Skip to main content
Blog
Blog

Peut-on utiliser Adyen pour la conformité PCI DSS ?

Oui, MAIS selon le type d'intégration, votre entreprise reste responsable d'assurer sa conformité à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS).

Mar 21, 2025 5 min read
adyen-pci-dss-image-cover

Oui, Adyen est conforme PCI DSS en tant que Prestataire de Services de Niveau 1, mais les marchands utilisant Adyen restent responsables de leur propre conformité PCI selon leur méthode d'intégration.

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble de standards de sécurité conçus pour protéger les informations de carte pendant et après une transaction financière. La conformité implique de respecter 12 exigences, allant de l'installation et de la maintenance d'un réseau sécurisé à la surveillance des scripts tiers sur vos applications web (PCI 6.4.3 et 11.6.1.).

Comment être conforme en utilisant Adyen

Les produits d'Adyen sont conçus pour aider les entreprises à réduire leur charge de conformité PCI DSS en gérant les données de carte sensibles de manière sécurisée. Cependant, vos obligations de conformité dépendent de la façon dont vous intégrez Adyen.

Si vous redirigez les utilisateurs vers les pages de paiement hébergées d'Adyen, votre périmètre PCI est minimal (SAQ A).

Si vous collectez les données du titulaire de carte sur vos propres serveurs, vous aurez besoin du SAQ D, qui implique des obligations de conformité plus strictes.

Votre méthode d'intégration avec Adyen détermine quel SAQ vous devez compléter :

Type d'intégration Périmètre PCI SAQ requis
Pages de paiement hébergées Adyen (HPP) Minimal - Adyen gère entièrement les données de carte SAQ A
Chiffrement côté client (CSE)* Minimal - Les données de carte sont chiffrées avant transmission* SAQ A-EP*
Intégration directe via API Élevé - Les données du titulaire de carte transitent par votre serveur SAQ D

*Vous devez désormais surveiller les dépendances sur les pages de paiement, plus d'informations ci-dessous.

Laquelle choisir ?

  • Utiliser les pages de paiement hébergées d'Adyen (HPP) → SAQ A (conformité la plus simple, les données de carte ne touchent jamais vos serveurs).
  • Utiliser le chiffrement côté client (CSE) → SAQ A-EP (les données de carte sont chiffrées avant d'atteindre Adyen).
  • Utiliser l'intégration directe via API → SAQ D (vous gérez les données de carte brutes, charge PCI la plus élevée).

Si votre entreprise traite ou stocke des données de titulaire de carte (SAQ D), vous devez :

  • Mettre en œuvre un chiffrement robuste pour les données de paiement.
  • Configurer des politiques de pare-feu et de contrôle d'accès.
  • Effectuer des analyses réseau trimestrielles avec un Prestataire d'Analyse Agréé (ASV).
  • Réaliser un audit PCI DSS complet si vous êtes un marchand de Niveau 1 (plus de 6 millions de transactions/an).

*Surveillance des dépendances pour la conformité SAQ A

Conformément à la mise à jour de janvier 2025, le Conseil des normes de sécurité PCI a souligné l'importance de la surveillance des dépendances. Cela inclut les scripts internes et tiers présents sur les sites web. Cette mise à jour exige des marchands qu'ils s'assurent que leurs sites ne sont pas vulnérables aux attaques provenant de ces scripts.

Le guide de conformité PCI DSS d'Adyen est la source principale propre au processeur pour les intégrations Adyen. Si vous comparez le périmètre entre fournisseurs, consultez le guide PCI DSS pour Stripe.

Déterminer votre niveau de conformité PCI

Niveau Critères Exigence de validation
Niveau 1 Plus de 6 millions de transactions par an Audit complet sur site par un QSA + SAQ D
Niveau 2 De 1 à 6 millions de transactions par an SAQ A, SAQ A-EP ou SAQ D + Attestation de conformité (AOC)
Niveau 3 De 20 000 à 1 million de transactions en ligne par an SAQ A, SAQ A-EP ou SAQ D + Attestation de conformité (AOC)
Niveau 4 Moins de 20 000 transactions en ligne OU jusqu'à 1 million de transactions au total SAQ A, SAQ A-EP ou SAQ D + Attestation de conformité (AOC)

Lecture connexe : notre guide de conformité PCI DSS 6.4.3 et 11.6.1 · les responsabilités PCI DSS partagées de PayPal Braintree

  • Niveau 1 = Doit réaliser un ROC (Évaluation complète PCI DSS avec rapport complet de conformité par un QSA)
  • Niveau 2 = Doit réaliser au minimum un SAQ avec attestation par un QSA ou ISA tiers
  • Niveau 3 = Doit réaliser un SAQ
  • Niveau 4 = Facultatif

Soumettre la certification de conformité PCI

  • Vous utilisez des pages de paiement hébergées ? → SAQ A
  • Vous utilisez le chiffrement côté client (CSE) ? → SAQ A-EP
  • Vous utilisez l'intégration directe via API ? → SAQ D

Pour les marchands SAQ A et SAQ A-EP :

  • Complétez le SAQ dans le portail de conformité PCI d'Adyen.
  • Assurez-vous qu'aucun script tiers n'interfère avec les champs hébergés d'Adyen.
  • Conservez la documentation pour les révisions PCI annuelles.

Pour les marchands SAQ D :

  • Mettez en place des contrôles de sécurité robustes (pare-feu, chiffrement, surveillance).
  • Effectuez des analyses réseau trimestrielles avec un Prestataire d'Analyse Agréé (ASV).
  • Soumettez-vous à un audit QSA sur site si vous traitez des volumes importants.

Une fois que vous avez identifié le SAQ approprié selon votre méthode d'intégration, complétez-le rigoureusement. La documentation PCI DSS d'Adyen explique les preuves et les étapes de validation que les marchands doivent préparer pour leur intégration spécifique.

Pour une ventilation détaillée des exigences PCI DSS couvertes par Adyen et celles qui restent de votre responsabilité, consultez Adyen et PCI DSS : ce que le prestataire couvre et ce que vous devez faire.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks, web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

Adyen détient la certification PCI DSS Niveau 1 pour sa propre infrastructure de paiement, mais les marchands utilisant Adyen ne sont pas automatiquement conformes PCI. Vous devez toujours compléter un SAQ, et si vous utilisez le checkout hébergé Adyen, vous pouvez être éligible pour SAQ A, mais seulement si aucune donnée de titulaire de carte ne touche vos serveurs. Dès que vous utilisez les Web Components ou Drop-in d'Adyen, le SAQ A-EP s'applique, incluant les exigences 6.4.3 et 11.6.1 pour la surveillance des scripts côté client.

SAQ A s'applique lorsque les pages de paiement sont entièrement externalisées (hébergées par Adyen). SAQ A-EP s'applique lorsque votre site contrôle comment les pages de paiement sont construites, y compris toute utilisation de Web Components, Drop-in ou intégrations iframe d'Adyen. SAQ A-EP exige un inventaire des scripts (6.4.3) et une détection d'altération (11.6.1) qu'Adyen ne fournit pas.

Non. Adyen tokenise les données de carte sur ses serveurs, mais les skimmers de type Magecart attaquent la couche navigateur avant que les données n'atteignent Adyen. Un script compromis sur votre page de paiement peut capturer les frappes clavier ou racler des champs avant que le SDK Adyen ne traite la carte. La surveillance au niveau du navigateur est nécessaire pour détecter ces attaques.

Adyen couvre les exigences au niveau infrastructure (chiffrement, gestion des clés, stockage). Il ne couvre pas 6.4.3 (inventaire des scripts sur les pages de paiement), 11.6.1 (détection d'altération) ou 12.8 (gestion du risque fournisseur pour d'autres scripts tiers sur votre checkout). Voir notre guide PCI Shield pour la conformité au niveau navigateur.

Vous avez besoin d'une solution au niveau navigateur qui inventorie chaque script sur votre page de checkout Adyen, suit les changements et génère des rapports prêts pour QSA. cside se déploie via une seule balise de script, fonctionne parallèlement au SDK Adyen et produit des preuves prêtes pour audit pour 6.4.3 et 11.6.1.

Oui. cside est le fournisseur privilégié d'AWS pour les exigences PCI DSS 4.0.1 6.4.3 et 11.6.1, soutenu par un partenariat mondial. Les marchands adoptant cside pour la surveillance des scripts au niveau navigateur peuvent l'acquérir via l'AWS Marketplace et aligner le déploiement avec leur outillage de sécurité AWS et leurs workflows de conformité existants.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité
Related Articles
Réserver une démonstration