On nous demande souvent si Kinsta propose un hébergement conforme à la norme PCI, c’est pourquoi nous allons nous pencher sur ce sujet aujourd’hui. Nombreux sont ceux qui ne réalisent pas que chaque boutique de commerce électronique qui traite, stocke ou transmet des données de cartes bancaires doit être conforme à la norme PCI, quel que soit son volume de ventes annuel. Il est donc important de prendre le temps de mieux comprendre la conformité PCI et son impact sur votre entreprise.
Qu’est-ce que PCI ?
Le terme PCI signifie « Payment Card Industry » (industrie des cartes de paiement) Vous l’entendrez souvent dans le contexte de PCI DSS – la norme de sécurité des données de l’industrie des cartes de paiement. Il s’agit d’un ensemble de normes de sécurité pour toute entreprise qui accepte, stocke ou transmet des données de cartes bancaires, créé pour protéger les consommateurs et garantir que les données de paiement sont traitées en toute sécurité.
Des sociétés comme American Express, Discover, JCB International, MasterCard et Visa ont leurs propres programmes de conformité, mais elles suivent toutes les règles établies par le PCI Security Standards Council (dont elles sont membres fondateurs).
En mars 2022, la version 4.0 de la norme PCI DSS a été publiée, remplaçant l’ancienne norme 3.2.1. La nouvelle version met l’accent sur le renforcement de la sécurité et offre plus de souplesse dans la manière dont les entreprises atteignent leurs objectifs de conformité. Les principaux changements sont les suivants :
- Une nouvelle « approche personnalisée » de la conformité, en plus du modèle traditionnel basé sur une liste de contrôle
- L’authentification multi-facteurs (MFA) obligatoire pour tous les accès aux environnements de données des détenteurs de cartes
- L’accent mis sur la sécurité en tant que processus continu, et non en tant que solution ponctuelle
- Exigences renforcées pour la sécurisation des plateformes de commerce électronique et des applications web – particulièrement pertinentes pour les sites WordPress et WooCommerce
Si vous gérez des paiements ou des données clients sur votre site WordPress, il est important de comprendre comment ces changements affectent vos responsabilités dans le cadre de la norme PCI DSS.
Kinsta propose-t-il un hébergement conforme à la norme PCI ?
Il est important de comprendre que ce n’est pas parce qu’un hébergeur est conforme à la norme PCI que votre site web l’est automatiquement. En effet, la conformité à la norme PCI DSS repose sur un modèle de responsabilité partagée.
En tant que fournisseur d’hébergement WordPress infogéré, Kinsta est responsable de la sécurisation de l’infrastructure du serveur, de la mise à jour des correctifs du système d’exploitation, de l’application de protections strictes au niveau du réseau et de la prise en charge de connexions TLS (HTTPS) sécurisées. Cependant, tout ce qui se trouve au-dessus de la couche d’infrastructure – comme la sécurisation de votre installation WordPress, la gestion des extensions et des thèmes, le traitement des informations de paiement et la configuration correcte de votre site – est sous votre contrôle.
En pratique, cela signifie que la majeure partie de la responsabilité vous incombe toujours en tant que propriétaire du site web. Par exemple, si vous gérez une boutique WooCommerce, vous êtes responsable de la gestion des données clients, du traitement des cartes bancaires, de la sécurisation des comptes utilisateurs et de la maintenance de la base de code de votre site.
Kinsta ne garantit pas la conformité PCI et nous ne pouvons pas auditer votre site pour vérifier si votre implémentation répond aux exigences. Cependant, cela ne signifie pas que vous ne pouvez pas être conforme à la norme PCI tout en étant hébergé chez nous.
Beaucoup de nos clients ont travaillé avec des auditeurs tiers pour passer avec succès les analyses de conformité PCI. Dans certains cas, nous avons procédé à quelques ajustements mineurs de l’infrastructure sur demande, mais les audits ont été réussis grâce à une combinaison de configuration côté client et de conseils d’une tierce partie.
Bien que nous ne participions pas directement au processus d’audit, nous sommes heureux de vous aider à apporter des changements spécifiques si nécessaire.
Comment être conforme
Voici quelques bonnes pratiques pour vous assurer que vous êtes en conformité chez Kinsta :
1. Questionnaire d’auto-évaluation PCI
Remplissez chaque année un questionnaire d’auto-évaluation (SAQ) pour vous aider à déterminer si votre système de traitement des paiements est conforme à la norme PCI.
2. TLS et HTTPS
Servez vos pages de paiement en toute sécurité en utilisant TLS 1.3 (de préférence) ou TLS 1.2 pour activer HTTPS (connexions cryptées). PCI DSS 4.0 exige une configuration TLS sécurisée, y compris des suites de chiffrement solides et des évaluations de sécurité régulières. Kinsta maintient toujours les versions TLS à jour sur nos serveurs, et vous pouvez facilement installer un certificat SSL depuis votre tableau de bord MyKinsta.
Voici comment installer le certificat SSL sur WooCommerce.
PCI DSS 4.0 accepte les certificats validés par domaine (DV), à condition qu’ils utilisent des algorithmes de cryptage puissants (tels que SHA-256) et qu’ils soient correctement entretenus. Chez Kinsta, les certificats SSL – y compris le support wildcard – sont automatiquement émis via notre intégration gratuite de Cloudflare, assurant des connexions HTTPS sécurisées et conformes par défaut. Pour plus d’assurance ou d’exigences organisationnelles, vous pouvez également choisir d’installer un certificat EV (Extended Validation) ou OV (Organization Validated) personnalisé.
N’oubliez pas de lire notre guide TLS vs SSL.
3. Traiter les paiements via un fournisseur tiers
L’une des façons les plus simples de simplifier la conformité PCI est de traiter vos transactions par carte bancaire via un fournisseur tiers. Vous pouvez facilement connecter votre boutique WooCommerce ou Easy Digital Downloads à une passerelle de paiement, telle que Stripe ou PayPal. Vous devez toutefois consulter leurs directives de conformité PCI, car le simple fait de traiter les cartes bancaires hors site ne garantit pas toujours la conformité. Des étapes supplémentaires peuvent être nécessaires.
4. Mettre en place un pare-feu
La norme PCI DSS exige que les systèmes traitant les données des titulaires de cartes soient protégés par des pare-feu correctement configurés pour contrôler le trafic et bloquer les accès non autorisés.
Chez Kinsta, chaque site bénéficie de plusieurs couches de protection par pare-feu. Tout le trafic web est acheminé via notre intégration Cloudflare, qui comprend un pare-feu d’application web (WAF) entièrement géré avec des ensembles de règles personnalisées, un filtrage intelligent du trafic et une atténuation DDoS intégrée à la périphérie du réseau.
Cette approche offre une solide protection par défaut contre les menaces courantes telles que les tentatives d’accès non autorisé, les robots malveillants et les attaques de la couche d’application.
Si votre auditeur PCI ou votre équipe de sécurité exige une personnalisation supplémentaire, vous pouvez également intégrer un pare-feu d’application web (WAF) tiers comme Sucuri ou des plans Cloudflare autonomes avec des règles personnalisées.
5. Effectuer des tests de sécurité réguliers
La norme PCI DSS 4.0 comporte des exigences spécifiques en matière de tests de sécurité réguliers. Il s’agit notamment de l’analyse des vulnérabilités, des tests de pénétration et de la surveillance de l’intégrité des fichiers afin de détecter et de traiter les menaces potentielles pour la sécurité avant qu’elles ne deviennent des problèmes.
Chez Kinsta, nous protégeons votre environnement avec des fonctionnalités telles que l’atténuation des attaques DDoS, l’analyse des logiciels malveillants, les pare-feu matériels et d’autres mesures de protection au niveau de l’infrastructure. Cependant, vous êtes responsable de tester la couche applicative – y compris votre site WordPress, les extensions, les thèmes et tout code personnalisé.
Au-delà des analyses ASV, nous vous recommandons également de procéder régulièrement à des tests internes afin de réduire les risques et de garder une longueur d’avance sur les contrôles de conformité :
- Utilisez un scanner de vulnérabilité pour détecter les extensions et les thèmes obsolètes ou non sécurisés
- Planifiez des tests de pénétration périodiques, en particulier si vous traitez directement des données de paiement
- Activez la surveillance des modifications de fichiers à l’aide d’une extension de sécurité WordPress
Certains processeurs de paiement ou sociétés de sécurité tierces peuvent également fournir des outils pour vous aider à répondre à ces exigences de test dans le cadre de votre processus de conformité PCI.
6. Authentification multifactorielle
L’authentification multifactorielle (MFA) est une méthode de sécurité qui exige des utilisateurs qu’ils fournissent au moins deux types d’informations d’identification avant d’obtenir un accès – généralement une combinaison de quelque chose que vous connaissez (comme un mot de passe) et de quelque chose que vous avez (comme un code provenant d’une application d’authentification sur votre téléphone).
C’est ce qu’on appelle communément l’authentification à deux facteurs (2FA), qui est une forme spécifique de MFA utilisant exactement deux facteurs. Bien que ces termes soient souvent utilisés de manière interchangeable, la norme PCI DSS 4.0 utilise désormais le terme plus large d’AFM et élargit les situations dans lesquelles elle est nécessaire.
Selon la norme PCI DSS 4.0, l’AMF est obligatoire pour :
- Tous les accès à l’environnement des données des titulaires de cartes (CDE)
- Tous les accès à distance aux systèmes qui traitent les données de paiement
- Tout accès administratif aux systèmes de traitement des paiements
Chez Kinsta, l’authentification à deux facteurs (2FA) est nécessaire pour toutes les connexions MyKinsta, ce qui ajoute une couche supplémentaire de protection pour votre tableau de bord d’hébergement. Vous pouvez également activer l’authentification à deux facteurs pour votre zone d’administration WordPress afin de sécuriser davantage votre site.
- Activer l’authentification multi-facteurs sur MyKinsta
- Activer l’authentification multi-facteurs sur votre site WordPress
7. Sécurité du centre de données
L’infrastructure cloud de Kinsta est conçue pour répondre à des exigences strictes en matière de sécurité et de conformité pour l’hébergement de charges de travail sensibles, y compris des environnements qui soutiennent les efforts de conformité PCI DSS.
Nos centres de données mettent en œuvre des contrôles de sécurité physique à plusieurs niveaux, tels que l’accès contrôlé aux installations, la surveillance continue, les systèmes de détection d’intrusion et le personnel de sécurité sur place. Tous les accès et toutes les activités sont enregistrés et vérifiés afin de faciliter les enquêtes sur les incidents et de répondre aux exigences de conformité.
Les données sont cryptées en transit et au repos à l’aide de normes de cryptage strictes, y compris l’AES 256 bits pour les données stockées. Les clés de chiffrement sont gérées et font l’objet d’une rotation régulière dans le cadre de nos contrôles de sécurité plus généraux.
Kinsta est conforme à la norme SOC 2. Vous pouvez en savoir plus sur notre page de conformité SOC 2, ou visiter notre page de rapport de confiance.
Brian a une grande passion pour WordPress, l'utilise depuis plus de dix ans et développe même quelques plugins de qualité. Brian aime les blogs, les films et les randonnées. Connectez avec Brian sur Twitter.
