Skip to main content
Blog
Blog

Peut-on utiliser Adyen pour la conformité PCI DSS ?

Oui, MAIS selon le type d'intégration, votre entreprise reste responsable d'assurer sa conformité à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS).

Mar 21, 2025 5 min read
adyen-pci-dss-image-cover
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

Oui, Adyen est conforme PCI DSS en tant que Prestataire de Services de Niveau 1, mais les marchands utilisant Adyen restent responsables de leur propre conformité PCI selon leur méthode d'intégration.

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble de standards de sécurité conçus pour protéger les informations de carte pendant et après une transaction financière. La conformité implique de respecter 12 exigences, allant de l'installation et de la maintenance d'un réseau sécurisé à la surveillance des scripts tiers sur vos applications web (PCI 6.4.3 et 11.6.1.).

Comment être conforme en utilisant Adyen

Les produits d'Adyen sont conçus pour aider les entreprises à réduire leur charge de conformité PCI DSS en gérant les données de carte sensibles de manière sécurisée. Cependant, vos obligations de conformité dépendent de la façon dont vous intégrez Adyen.

Si vous redirigez les utilisateurs vers les pages de paiement hébergées d'Adyen, votre périmètre PCI est minimal (SAQ A).

Si vous collectez les données du titulaire de carte sur vos propres serveurs, vous aurez besoin du SAQ D, qui implique des obligations de conformité plus strictes.

Votre méthode d'intégration avec Adyen détermine quel SAQ vous devez compléter :

Type d'intégration Périmètre PCI SAQ requis
Pages de paiement hébergées Adyen (HPP) Minimal - Adyen gère entièrement les données de carte SAQ A
Chiffrement côté client (CSE)* Minimal - Les données de carte sont chiffrées avant transmission* SAQ A-EP*
Intégration directe via API Élevé - Les données du titulaire de carte transitent par votre serveur SAQ D

*Vous devez désormais surveiller les dépendances sur les pages de paiement, plus d'informations ci-dessous.

Laquelle choisir ?

  • Utiliser les pages de paiement hébergées d'Adyen (HPP) → SAQ A (conformité la plus simple, les données de carte ne touchent jamais vos serveurs).
  • Utiliser le chiffrement côté client (CSE) → SAQ A-EP (les données de carte sont chiffrées avant d'atteindre Adyen).
  • Utiliser l'intégration directe via API → SAQ D (vous gérez les données de carte brutes, charge PCI la plus élevée).

Si votre entreprise traite ou stocke des données de titulaire de carte (SAQ D), vous devez :

  • Mettre en œuvre un chiffrement robuste pour les données de paiement.
  • Configurer des politiques de pare-feu et de contrôle d'accès.
  • Effectuer des analyses réseau trimestrielles avec un Prestataire d'Analyse Agréé (ASV).
  • Réaliser un audit PCI DSS complet si vous êtes un marchand de Niveau 1 (plus de 6 millions de transactions/an).

*Surveillance des dépendances pour la conformité SAQ A

Conformément à la mise à jour de janvier 2025, le Conseil des normes de sécurité PCI a souligné l'importance de la surveillance des dépendances. Cela inclut les scripts internes et tiers présents sur les sites web. Cette mise à jour exige des marchands qu'ils s'assurent que leurs sites ne sont pas vulnérables aux attaques provenant de ces scripts.

Veuillez consulter la documentation de Stripe relative à la conformité PCI DSS ici.

Déterminer votre niveau de conformité PCI

Niveau Critères Exigence de validation
Niveau 1 Plus de 6 millions de transactions par an Audit complet sur site par un QSA + SAQ D
Niveau 2 De 1 à 6 millions de transactions par an SAQ A, SAQ A-EP ou SAQ D + Attestation de conformité (AOC)
Niveau 3 De 20 000 à 1 million de transactions en ligne par an SAQ A, SAQ A-EP ou SAQ D + Attestation de conformité (AOC)
Niveau 4 Moins de 20 000 transactions en ligne OU jusqu'à 1 million de transactions au total SAQ A, SAQ A-EP ou SAQ D + Attestation de conformité (AOC)
  • Niveau 1 = Doit réaliser un ROC (Évaluation complète PCI DSS avec rapport complet de conformité par un QSA)
  • Niveau 2 = Doit réaliser au minimum un SAQ avec attestation par un QSA ou ISA tiers
  • Niveau 3 = Doit réaliser un SAQ
  • Niveau 4 = Facultatif

Soumettre la certification de conformité PCI

  • Vous utilisez des pages de paiement hébergées ? → SAQ A
  • Vous utilisez le chiffrement côté client (CSE) ? → SAQ A-EP
  • Vous utilisez l'intégration directe via API ? → SAQ D

Pour les marchands SAQ A et SAQ A-EP :

  • Complétez le SAQ dans le portail de conformité PCI d'Adyen.
  • Assurez-vous qu'aucun script tiers n'interfère avec les champs hébergés d'Adyen.
  • Conservez la documentation pour les révisions PCI annuelles.

Pour les marchands SAQ D :

  • Mettez en place des contrôles de sécurité robustes (pare-feu, chiffrement, surveillance).
  • Effectuez des analyses réseau trimestrielles avec un Prestataire d'Analyse Agréé (ASV).
  • Soumettez-vous à un audit QSA sur site si vous traitez des volumes importants.

Une fois que vous avez identifié le SAQ approprié selon votre méthode d'intégration, complétez-le rigoureusement. Stripe propose un assistant PCI dans votre tableau de bord pour vous guider tout au long de ce processus.

Simon Wijckmans
Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Réserver une démonstration
Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité
Related Articles
Réserver une démonstration