Services

Développement logiciel & conformité PCI DSS pour la FinTech, l'e-commerce et le SaaS traitant des données de porteurs de carte

PCI DSS v4.0.1 est la seule version valide, et les nouvelles exigences « à date différée » sont devenues obligatoires le 31 mars 2025 — notamment les scans internes authentifiés, la MFA vers le CDE, la revue automatisée des journaux et les contrôles d'intégrité des scripts qui prennent en défaut tout commerçant SAQ A-EP. Nous cadrons votre environnement de données de porteurs de carte, vous faisons descendre l'échelle des SAQ (A, A-EP, B, B-IP, C, C-VT, D, P2PE) grâce à des architectures de tokenisation, de redirection et de P2PE, mettons en œuvre les 12 exigences sur le réseau, le chiffrement, l'IAM, la journalisation, le développement sécurisé et la gestion des fournisseurs, et pilotons les relations QSA/ISA/ASV. Des contrôles de niveau ingénierie, des notes de périmètre défendables devant un QSA. Cadrage à partir de 6 000 EUR.

Développement de logiciels conformes PCI DSS pour le traitement sécurisé des paiements

Le programme PCI DSS le moins coûteux est celui dont le périmètre est le plus réduit. Le plus coûteux est celui où un unique formulaire HTML non maîtrisé sur le site vitrine entraîne toute la pile web dans le CDE. Nous démarrons chaque mission par une note de cadrage écrite que le QSA de votre acquéreur acceptera, puis concevons l'architecture qui maintient les données de porteurs de carte hors des systèmes qui n'en ont pas besoin — coffres de tokenisation, paiement par redirection uniquement, terminaux P2PE, CDE segmenté derrière des règles de pare-feu documentées. Résultat : moins de contrôles à maintenir, des audits plus rapides et une posture de sécurité qui résiste à l'application de la v4.0.1.

Ce que nous livrons

Note de cadrage du CDE

Cartographie écrite de l'environnement de données de porteurs de carte : chaque système qui stocke/traite/transmet le PAN, chaque système connecté, chaque justification de mise hors périmètre. Décision d'éligibilité au SAQ et changements d'architecture qui vous font descendre l'échelle des SAQ.

Réseau & segmentation

Standards de pare-feu Req 1, durcissement Req 2, VPC/sous-réseaux dédiés au CDE avec flux entrants/sortants documentés, hôte rebond avec MFA, tests de segmentation selon la Req 11.4.5 (annuels pour les commerçants, tous les 6 mois pour les prestataires de services).

Chiffrement & gestion des clés

Stockage du PAN selon la Req 3 avec cryptographie forte (AES-256, validée FIPS 140-2/3), transmission Req 4 en TLS 1.2+ avec algorithmes robustes, cycle de vie des clés selon la Req 3.7, connaissance partagée et double contrôle pour les dépositaires de clés, chiffrement d'enveloppe adossé à un KMS.

Développement sécurisé

SDLC sécurisé Req 6 : modélisation des menaces, formation au codage sécurisé, revue de code, intégration SAST/DAST, analyse des dépendances, processus de gestion des changements, tests OWASP Top 10 et les contrôles d'intégrité des scripts côté web de la v4.0.1 (Req 6.4.3 + 11.6.1).

Journalisation & supervision

Journalisation d'audit Req 10 avec la revue automatisée des journaux v4.0.1 (Req 10.4.1.1), rétention d'un an (3 mois immédiatement accessibles), FIM (Req 11.5), IDS/IPS (Req 11.5.1), surveillance de l'intégrité des fichiers et le flux d'alerte vers l'astreinte.

Opérations SAQ / RoC

Complétion du SAQ (A, A-EP, B, B-IP, C, C-VT, D, P2PE) ou accompagnement RoC, signature de l'AOC, liaison QSA, supervision des scans ASV trimestriels (Req 11.3.2), test d'intrusion annuel (Req 11.4.3), analyses de risque ciblées pour chaque approche personnalisée v4.0.1.

Exigences, contrôles et normes que nous couvrons

PCI DSS v4.0.1 Req 1 Réseau Req 2 Durcissement Req 3 PAN stocké Req 4 Transmission Req 5 Maliciels Req 6 Dév. sécurisé Req 6.4.3 Gestion des scripts Req 7 Restriction d'accès Req 8 Authentification / MFA Req 9 Physique Req 10 Journalisation Req 10.4.1.1 Revue auto Req 11 Vuln. & pentest Req 11.3.2 Scans ASV Req 11.6.1 Intégrité des scripts Req 12 Politique & risque SAQ A / A-EP SAQ B / B-IP / C / C-VT SAQ D / P2PE Liaison QSA Accompagnement ISA Tokenisation P2PE validé PSD2 SCA / 3DS 2.x PIN Security / PCI 3DS

Déroulement d'une mission

  1. 01

    Cadrage & SAQ

    Semaines 1–3 : inventaire du CDE, décision d'éligibilité au SAQ, architecture de réduction de périmètre (tokenisation, redirection, P2PE), analyse d'écart par rapport aux contrôles applicables, feuille de route de remédiation signée par le responsable sécurité.

  2. 02

    Architecturer & segmenter

    Semaines 4–6 : mise en place du CDE segmenté, déploiement de l'architecture tokenisation/redirection, isolation des systèmes connectés, documentation des flux de données et des règles de pare-feu, et premier test de segmentation.

  3. 03

    Mettre en œuvre les contrôles

    Semaines 6–12 : MFA vers le CDE, chiffrement et gestion des clés, journalisation et revue automatisée, SDLC sécurisé, gestion des fournisseurs, contrôles de scripts et le pack de politiques PCI cartographié sur les 12 exigences.

  4. 04

    SAQ & suivi continu

    Tout au long de l'année : scans ASV trimestriels, test d'intrusion annuel, tests de segmentation, actualisation des analyses de risque ciblées, complétion du SAQ / accompagnement RoC et signature de l'AOC. Documentation d'approche personnalisée v4.0.1 maintenue à jour.

Formules de prestation

Cadrage

Deux à trois semaines, périmètre fixe. Cartographie du CDE, décision d'éligibilité au SAQ, note d'architecture de réduction de périmètre (tokenisation, redirection, P2PE), analyse d'écart par rapport aux contrôles SAQ applicables, feuille de route de remédiation. 6 000 EUR forfaitaires.

Mise en œuvre

Huit à douze semaines. Segmentation réseau, MFA, chiffrement et gestion des clés, journalisation avec revue automatisée, développement sécurisé, gestion des fournisseurs, contrôles de scripts côté web et le pack de politiques PCI DSS. 20 000 EUR forfaitaires.

Renouvellement annuel du SAQ

Mission annuelle forfaitaire. Supervision des scans ASV (trimestriels tout au long de l'année), actualisation des analyses de risque ciblées, coordination du test d'intrusion annuel, tests de segmentation, complétion du SAQ et accompagnement à la signature de l'AOC. 4 500 EUR forfaitaires/an.

Les honoraires d'audit Report on Compliance (RoC) du QSA sont facturés séparément par le cabinet QSA. Les frais de scan ASV sont facturés séparément par l'ASV. Nous travaillons avec votre QSA/ASV en place ou vous présentons des fournisseurs de notre réseau. NDA et DPA signés avant le lancement.

Pourquoi les équipes FinTech et marchandes choisissent YuSMP pour PCI DSS

Conforme au RGPD · prêt pour ISO 27001 · SOC 2 Type II en cours · compatible HIPAA · à jour PCI DSS v4.0.1

Des ingénieurs, pas des consultants en politiques

Nous lisons votre topologie VPC, votre code d'intégration Stripe/Adyen/Checkout et vos politiques IAM avant de rédiger la note de cadrage. Les décisions d'architecture tiennent parce qu'elles reflètent ce que le code fait réellement.

La minimisation du périmètre d'abord

Chaque heure passée à réduire le périmètre économise cinq heures de préparation d'audit et dix heures d'exploitation continue. Nous visons par défaut le CDE défendable le plus petit et documentons les exclusions dans un langage que votre QSA acceptera.

Une bibliothèque de preuves, plusieurs référentiels

Les Req 7/8/10/12 de PCI recoupent à environ 60 % les contrôles SOC 2 CC, l'annexe A d'ISO 27001 et l'article 32 du RGPD. Une seule bibliothèque de preuves, plusieurs opinions, aucune préparation d'audit en double.

Pour la sélection du QSA et la préparation du RoC, nous travaillons avec la liste de QSA recommandée par votre acquéreur ou avec notre propre réseau — le livrable est un AOC propre, pas un PDF marketing.

Ce que disent nos clients

Lancer une plateforme crypto avec conservation des fonds exige une profondeur d'ingénierie et une conscience de la conformité. YuSMP a livré le moteur de trading, les graphiques de prix en temps réel et des contrôles d'administration soignés dans les délais. La plateforme a traité ses cent premières transactions sans le moindre incident.
Victor Drake, CEO, Dragon TokenVoir le cas →
Agréger les prix en direct sur plusieurs plateformes d'échange tout en maintenant une latence sous 500 ms relève d'une ingénierie réellement ardue. YuSMP a réuni le flux multi-plateformes, les graphiques de tokens en temps réel et le workflow de listing dans une plateforme cohérente. Nous n'avons connu aucune interruption depuis le lancement.
Martin Webb, CTO, EverCoin BankVoir le cas →

Questions fréquentes

Quel SAQ s'applique à moi et comment réduire le périmètre ?

Le PCI SSC définit neuf types de SAQ. Le SAQ A s'applique aux commerçants e-commerce/MOTO qui externalisent entièrement le traitement des données de porteurs de carte à un tiers validé PCI (page de paiement hébergée, redirection complète). Le SAQ A-EP s'applique aux commerçants dont le site web influe sur le paiement mais ne reçoit pas de données de porteurs de carte (par exemple un JavaScript qui transmet directement à un processeur — la v4.0.1 a ajouté ici de nouvelles exigences relatives à l'intégrité des scripts). Le SAQ B concerne les terminaux à empreinte ou autonomes à numérotation sortante ; le SAQ B-IP les terminaux IP autonomes. Les SAQ C et C-VT concernent les systèmes d'application de paiement et les terminaux virtuels. Le SAQ D est le questionnaire complet de plus de 300 questions — tout prestataire de services et tout commerçant qui stocke des données de porteurs de carte y atterrit. Nous travaillons à vous faire descendre l'échelle des SAQ : la tokenisation, les schémas iframe/redirection, les terminaux validés P2PE (SAQ P2PE) et l'isolation réseau du CDE font généralement passer un commerçant de niveau 2 du SAQ D au SAQ A-EP ou au SAQ A.

Qu'est-ce qui a changé entre PCI DSS v4.0.1 et v3.2.1, et quand les nouvelles exigences s'appliquent-elles ?

PCI DSS v4.0 a remplacé la v3.2.1 le 31 mars 2024 ; la v4.0.1 (version errata) est désormais la seule version valide. Les nouvelles exigences « à date différée » sont devenues obligatoires le 31 mars 2025 — elles comprennent des analyses de risque ciblées pour chaque exigence offrant de la flexibilité, des mécanismes automatisés de revue des journaux (Req 10.4.1.1), des scans de vulnérabilité internes authentifiés (Req 11.3.1.2), des contrôles d'intégrité des scripts côté web (Req 6.4.3 et 11.6.1 — critiques pour le SAQ A-EP), la MFA pour tout accès au CDE (Req 8.4.2/8.5) et l'attribution documentée de chaque exigence à un rôle. Nous comblons les écarts v4.0.1 et documentons les analyses de risque ciblées que votre QSA exigera.

Quelle est la différence entre QSA, ISA et ASV — et lequel dois-je réellement engager ?

Le QSA (Qualified Security Assessor) est un évaluateur externe certifié par le PCI SSC pour réaliser les audits Report on Compliance (RoC) — requis pour les commerçants de niveau 1 et la plupart des prestataires de services de niveau 1. L'ISA (Internal Security Assessor) est un salarié interne certifié pour réaliser des évaluations internes et signer les SAQ pour le compte de son employeur. L'ASV (Approved Scanning Vendor) est une certification distincte pour les fournisseurs réalisant des scans de vulnérabilité externes trimestriels selon la Req 11.3.2 — Qualys, Tenable, Rapid7 et d'autres disposent du statut ASV. Vous avez généralement besoin d'un ASV dès le premier jour (scans trimestriels), et d'un QSA uniquement si vous êtes de niveau 1 ou un prestataire de services figurant sur la liste imposée par le réseau de cartes. Nous ne sommes ni QSA ni ASV ; nous sommes l'équipe qui vous prépare aux deux et qui pilote la relation.

Comment la tokenisation et le P2PE réduisent-ils concrètement mon périmètre PCI DSS ?

Le périmètre PCI DSS est défini par l'environnement des données de porteurs de carte (CDE) — tout système qui stocke, traite ou transmet des données de porteurs de carte, ainsi que les systèmes connectés. La tokenisation remplace le PAN par un jeton non sensible émis par un service de tokenisation validé PCI ; si le PAN ne touche jamais vos systèmes (ou seulement un coffre strictement délimité), la majeure partie de votre pile sort du périmètre. Le P2PE (Point-to-Point Encryption) est une solution validée par le PCI SSC qui chiffre les données de carte au niveau du matériel du terminal avec une clé que vos systèmes ne peuvent pas déchiffrer — les commerçants éligibles basculent vers le SAQ P2PE (~35 contrôles contre plus de 300). Nous concevons l'architecture tokenisation/P2PE, documentons la réduction de périmètre dans une note de cadrage écrite que votre QSA acceptera, et segmentons le CDE résiduel derrière des pare-feu/appairage VPC avec des contrôles de flux documentés.

Comment PCI DSS s'articule-t-il avec la SCA DSP2, EMV 3-D Secure, le RGPD et SOC 2 ?

En couches : PCI DSS protège les données de porteurs de carte au repos et en transit ; l'authentification forte du client (SCA) de la DSP2 régit la manière dont un payeur authentifie une transaction dans l'EEE/au Royaume-Uni (et EMV 3-D Secure 2.x est le protocole technique qui la met en œuvre) ; le RGPD ajoute des obligations relatives aux données personnelles par-dessus PCI — le PAN est une donnée personnelle au sens du RGPD. Les contrôles SOC 2 CC et C recoupent à environ 60 % les Req 7, 8, 10 et 12 de PCI. Nous construisons une cartographie de contrôles unique et intégrée : flux SCA, exemptions 3DS, base légale de l'article 6 du RGPD pour le traitement des paiements, chiffrement et contrôles d'accès PCI DSS, et preuves SOC 2 — le tout aligné pour qu'un même contrôle satisfasse plusieurs obligations.

À quoi ressemble la tarification, et qu'est-ce qui entre dans le périmètre ou non ?

Trois formules. Le Cadrage est à 6 000 EUR forfaitaires (2–3 semaines) : cartographie du CDE, décision d'éligibilité au SAQ, note d'architecture de réduction de périmètre (tokenisation, redirection, P2PE), analyse d'écart par rapport aux contrôles SAQ applicables, feuille de route de remédiation. La Mise en œuvre est à 20 000 EUR forfaitaires (8–12 semaines) : segmentation réseau, MFA sur tous les accès au CDE, chiffrement (FIPS 140-2/3), journalisation selon la Req 10 avec revue automatisée, développement sécurisé selon la Req 6, gestion des fournisseurs selon la Req 12.8, contrôles de scripts côté web selon les Req 6.4.3/11.6.1, et le pack de politiques PCI DSS. Le Renouvellement annuel du SAQ est à 4 500 EUR forfaitaires : supervision des scans ASV (trimestriels tout au long de l'année), actualisation des analyses de risque ciblées, complétion du SAQ et accompagnement à la signature de l'AOC. Les honoraires QSA sont facturés séparément par le cabinet QSA.

Besoin d'une note de cadrage PCI DSS défendable avant votre prochaine revue d'acquéreur ?

Réserver un appel PCI

Demander une proposition

Partagez quelques détails et un consultant senior vous répondra sous un jour ouvré.

Vous préférez échanger directement ? ☎ Appeler le +374 44 871 811 ✉ sales@yusmpgroup.com