E-skimming : ce que les commerçants doivent savoir sur les nouvelles réglementations en matière de cybersécurité

Face à cette menace, de nouvelles exigences réglementaires entreront en vigueur dès mars 2025 afin de mieux protéger les consommateurs et les détaillants. Cependant, les acteurs du commerce en ligne devront impérativement déployer une série de mesures de sécurité renforcées afin de garantir leur mise en conformité.

Chaque année, des milliers de données de cartes bancaires sont dérobées lors de transactions en ligne, y compris sur des sites web appartenant à des enseignes réputées. Les cybercriminels rivalisent désormais d’ingéniosité, allant jusqu’à exploiter des failles insoupçonnées ailleurs sur les plateformes e-commerce, même lorsque les formulaires de paiement eux-mêmes sont sécurisés. Ainsi, ils parviennent à intercepter discrètement des informations sensibles bien avant qu’elles n’atteignent l’étape pourtant protégée.

C’est dans ce contexte que les nouvelles normes de sécurité PCI DSS 4.0.1 imposent aux détaillants de sécuriser l’ensemble de leur site web, et non plus uniquement leur page de paiement. Si les plateformes de paiement réputées respectent déjà les standards les plus exigeants en matière de sécurité des transactions, réduisant ainsi la charge de conformité pour les commerçants, ces derniers doivent néanmoins mettre en place des mesures supplémentaires pour garantir la protection intégrale de leur site et assurer une conformité totale aux nouvelles exigences.

PCI quoi ?
Les normes PCI DSS définissent les règles de sécurité que tous les commerçants, quelle que soit leur taille, doivent respecter pour protéger les paiements par carte. Régulièrement mises à jour pour faire face aux nouvelles menaces, elles évoluent pour garantir un niveau de protection toujours plus élevé. La dernière version, PCI DSS 4.0.1, introduit de nouvelles obligations qui entreront en vigueur fin mars 2025, incitant les commerçants à renforcer la sécurité de leurs transactions en ligne.

La norme PCI DSS 4.0.1 renforce les exigences de sécurité à l’échelle de l’ensemble du site web afin de prévenir des menaces telles que l’écrémage électronique et d’assurer la protection des transactions en ligne. Conçue pour sécuriser les données des titulaires de cartes, elle adopte une approche globale, intégrant des contrôles rigoureux et une gestion stricte des accès. Concrètement, cela signifie que les commerçants doivent garantir la sécurité de chaque étape du processus de paiement, en s’assurant que tant le formulaire de paiement que l’environnement d’hébergement du site sont entièrement protégés.

La norme PCI DSS 4.0.1 renforce la sécurité avec des règles plus strictes sur les mots de passe et l’authentification multifactorielle. Elle améliore aussi la protection du commerce en ligne et la gestion des risques avec les prestataires tiers. Plus flexible, elle permet aux entreprises d’adapter leur approche tout en offrant des conseils pratiques et des exemples concrets pour faciliter la mise en conformité.
 
Qu’est-ce que cela signifie pour les commerçants en ligne?
Les nouvelles règles demandent aux commerçants de mieux sécuriser leurs pages de paiement et de surveiller les signes de piratage. Deux mesures importantes devront être mises en place avant fin mars 2025 pour garantir la protection des transactions.

Premièrement, les commerçants doivent identifier et contrôler l’ensemble des scripts (logiciels) utilisés sur leur site web, y compris ceux fournis par des tiers. Chaque script doit être autorisé et surveillé régulièrement pour s’assurer qu’il n’a pas été modifié. Il est également obligatoire de tester tout script non autorisé détecté. Cette mesure est essentielle car les pirates informatiques peuvent affecter des scripts tiers pour voler les données de cartes bancaires directement depuis les navigateurs des clients.

Deuxièmement, les commerçants doivent surveiller en permanence leurs pages de paiement pour repérer tout changement suspect, qu’il s’agisse d’une modification du code ou d’une altération de l’affichage dans le navigateur. Ils doivent mettre en place des alertes automatiques pour être informés immédiatement en cas d’activité inhabituelle. Cette vigilance est cruciale, car les pirates peuvent discrètement modifier une page web pour rediriger les clients vers de faux sites ou intercepter leurs données de paiement. Réagir rapidement permet de limiter les risques et de protéger les transactions en ligne.

Les exigences PCI DSS varient en fonction du volume de transactions traité par un commerçant. Plus ce volume est élevé, plus les règles de sécurité sont strictes. Les niveaux de conformité sont définis comme suit :
●  Niveau 1 : Plus de 6 millions de transactions par an – Audit de sécurité annuel obligatoire et tests réguliers.
●  Niveau 2 : Entre 1 et 6 millions de transactions par an – Questionnaire d’auto-évaluation et tests de sécurité trimestriels.
●  Niveau 3 : Entre 20 000 et 1 million de transactions par an – Questionnaire d’auto-évaluation et scans de sécurité trimestriels.
●  Niveau 4 : Moins de 20 000 transactions par an – Conformité requise selon les exigences des banques, avec des tests de sécurité adaptés.
 
Prochaines étapes pour les détaillants
Protéger votre site web, c’est comme sécuriser votre maison. Avant de partir, vous verrouillez les portes, fermez les fenêtres et activez l’alarme pour éviter toute intrusion. Appliquer la norme PCI DSS 4.0.1, c’est faire la même chose pour votre site : renforcer sa sécurité, bloquer les failles et vous prémunir contre l’écrémage électronique. Se conformer à ces exigences n’est pas une option, mais une nécessité pour protéger vos clients et assurer la pérennité de votre entreprise.

Quelques étapes utiles pour la suite :
●  Déterminez votre niveau de conformité
Votre niveau de conformité dépend de la manière dont vous traitez les données des titulaires de cartes. Identifiez votre catégorie parmi les niveaux PCI DSS pour connaître les obligations qui s’appliquent à votre activité.
●  Comprenez les exigences
Consultez la norme PCI DSS v4.0.1 (disponible auprès du Conseil des normes de sécurité PCI) pour bien cerner les mesures à mettre en place.
●  Évaluez votre sécurité actuelle
Identifiez les failles potentielles et les améliorations à apporter en réalisant un audit de sécurité de votre site et de vos systèmes de paiement.
●  Mettez en œuvre les contrôles nécessaires
Appliquez les mesures de protection adaptées selon la méthode d’intégration choisie (hébergement sécurisé, authentification renforcée, surveillance des scripts, etc.).
●  Documentez votre conformité
Conservez un historique détaillé de vos politiques, procédures et évaluations pour prouver votre conformité et faciliter d’éventuelles vérifications.
●  Surveillez et maintenez votre conformité
Effectuez des contrôles réguliers, mettez à jour vos systèmes et adaptez vos pratiques pour assurer une protection continue contre les nouvelles menaces.

Pour certains détaillants, tout cela peut sembler bien étranger.
La première étape consiste à échanger avec votre webmaster pour identifier les actions à mettre en place. Si cela vous semble complexe, l’équipe de support à la conformité de Peach Payments est là pour vous accompagner. Elle peut vous fournir des ressources, de la documentation et des conseils pour faciliter votre mise en conformité et sécuriser vos transactions en ligne.

As e-commerce has grown, so too has the number of bad actors looking to exploit security weaknesses to steal credit card data, also known as e-skimming. Future-dated requirements that come into effect in March 2025 will help to protect consumers and retailers alike, but online merchants must implement a series of new security measures to ensure compliance.

Each year, thousands of card details are stolen in online card transactions – even on well-known and big-brand websites. Hackers are becoming increasingly sneaky, so even if a merchant’s card capture form is secure, they can exploit security weaknesses elsewhere on a website and intercept sensitive data before it even reaches the merchant’s secure payment form.

That’s why the new PCI DSS 4.0.1 safety standards require retailers to secure their entire website. Reputable payment platforms meet the highest standards of payment security, which reduces the scope of compliance efforts for retailers. However, there are still a few steps merchants need to take to ensure that their site is fully compliant.

PCI what?
Payment Card Industry Data Standards (PCI DSS) refers to a set of standards that retailers must comply with – no matter their size. The standards are updated from time to time, and the latest version, PCI DSS 4.0.1, has some future-dated requirements that come into effect at the end of March 2025.

PCI DSS 4.0.1 enforces stricter security measures for the entire site to prevent attacks like e-skimming and to ensure secure payment processing. It is designed to enhance the security of cardholder data by adopting a comprehensive approach to security measures and access controls. This means that merchants are responsible for securing every part of the payment flow, ensuring that both the payment form and the hosting web environment are protected.

PCI DSS 4.0.1 has stronger password and multi-factor authentication requirements. It also has improved security practices, with updates for e-commerce security and third party risk management. It is more flexible, with more customised approaches to compliance, and comes with improved guidance and examples.

What does this mean for retailers?
The new requirements oblige merchants to take a more active role in securing payment pages, and proactively monitoring for signs of compromise. In particular, there are two requirements which merchants need to act on before the end of March 2025.

Firstly, merchants have to keep track of all their (software) scripts, even those from third parties. All scripts have to be authorised and merchants need to ensure that they haven’t been tampered with. Testing for unauthorised scripts is mandatory. This is essential because attackers can compromise third-party scripts to steal card data directly from customers’ browsers.

Secondly, merchants need to monitor payment pages for unexpected changes to things like code or even the way the page is displayed in the browser. Merchants need to set up alerts to notify them of suspicious activity to detect and respond to attacks more quickly. This is important because attackers are able to modify web pages to redirect customers to fake sites, or to steal their data.

PCI requirements become more rigorous depending on a merchant’s transaction volumes, with levels broken down as follows:
Level 1: Over 6 million transactions per year
Level 2: 1-6 million transactions per year
Level 3: 20,000-1 million transactions per year
Level 4: Fewer than 20,000 transactions per year

Next steps for retailers
Think of your website security the same way you would your home security. Each time you leave your house, you lock the doors and close the windows, and probably set an alarm system. Ensuring your website is PCI DSS 4.0.1 compliant essentially locks the doors and windows on your website, and guards against e-skimming. It’s imperative that you comply to protect your customers and your business.

Some helpful next steps:
Determine your compliance level: Your PCI DSS scope (the extent to which you need to comply with the standard) is determined by how you handle cardholder data.
Understand the requirements by reviewing the PCI DSS v 4.0.1 (Available for download through the PCI Security Standards Council.)
Assess your current security level by identifying gaps and areas for improvement
Implement necessary security controls based on your chosen integration method.
Document your compliance efforts, which requires you to maintain records of policies, procedures, and assessments.
Regularly monitor and maintain compliance

For some retailers, this may all seem quite foreign.
The first step is to speak to your webmaster about what needs to be done. But if even that feels daunting, Peach Payments’ compliance support team can provide resources, documentation and guidance.