Conformité PCI et WooCommerce – Tout ce que vous devez savoir

Que vous construisiez, entreteniez ou exploitiez un site Web de commerce électronique, vous devez être conscient de vos responsabilités en matière de sécurité. Heureusement, il existe des normes et des réglementations qui peuvent vous aider à garder les boutiques en ligne, telles que celles construites avec WooCommerce, sûres et sécurisées. La plus notable d'entre elles est la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS).

Tous les sites WooCommerce doivent-ils être conformes à la norme PCI ?

Non, tous les sites qui utilisent WooCommerce ne sont pas tenus d'être conformes à la norme PCI-DSS. Ces réglementations s'appliquent aux entreprises qui acceptent les paiements en ligne avec des cartes de débit et de crédit.PCI-DSS ne s'applique pas si vous utilisez WooCommerce pour afficher un catalogue en ligne, accepter des demandes de devis ou permettre aux acheteurs de passer des commandes qui n'impliquent pas en ligne Paiements.

Quel est le but de la conformité PCI ?

PCI-DSS est là pour vous aider à vous assurer que lorsque vos acheteurs WooCommerce paient avec une carte de paiement telle qu'une carte Visa, Mastercard, American Express ou Discover, les informations soumises ne se retrouvent pas entre les mains de criminels. En savoir plus sur Qu'est-ce que la conformité réglementaire et comment cela affecte-t-il la sécurité de WordPress.

Qui est responsable de la conformité PCI ?

Ces normes PCI s'appliquent à toutes les organisations qui acceptent, transmettent et/ou stockent des données de titulaire de carte. Cela inclut les commerçants, les transformateurs, les acquéreurs, les émetteurs et les fournisseurs de services. Essentiellement, toutes les organisations qui touchent aux données des titulaires de carte ou aux données d'authentification sensibles doivent respecter ces règles.

Les marchands WooCommerce dépendent bien sûr des fournisseurs pour respecter ces réglementations. Cela inclut tout, de l'hébergement conforme à la norme PCI aux passerelles de paiement sécurisées et aux processeurs. Ces fournisseurs permettent même aux petites entreprises et aux startups de répondre à ces exigences de sécurité.

Qu'est-ce qui rend un site Web WooCommerce conforme à la norme PCI ?

Comme pour la plupart des systèmes de sécurité, rester conforme à la norme PCI oblige les commerçants à prendre diverses mesures de manière continue. La dernière version du document Exigences PCI-DSS et procédures d'évaluation de la sécurité compte 139 pages. Heureusement, une grande partie de cela s'appliquera aux fournisseurs tels que les processeurs de paiement, et non aux propriétaires de sites Web eux-mêmes.

En fin de compte, ces étapes ci-dessous vous aideront à vous assurer que lorsque vous remplissez un questionnaire d'auto-évaluation PCI (SAQ) et que votre site Web est analysé pour déterminer s'il répond aux exigences PCI, vous aurez beaucoup plus de facilité à passer. Ils aideront également à protéger votre site Web contre la plupart des attaques.

Eléments importants à retenir

• Gardez votre logiciel WordPress à jour.
• Mettez à jour WooCommerce et tout autre plugin et/ou extension WordPress.
• Votre environnement d'hébergement Web doit exécuter des logiciels à jour, y compris les derniers correctifs de sécurité.
• Configurez et maintenez un pare-feu, ou sélectionnez un hébergeur qui le fera pour vous. Les hébergeurs Web WooCommerce travaillent souvent avec des fournisseurs de pare-feu d'applications Web (WAF) tels que Cloudflare et Sucuri pour proposer des solutions de pare-feu surveillées 24h/24 et 7j/7.
• Transmettez des données en toute sécurité via HTTPS en tirant parti des certificats SSL.
• Exécutez des scanners de logiciels malveillants ou sélectionnez un hôte qui le fait de manière continue. Assurez-vous que quelqu'un voit les rapports de sécurité tous les jours, sinon en temps réel.
• Respectez les principes d'accès le moins privilégié, en ne partageant l'accès qu'avec ceux qui en ont absolument besoin. Cela peut inclure des étapes de base, telles que rendre votre administrateur WordPress uniquement accessible aux adresses IP de la liste blanche.
• Utilisez des ID utilisateur uniques et des mots de passe forts. Stockez-les en toute sécurité et mettez à jour les mots de passe au moins tous les 90 jours.
• Assurez-vous que chaque administrateur dispose de ses propres identifiants de connexion – ne partagez pas les identifiants.
• Sécurisez tous les systèmes qui interagissent avec votre site Web. Cela inclut l'exécution d'un logiciel antivirus à jour sur les ordinateurs que vous utilisez pour accéder à votre administrateur WordPress.
• Hébergez d'autres applications séparément. Cela inclut l'hébergement d'autres sites Web séparément et l'utilisation d'un hébergement de messagerie séparé. De plus, toutes les anciennes copies de votre site Web ainsi que les copies de développement ou de mise en scène de votre site ne doivent pas se trouver dans votre environnement d'hébergement de production (en direct).
• Déployez des systèmes de détection d'intrusion (IDS) pour détecter rapidement les failles de sécurité et minimiser les retombées.
• Continuez à examiner votre sécurité, en tenant compte des modifications apportées à votre site Web, à votre personnel et à vos fournisseurs.
• Dans la mesure du possible, utilisez l'authentification multifacteur. Envisagez d'ajouter une extension WordPress d'authentification à deux facteurs (2FA) pour rendre plus difficile l'accès des pirates au backend de votre boutique WooCommerce.
• Stockez correctement les journaux et les sauvegardes. Ceci est extrêmement important au cas où ils seraient nécessaires dans le cadre d'une enquête sur une violation.

Comment obtenir ma certification de conformité PCI ?

Il existe des fournisseurs spécifiques qui offrent ce service. C'est souvent une bonne idée de vérifier auprès de votre processeur de paiement et de votre fournisseur d'hébergement Web pour voir s'ils offrent, incluent ou recommandent de tels services. Cependant, il existe une longue liste de fournisseurs de numérisation approuvés disponibles auprès du Conseil des normes de sécurité PCI. N'oubliez pas qu'il ne s'agit pas d'une procédure ponctuelle, vous pouvez donc espérer travailler avec ce fournisseur pendant de nombreuses années à venir.

La réussite d'un PCI Scan garantit-elle que mon site WooCommerce est sûr et sécurisé ?

Les évaluations de conformité PCI traitent des politiques et des faiblesses de sécurité observables et se concentrent sur les efforts de sécurité minimaux requis par les commerçants. Il est crucial de maintenir votre sécurité une fois que votre site a été initialement certifié conforme à la norme PCI. Par exemple, vous devez toujours installer de nouveaux correctifs de sécurité dans les 30 jours suivant leur publication.

De plus, il est fortement conseillé d'adopter une approche proactive de la sécurité. Il y a toujours des événements zero-day - des cas dans lesquels une nouvelle vulnérabilité de sécurité est exploitée. Dans de tels cas, les correctifs n'existent pas encore. Votre meilleur pari est de tirer parti des outils de sécurité de base, tels qu'un système de détection d'intrusion (IDS). Cela agit comme une alarme, vous donnant la possibilité de traiter rapidement un cas de piratage, minimisant ce qui pourrait autrement être un incident bien pire. De manière générale, on peut dire qu'il existe de nombreuses raisons pour lesquelles votre solution e-commerce WordPress doit être sécurisée.

Est-ce que l'utilisation d'un fournisseur PA-DSS rend un site conforme à la norme PCI ?

Les processeurs de paiement qui adhèrent à la norme PA-DSS (Payment Application Data Security Standard) ne rendent pas automatiquement votre site conforme à la norme PCI. Les hébergeurs Web non plus. Même si vous utilisez un processeur de paiement qui emmène les acheteurs hors site pour effectuer leurs transactions, vous avez toujours des responsabilités. Par exemple, si vous ne corrigez pas votre logiciel et que votre site WordPress est piraté, les voleurs pourraient échanger votre paiement contre leur propre formulaire afin de siphonner les données de carte de crédit. Bien que certaines passerelles de paiement puissent réduire vos risques de violation, elles ne peuvent pas vous décharger de toutes vos responsabilités en matière de sécurité.

Quels sont les risques de ne pas maintenir la conformité PCI de votre site WooCommerce ?

Si votre site WooCommerce accepte les cartes de paiement et n'est pas conforme à la norme PCI, les risques sont nombreux. Vous pourriez être contraint de payer des frais ou des amendes ou trouver des processeurs de paiement refusant de gérer votre compte, ce qui vous empêcherait d'accepter des paiements en ligne. C'est pourquoi la conformité PCI DSS pour les sites de commerce électronique et d'entreprise WordPress est extrêmement importante.

La situation s'aggrave si vous avez une violation de données sans respecter les réglementations PCI-DSS. Il y a toutes sortes d'amendes et de frais, y compris des poursuites judiciaires potentielles. Cela va au-delà de votre réputation endommagée et des coûts d'enquête et d'atténuation d'une violation, ce qui peut également entraîner des temps d'arrêt et une perte de revenus pour votre boutique WooCommerce.

Après une violation, vous trouverez peut-être beaucoup plus difficile et/ou plus coûteux d'accepter les cartes de paiement, si vous pouvez trouver un fournisseur qui est prêt à vous servir. Cela dépend vraiment des détails, mais si vous êtes jugé à haut risque parce que vous n'avez pas respecté les normes de sécurité de base, cela peut avoir de graves conséquences sur votre entreprise.

Existe-t-il des fournisseurs spécialisés dans l'assistance aux marchands WooCommerce en matière de conformité PCI ?

Oui! Par exemple, plutôt que de demander aux acheteurs de soumettre les informations de carte de paiement que vous conservez, il existe une grande variété de passerelles de paiement qui peuvent transmettre les informations de carte de crédit en toute sécurité. Ceux-ci incluent des fournisseurs de solutions comme Amazon Pay, Authorize.net, Braintree, CCBill, Cybersource, EBizCharge, Global Payments, Heartland, PayPal, Square, Stripe, et plus encore !

Il existe également des passerelles de paiement plus uniques qui offrent des options uniques aux acheteurs, telles que Affirm, Bread, Katapult, Klarna, Sezzle et ViaBill qui offrent aux consommateurs des options d'achat immédiat et de paiement ultérieur, et Bolt, qui remplace la caisse WooCommerce par une expérience de paiement hautement optimisée. Il existe même des solutions de paiement B2B comme PayStand et Apruve.

De même, il existe des hébergeurs spécialisés dans la sécurisation de votre environnement d'hébergement de commerce électronique. Alors que de nombreuses plates-formes mentionnent la conformité PCI, vous voudrez garder un œil sur l'analyse des logiciels malveillants, le pare-feu des applications Web, la détection des intrusions, la surveillance 24h/24 et 7j/7 et d'autres facteurs que vous pourriez avoir besoin d'un fournisseur de confiance pour gérer pour vous.

Conclusion

Il est relativement facile de créer une boutique WooCommerce, mais sans les bonnes pratiques de sécurité continues, cette boutique ne sera pas sécurisée contre les pirates. Si le magasin accepte les cartes de paiement, les propriétaires de sites Web sont responsables de la conformité PCI et doivent également sélectionner des fournisseurs conformes. Heureusement, il existe de nombreux fournisseurs parmi lesquels choisir pour faciliter le respect des réglementations PCI-DSS.