Blog

Pouvez-vous utiliser PayPal (Braintree) pour PCI DSS ?

Oui, MAIS selon l'intégration, votre entreprise reste responsable d'assurer la conformité avec la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS).

Mar 21, 2025 • 5 min read

Simon Wijckmans Founder & CEO

Illustration de conformite PCI DSS avec PayPal Braintree

Oui, PayPal (et Braintree) est conforme à PCI DSS en tant que fournisseur de services de niveau 1 mais selon votre intégration, vous êtes toujours tenu de compléter un SAQ annuel afin d'être vous-même conforme à PCI. Cela dépend de la façon dont vous intégrez PayPal dans votre entreprise. Voici comment :

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité conçues pour protéger les informations de carte pendant et après une transaction financière. La conformité implique le respect de 12 exigences, allant de l'installation et du maintien d'un réseau sécurisé à la tenue d'un inventaire des scripts tiers s'exécutant sur vos pages web (PCI 6.4.3 et 11.6.1).

Comment être conforme en utilisant PayPal

Selon les directives officielles de PayPal, vos exigences de conformité PCI DSS dépendent de la façon dont votre entreprise traite les données de paiement. Si vous redirigez les utilisateurs vers le paiement hébergé de PayPal, votre périmètre PCI est minimal (SAQ A). Cependant, si vous traitez des données de carte brutes, vous devez compléter le SAQ D et suivre des contrôles de sécurité plus stricts.

Il existe trois principales façons dont les entreprises utilisent PayPal :

Type d'intégration	Périmètre PCI	SAQ requis
PayPal Standard, Express Checkout ou Smart Button (redirection vers PayPal)	Minimal - Aucune donnée de titulaire de carte sur vos serveurs	SAQ A
Interface utilisateur drop-in Braintree avancée de PayPal*	Minimal - Champs hébergés, aucune donnée de titulaire de carte sur vos serveurs*	SAQ A*
Intégration API directe (PayPal Pro, Braintree, API ou stockage de données de carte)	Élevé - Les données de titulaire de carte transitent par votre serveur	SAQ D

*Vous devez maintenant surveiller les dépendances sur les pages de paiement, plus de détails ci-dessous.

Si vous redirigez les utilisateurs vers le paiement hébergé de PayPal, vous êtes éligible au SAQ A.
Si vous utilisez des champs hébergés (par exemple, l'interface utilisateur drop-in Braintree), vous êtes éligible au SAQ A.
Si vous collectez et stockez des données de titulaire de carte, vous devez compléter le SAQ D et mettre en œuvre tous les contrôles PCI.

Si votre entreprise traite ou stocke des données de titulaire de carte (SAQ D), vous devez :

Mettre en œuvre un chiffrement robuste pour les données de paiement.
Configurer des politiques de pare-feu et de contrôle d'accès.
Effectuer des analyses réseau trimestrielles avec un fournisseur d'analyse approuvé (ASV).
Compléter un audit PCI DSS complet si vous êtes un commerçant de niveau 1 (6M+ transactions/an).

Braintree appartient à PayPal et fonctionne comme sa filiale. Cette relation a un impact direct sur la conformité PCI, selon le produit PayPal ou Braintree que vous utilisez. Braintree fournit des options de traitement de paiement plus directes, ce qui signifie que vous pourriez avoir besoin du SAQ D si les données de carte interagissent avec vos serveurs.

*Surveillance des dépendances pour la conformité SAQ A

Conformément à la mise à jour de janvier 2025, le PCI Security Standards Council a souligné l'importance de surveiller les dépendances. Cela inclut les scripts propriétaires et tiers sur les sites web. Cette mise à jour exige que les commerçants s'assurent que leurs sites ne sont pas susceptibles d'être attaqués par ces scripts.

Veuillez trouver la documentation de PayPal concernant PCI DSS ici.

Déterminez votre niveau de conformité PCI

Niveau	Critères	Exigence de validation
Niveau 1	Plus de 6 millions de transactions par an	Audit complet sur site par un QSA + SAQ D
Niveau 2	1 à 6 millions de transactions par an	SAQ A, SAQ A-EP ou SAQ D + Attestation de conformité (AOC)
Niveau 3	20 000 à 1 million de transactions en ligne par an	SAQ A, SAQ A-EP ou SAQ D + Attestation de conformité (AOC)
Niveau 4	Moins de 20 000 transactions en ligne OU jusqu'à 1 million de transactions totales	SAQ A, SAQ A-EP ou SAQ D + Attestation de conformité (AOC)

Niveau 1 = Doit effectuer un ROC (évaluation PCI DSS complète avec rapport complet sur la conformité par QSA)
Niveau 2 = Doit effectuer au moins un SAQ avec attestation QSA ou ISA tierce
Niveau 3 = Doit effectuer un SAQ
Niveau 4 = Optionnel

Soumettre la certification de conformité PCI

Pour les commerçants SAQ A :

Complétez le SAQ A via le portail de conformité PCI de PayPal.
Assurez-vous qu'aucun script n'interfère avec les champs hébergés de PayPal.
Conservez la documentation pour les examens annuels.

Pour les commerçants SAQ D :

Effectuez des analyses réseau trimestrielles via un fournisseur d'analyse approuvé (ASV).
Mettez en œuvre les contrôles de sécurité PCI (pare-feu, chiffrement, contrôle d'accès).
Subissez un audit QSA sur site si nécessaire.

Une fois que vous avez identifié le SAQ correct en fonction de votre méthode d'intégration, complétez-le minutieusement. Stripe fournit un assistant PCI dans votre tableau de bord pour vous guider tout au long de ce processus.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Cela réduit vos obligations sans les supprimer. Même si les champs de données de carte sont hébergés par PayPal ou Braintree, vous contrôlez toujours la page de paiement, donc les sections 6.4.3 et 11.6.1 de PCI DSS 4.0.1 (gestion des scripts et surveillance de l'intégrité) s'appliquent toujours.

Vous devez inventorier et autoriser chaque script de la page de paiement, surveiller les en-têtes HTTP et le contenu pour détecter les changements non autorisés, et conserver une piste d'audit. cside automatise cela pour les intégrations PayPal et Braintree.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Quand une API d'IA renvoie la réponse d'un autre utilisateur : caches partagés et fuites entre clients

Un incident de l'API Claude semble avoir renvoyé les réponses d'autres utilisateurs. Pourquoi les caches partagés provoquent des fuites entre clients.

Un jeton d'accès OAuth 2.0 au centre d'un schéma reliant un appareil légitime à l'appareil d'un attaquant

Ce n'est pas la MFA qui a échoué, mais le modèle de confiance : phishing par code d'appareil et vol de jetons OAuth (Kali365)

Kali365 détourne l'octroi d'autorisation d'appareil d'OAuth 2.0 pour voler des jetons Microsoft 365 après la MFA. Décryptage technique du flux, de FOCI et de la détection.

Une fenêtre de navigateur se dissolvant en un flux de particules de lumière bleue sur fond sombre

L'IA comprime le cycle d'exploitation : le zero-day développé par l'IA de Google et ce que cela signifie pour les navigateurs

Google a signalé un zero-day qu'il pense développé par l'IA. Le vrai changement n'est pas un meilleur phishing, mais la vitesse vers le navigateur.

Jetons de session traversant une frontière de sécurité du navigateur vers des signaux d'empreinte du terminal

La session navigateur est devenue un plan de contrôle de sécurité. Les attaquants le savaient depuis des années.

La proposition DBSC de Google confirme un virage clair : les sessions navigateur doivent valider le terminal après la connexion.

Meilleures solutions de prévention de la prise de contrôle de compte comparées (2026)

Suites anti-fraude, fingerprinting et MFA comparés par couverture de la chaîne d'attaque ATO. Trouvez la bonne combinaison pour votre profil de risque.

Comment empêcher les agents IA de créer de faux comptes (guide)

Les agents IA créent de faux comptes avec des navigateurs réels, des IP résidentielles et des identités générées. Voici les signaux pour les arrêter.

Comment bloquer les bots de scraping de contenu basés sur des agents IA (Guide)

Les bots de scraping IA utilisent de vrais navigateurs, des IP résidentielles et des LLM pour voler vos données. Voici comment les arrêter.

Bannière sombre cside montrant une attaque de chaîne d'approvisionnement npm de type ver

L'effet boule de neige : comment Mini Shai-Hulud transforme npm en réseau de distribution de ver

Mini Shai-Hulud a transformé des paquets npm en boucle de vol d'identifiants. Voici comment la vague AntV s'est propagée.

Pourquoi les CAPTCHA ne sont plus une défense fiable contre les bots

Les CAPTCHA ne sont plus une défense principale fiable contre les bots. Voyez pourquoi ils échouent et comment augmenter le coût attaquant.

Banniere illustree du blog sur les sanctions contre Funnull, le blanchiment d'infrastructure et le risque de chaine d'approvisionnement dans le navigateur

Funnull sanctionnée : ce que Polyfill[.]io a révélé sur le blanchiment d'infrastructure

Les sanctions visant Funnull montrent que Polyfill relevait d'un risque plus large de blanchiment d'infrastructure.