Hébergeur conforme PCI - DSS

meilleurs-hebergeurs-conforme-pci-dssAvez-vous lancé une boutique en ligne pour vendre des produits physiques, électroniques ou encore simplement des services en ligne ? Votre site Web nécessite-t-il des paiements et un traitement sécurisés?

Si c‘est le cas, il serait important d’opter pour hébergeur certifié PCI - DSS.  Un tel hébergement, offre aux commerçants la possibilité d’héberger leurs sites e-commerce dans un environnement sécurisé qui réussira les tests de numérisation PCI.

Avec une analyse d'approbation PCI, vous êtes libre de sécuriser les comptes marchands auprès de votre institution financière et d'offrir le traitement des cartes de crédit en ligne.

Nous vous avons sélectionnés dans ce comparatif les meilleurs hébergeurs web conforme aux normes PCI.



Voir top hebergement en:    


  • Hébergeurs trouvés: 2
  • Page: 1 / 1
  • Hébergeurs listés: 1 – 2

# Hebergeur Web Avantages Prix Recommandé

1

Cloud Infogéré plan
Vérifiez le profil Infomaniak France
Infomaniak France
  • Certificats SSL gratuits
  • Hébergement Web SSD
  • Trafic illimité
  • Uptime garanti à 99,99%
  • CPU: 2
Toutes les fonctionnalités
29.00 EURO 100% de 47
Lire les avis
Visiter

2

Ecommerce-Basic plan
Vérifiez le profil Shopify
Shopify
  • Serveurs Cloud puissants et rapides
  • 99.98 % Disponibilité garantie
  • Nbre de produits: illimité
  • 24/7 support
  • CDN offert
Toutes les fonctionnalités
29.00 USD 0% de 0
Lire les avis
Visiter



Hébergement conforme aux normes PCI

Avant de vous engager avec un hébergement basé à la conformité aux normes PCI, vous devez connaître les réponses aux questions suivantes :

  • En tant que propriétaire de site, que devez-vous savoir sur les normes PCI ?
  • Comment se mettre en conformité ?
  • Et qui est responsable de la conformité aux normes PCI ?

Vous apprendrez ce qu'est la conformité PCI, ce dont les entreprises sont responsables et comment trouver un hébergeur Web certifié PCI-DSS.

Les normes de sécurité de l'industrie des cartes de paiement ou PCI (Industry Payment Security)

La norme de sécurité de l'industrie des cartes de paiement (PCI-DSS) est un ensemble de normes de sécurité conçues et appliquées par le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI-SSC).

Etablies par une coalition des principales sociétés émettrices de cartes de crédit et de débit, dont Visa, Mastercard et American Express, ces normes ont été mises en place pour réduire la fraude par carte de crédit et garantir la sécurité du traitement, du stockage et de la transmission des données des titulaires de cartes par les commerçants en ligne.

Qu'est-ce que la conformité aux normes PCI ?

quest-ce-que-confomite-pci


Les normes PCI s'appliquent à toutes les entreprises de commerce électronique, indépendamment de leur taille ou de leur volume de vente.

Le non-respect des normes PCI peut entraîner des amendes, une augmentation de frais de traitement des cartes ou la suspension des privilèges de traitement des cartes de crédit.

La page d'accueil du PCI Security Standards Council

La page d'accueil du PCI Security Standards Council

Qui est responsable de la conformité aux normes PCI ?

La responsabilité d’atteindre et de maintenir la conformité aux normes PCI est partagée à parts égales entre les commerçants, les développeurs Web et les fournisseurs de services d’hébergement Web.

Chacun a un rôle critique dans la conformité aux normes PCI, même si, en fin de compte, il incombe au commerçant de s’assurer que son site Web et son fournisseur d’hébergement Web respectent les normes industrielles approuvées.

Voici ce qu’un hébergement certifié PCI-DSS doit offrir

PCI est l'acronyme de Payment Card Industry. Et tous les sites e-commerce doivent être conformes aux normes PCI. Donc, si vous vendez des produits en ligne, votre site doit respecter les normes PCI. C’est très facile de le faire.

Votre hébergeur vous indiquera si votre plan est conforme aux normes PCI ou non. Ainsi, lorsque vous recherchez un hébergement, vous pouvez ignorer tous ceux qui ne sont pas conformes aux normes PCI.

Comment les entreprises parviennent-elles à respecter les normes PCI ?

respecter-pci


Pour atteindre la conformité aux normes PCI, les entreprises doivent être soumises à un processus de sélection rigoureux.

Le processus consiste en :

  1. Soit une analyse trimestrielle automatisée de leur site Web et des serveurs hébergés par un prestataire d'analyses agréé ;
  2. Soit, alternativement, il y a aussi un questionnaire d'auto-évaluation annuel tel que préparé par le PCI Security Standards Council.

Qui devrait utiliser le questionnaire de conformité aux normes PCI ?

Le questionnaire d'auto-évaluation est plus approprié aux petites entreprises qui n'ont pas les moyens de recruter des prestataires externes pour évaluer la conformité de l'entreprise aux normes PCI.

En effet, les entreprises peuvent identifier et résoudre les problèmes de sécurité avant qu’une violation ne se produise, à l’aide du questionnaire.

Documentation PCI-DSS

Le PCI Security Standards Council propose un certain nombre de guides pratiques sur son site Web. Les guides proposent des étapes d'action et des hyperliens pour obtenir plus d'informations.

 

Quelles sont les exigences pour atteindre la conformité aux normes PCI ?

Selon le PCI Security Standards Council (Conseil des normes de sécurité PCI), 12 exigences (PDF) doivent être respectées pour garantir la conformité aux normes PCI.

Celles-ci peuvent être divisées en six catégories de base ou objectifs de sécurité.

Qui est responsable du maintien de la conformité ?

Certaines de ces exigences sont la responsabilité des fournisseurs d'hébergement Web, tandis que d'autres relèvent des commerçants et de leurs développeurs Web et concepteurs de sites.

Cependant, en dernière analyse, il incombe toujours au commerçant de s'assurer que son service d'hébergement, son développeur de sites Web et ses fournisseurs de logiciels tiers sont conformes aux normes PCI.

Objectifs de sécurité de la certification PCI

Les objectifs et exigences nécessaires pour atteindre la certification PCI incluent les catégories suivantes, qu'on explique ci-dessous.

 

Catégories

Responsabilité des parties

Objectifs de la sécurité

Construire et maintenir un réseau sécurisé

La responsabilité principale de l’hébergeur Web.

Cette catégorie aborde les deux problèmes de sécurité les plus importants:

  1. Installation et maintenance d'un pare-feu afin de créer un réseau privé sécurisé.
  2. Création, maintenance et mise à jour de mots de passe système qui répondent aux normes de l'industrie ou les dépassent.

Protection des données du titulaire de la carte

Il s'agit d'une responsabilité partagée, même si le fournisseur d'hébergement Web doit assurer la sécurisation du stockage et  de la transmission de toutes les données sensibles.

La protection des données du titulaire de carte porte sur les points suivants:

  • Les hébergeurs PCI doivent utiliser un modèle de protection des données sécurisé combinant plusieurs couches de procédures de défense physiques et virtuelles, notamment la restriction de l'accès aux serveurs et aux centres de données, ainsi que l'authentification forcée des mots de passe et des protocoles d'autorisation.
  • Les données du titulaire de la carte, y compris les codes de validation et les numéros PIN, doivent être cryptées lors de la transmission sur un réseau ouvert ou public.

Maintien d'un programme de gestion des vulnérabilités

S'applique principalement aux fournisseurs de services d'hébergement Web, bien que l'attention portée aux failles de sécurité devrait également attirer l'attention des propriétaires de site ecommerce et de leur équipe de développement Web.

Le PCI-SSC définit deux exigences de base nécessaires pour atteindre cet objectif de sécurité:

  • Les logiciels antivirus doivent être régulièrement mis à jour, soit par l’équipe informatique du marchand si ses serveurs sont autogérés, soit par l’hébergeur si les données sont hébergées ou traitées sur des serveurs externalisés ou gérés.
  • Les hébergeurs Web PCI sont censés surveiller et mettre à jour régulièrement leurs systèmes pour lutter contre les vulnérabilités de sécurité nouvellement identifiées.

Mise en œuvre de mesures de contrôle d'accès rigoureuses

 

Il s'agit d'un aspect de la conformité PCI qui incombe en grande partie au propriétaire de l'entreprise et à son équipe de développement Web, car il traite la sécurité des données à un niveau plus localisé.

Les objectifs de cette catégorie comprennent:

  • Restreindre l'accès aux données du titulaire de carte au personnel autorisé uniquement;
  • Attribuez des identifiants uniques aux membres du personnel ayant accès aux données sensibles en utilisant les meilleures pratiques en matière de chiffrement du mot de passe, d'authentification et de limites de connexion;
  • Restreindre l'accès physique aux données du titulaire de carte. Cela concerne principalement les fournisseurs d'hébergement Web, ce qui devrait limiter l'accès sur site à leurs centres de données uniquement au personnel autorisé.

Surveiller et tester régulièrement les réseaux

Une responsabilité partagée entre les hébergeurs web conformes PCI et l'équipe de développement Web du commerçant.

Une surveillance et des tests de routine sont nécessaires pour vérifier et maintenir la sécurité du réseau.

  • L'accès aux ressources réseau et aux données des titulaires de carte doit être surveillé régulièrement pour détecter d'éventuelles failles de sécurité ou vulnérabilités. Des journaux (Logs) de l’activité des systèmes doivent être mis en place pour suivre l'activité des utilisateurs et l'accès aux archives stockées
  • Les hébergeurs de sites commerce conformes aux PCI doivent régulièrement tester et surveiller les systèmes et processus de sécurité pour assurer la sécurité continue des données sensibles.

Gestion d'une politique de sécurité de l'information

Cela s'applique aux services d'hébergement Web et aux développeurs Web.

Les deux parties doivent disposer de politiques de sécurité bien définies décrivant les procédures de sécurité opérationnelles, les utilisations acceptables de la technologie, les tâches administratives de base et les sauvegardes, ainsi que les données détaillées d’analyse des risques.

 

La sécurité du serveur

Quelle est la relation entre la conformité aux normes PCI et l'hébergeur Web ?

Étant donné que votre site e-commerce va gérer les transactions, les sociétés d'hébergement internet ont intérêt à préserver la sécurité des informations personnelles et financières. Souhaitez-vous faire affaire avec une société d'hébergement qui a subi à plusieurs reprises des failles de sécurité ?

Cryptage HTTP et SSL

L'un des principaux problèmes liés au traitement des paiements par carte de crédit consiste à garder la connexion cryptée entre un utilisateur et un commerçant. Sur le Web, cela se fait par le biais du cryptage HTTPS et SSL.

Grace à HTTPS, un pirate ne peut pas voir le numéro de carte de crédit ou le numéro de sécurité sur la carte.

Certificats SSL

De nombreux hébergeurs proposent des certificats SSL dans le cadre de leurs plans d'hébergement. Ces certificats prouvent que les personnes derrière le site Web sont réellement ce qu’ils prétendent d’être. Vous pouvez les voir lorsque vous cliquez sur le cadenas vert d’un site HTTPS dans la barre d’URL.

Protection de paiement de bout en bout

Avoir un certificat SSL ne suffit pas pour atteindre la conformité aux normes PCI. L'ensemble de la chaîne de traitement des paiements, allant du traitement des cartes aux serveurs physiques eux-mêmes, doit respecter les normes PCI-DSS.

Protections d'accès physique

La sécurité signifie également « sécurité physique ». Une personne au hasard ne devrait pas pouvoir entrer dans un centre de données et commencer à manipuler l'un des racks de serveur.

Les plus grands hébergeurs Web disposent de centres de données sécurisés, où les racks de serveur sont verrouillés à clé. Beaucoup d'entre eux ont des règles strictes imposées par des mesures telles que les cartes-clés pour verrouiller toute personne pouvant se trouver dans un centre de données.

Autres considérations de sécurité

Outre PCI-DSS, en fonction de l’entreprise dans laquelle vous vous trouvez, vous devez vous conformer aux autres normes et lois relatives à la sécurité et à la confidentialité.

Par exemple, si vous êtes aux États-Unis et que vous traitez de quelque façon que ce soit les données sur la santé, vous êtes assujetti à la HIPAA (Loi sur la transférabilité et la responsabilité de l'assurance maladie). Le ministre chargé de la santé en France a mis en place des procédures d’agrément des hébergeurs de données de santé à caractère personnel tels que précisé par le décret du 4 janvier 2006.

Vous devez vous assurer que ces données ne seront pas entre de mauvaises mains par des employés qui les divulguent ou qui conservent des données sur un ordinateur portable quelque part où elles sont volées.

REMARQUE : Ne comptez pas sur un hébergeur pour savoir quelles exigences de sécurité sont importantes pour le secteur que vous desservez.

Formation d'employé

La morale de l’histoire, c’est que pour tous les normes, lois, technologies et cryptages, l’élément humain reste le maillon le plus faible de la sécurité.

Lors de la mise en œuvre de la norme PCI-DSS, vous devez former vos employés à faire preuve de vigilance en matière de sécurité et à ne pas se contenter du logiciel et de l’hébergement Web pour préserver l’intégrité de vos données.

Comment choisir un service d'hébergement conforme aux normes PCI ?

Comment choisir le bon hébergeur conforme PCI-DSS


Choisir un hébergeur conforme aux normes PCI peut souvent s'avérer difficile. Alors que certains fournisseurs d'hébergement Web annoncent clairement la conformité aux normes PCI en tant que fonctionnalité commercialisable, de nombreux hébergeurs de site Web sont moins prometteurs.

Voici les étapes à suivre pour rechercher un hébergeur Web offrant la conformité aux normes PCI :

  1. Si les plans d'un hébergeur ne spécifient pas la conformité, demandez-la.
  2. Si votre budget nécessite un plan d'hébergement partagé bon marché, vérifiez si l'hébergeur propose des passerelles de paiement.
  3. Optez pour une grande société d'hébergement.
  4. Optez pour les créateurs de sites avec des options e-commerce.
  5. Pensez à payer un peu plus pour l'hébergement.

Voyons un peu plus en détail chacune de ces étapes.

En cas de doute, demandez aux hébergeurs Web de vous informer de la conformité aux normes PCI

Il est souvent nécessaire pour les commerçants de contacter directement les hébergeurs potentiels afin de vérifier si des plans d’hébergement conformes aux normes PCI sont disponibles et s’ils répondent aux exigences opérationnelles et budgétaires de leur entreprise.

Utiliser une passerelle de paiement, si nécessaire

Les petites entreprises, en particulier celles qui ont recours à des plans d’hébergement partagés à prix réduit, peuvent juger nécessaire de s’associer à un service de passerelle de paiement tiers (tel que PayPal) afin d’assurer la conformité aux normes PCI.

Étant donné que la plupart des forfaits d'hébergement partagé ne fournissent pas les fonctionnalités de sécurité renforcées nécessaires pour répondre aux normes PCI, vous pouvez tirer parti des fonctionnalités e-commerce offertes par leurs hébergeurs.

La page d'informations PCI de PayPal

La page d'informations PCI de PayPal

Les plus grandes sociétés d’hébergement sont un bon choix pour la conformité aux normes PCI

Le choix du fournisseur d'hébergement affecte également la conformité aux normes PCI. Les plus grands fournisseurs disposent de plus de ressources pour assurer la conformité à la norme de sécurité de l'industrie des cartes de paiement (PCI-DSS).

Les plus grands fournisseurs d'hébergement sont plus susceptibles de :

  1. Offrir des certificats SSL,
  2. Suivre les mises à jour logicielles et,
  3. Soit effectuer les questionnaires d'auto-évaluation eux-mêmes,
  4. Soit, vous permettre de faire l'évaluation trimestrielle.

Rechercher des fonctionnalités e-commerce et des créateurs de sites

Certains de ces hébergeurs proposent des fonctionnalités de traitement des paiements et e-commerce, souvent par le biais de créateurs de sites.

Ceux-ci peuvent fournir des alternatives intéressantes aux entreprises pour déployer leurs propres systèmes de traitement des paiements conformes aux normes PCI.

Page d'informations PCI de Shopify

Page d'informations PCI de Shopify,

Opter pour des plans d'hébergement de niveau supérieur

Dans la plupart des cas, les chefs d'entreprise devront prendre en compte les plans d'hébergement VPS, Cloud ou de serveurs dédiés afin d'obtenir une conformité complète et indépendante aux normes PCI, comme indiqué par le PCI-SSC (Payment Card Industry Security Standards Council).

"Comme nous faisons de plus en plus d’activité sur Internet et que les pirates réalisent la valeur des données que les entreprises protègent, nous constatons de plus en plus de violations majeures de données" - Mark Nunnikhoven, VP Cloud Research , Trend Micro, dans une interview avec CNN.

 

L’hébergeur web certifié PCI – DSS qu’on vous recommande

Infomaniak est l’un des plus importants hébergeurs en Europe. Il a plus de 22 ans d’expérience dans l’hébergement web. Il a été décoré de plus d’une dizaine de prix pour ses efforts écologiques et la sécurité de ses serveurs cloud.

Infomaniak vient juste de recevoir sa certification ISO 27001 et PCI DSS qui sont considérés comme étant les standards les plus exigeants dans le marché de l’hébergement web.

PCIS-DSS Infomaniak

Vister Infomaniak

 

Hébergement conforme aux normes PCI : Foire aux questions

Qu'est-ce que PCI ?

PCI-DSS est un acronyme pour Payment Security Industry Data Security Standard, un ensemble de normes de sécurité conçues pour garantir que tous les commerçants qui acceptent, traitent ou transmettent des informations de carte de crédit maintiennent un environnement de données sécurisé.

Quel est l'impact de la conformité aux normes PCI pour mon entreprise ?

Toutes les entreprises qui acceptent les cartes de crédit ou de débit comme moyen de paiement doivent se conformer aux normes de sécurité PCI. Les plus petits détaillants en ligne peuvent atteindre la conformité aux normes PCI en utilisant des applications de panier d'achats conformes aux normes PCI ou des passerelles de paiement.

Les opérations les plus importantes, traitant généralement plus de 20 000 transactions par carte de crédit par an, doivent respecter des directives de validation de conformité spécifiques concernant leurs serveurs Web, leurs applications de conception de sites Web et de traitement des paiements.

Comment savoir si mon entreprise est conforme aux normes PCI ?

Si votre entreprise stocke, transmet ou traite d'une autre manière les données de carte de crédit, vous devez être conforme aux normes PCI. Les propriétaires d'entreprise doivent effectuer une auto-évaluation annuelle démontrant que toute opération est conforme aux normes de sécurité PCI.

Les grandes entreprises doivent également faire l’analyse trimestrielle automatisée de leurs sites Web et de leurs serveurs pour vérifier la conformité. Ces analyses doivent être effectuées par un prestataire d’analyses agréé.

Est-ce qu'un certificat SSL peut rendre mon entreprise conforme aux normes PCI ?

Non. Les certificats SSL fournissent un niveau de base de sécurité et d’assurance, mais ils ne protègent pas un serveur Web contre des attaques malveillantes potentielles.

Que se passe-t-il si mon site Web n'est pas conforme aux normes PCI ?

Les entreprises qui ne parviennent pas à se mettre en conformité peuvent faire l'objet de sanctions de la part des sociétés émettrices de cartes de crédit.

Ces actions peuvent aller des avertissements et des amendes à la révocation de la capacité de l'entreprise à traiter les transactions par carte de crédit ou de débit.

Que se passe-t-il si je refuse de respecter les normes PCI ?

PCI-DSS n'est pas une loi, mais simplement un ensemble de normes industrielles créées par les principales marques de cartes de crédit.

Toutefois, les commerçants qui ne se conforment pas aux normes PCI-DSS peuvent être passibles d'amendes, de frais de traitement accrus, de frais de remplacement de cartes, d'audits judiciaires et de dommages à la marque en cas de violation ou de compromission de données.