifié PCI DSS et obtenir que sa responsabilité en matière de sécurité des données des cartes bancaires soit inscrite dans le contrat (PCI DSS 12.8)

2. Isoler son serveur web dans une DMZ (sous réseau étanche) dédiée et filtrer tous les accès entrants / sortants avec un pare feu (PCI DSS 1.4)

3. Surveiller l’intégrité de la page web en charge de la redirection vers le PSP avec un logiciel de contrôle dédié (PCI DSS 11.5)

4. Forcer HTTPS, protocole de transfert hypertexte sécurisé, (SSLv3, TLS 1.2), sur la page de paiement.

5. Faire réaliser chaque année des tests d’intrusion par une société tierce spécialisée (PCI DSS 11.3)

6. Maîtriser les comptes et les mots de passe sur les serveurs web, au niveau système et au niveau de l’interface de backoffice (PCI DSS 7.x et 8.x)

7. S’assurer du développement secure du site web marchand selon l’Open Web Application Security Project ou OWASP (PCI DSS 6.5)

Les autres exigences dépendent du contexte dans lequel travaille chaque cyber-marchand. La liste des exigences applicables dans le SAQ A-EP et le niveau de contrôle sont définies au final par la banque d’acquisition qui est la seule entité en droit de demander le SAQ A-EP ou par l’éventuel Qualified Security Assessor (QSA).