On nous demande fréquemment si Kinsta offre un hébergement conforme à la norme PCI et aujourd’hui, nous allons donc nous pencher sur ce sujet. Beaucoup ne se rendent pas compte que toutes les boutiques ecommerce qui traitent, stockent ou transmettent des données de cartes de crédit doivent être conformes à la norme PCI, quel que soit leur volume de ventes annuel. Il est donc important de prendre le temps de mieux comprendre la conformité PCI et son impact sur votre entreprise.

Qu’est-ce que PCI ?

Le terme PCI signifie « industrie des cartes de paiement ». Vous l’entendrez souvent associé au PCI DSS qui est la norme de sécurité des données de l’industrie des cartes de paiement. Il s’agit essentiellement d’un ensemble de normes de sécurité pour toutes les entreprises qui acceptent, stockent et transmettent des données de carte de crédit. Cette mesure a été conçue pour protéger les données des consommateurs et garantir que les données des cartes de crédit sont traitées dans un environnement sécurisé.

Des entreprises comme American Express, Discover, JCB International, MasterCard et Visa ont toutes leurs propres programmes de conformité, mais sont régies par les normes de sécurité établies par le PCI Security Standards Council (dont elles sont membres fondateurs).

Est-ce que Kinsta offre un hébergement conforme à la norme PCI ?

Il est important de comprendre que ce n’est pas parce qu’un hébergeur peut être conforme à la norme PCI que vous êtes automatiquement conforme si vous hébergez votre site chez eux. La raison en est que la majeure partie de la responsabilité d’assurer la sécurité incombe toujours à vous en tant que propriétaire du site Web. Par exemple, si vous gérez une boutique WooCommerce, c’est vous qui êtes responsable en dernier ressort du traitement des données des clients, du traitement des cartes de crédit, du stockage et de l’authentification des informations de connexion et de la maintenance du code de votre site.

Kinsta ne garantit pas la conformité PCI, et nous ne sommes pas en mesure d’auditer votre site pour vérifier que vous faites les choses correctement. Cependant, cela ne signifie pas que vous ne pouvez pas être conforme à la norme PCI lorsque vous hébergez votre site Web chez nous. En fait, nous avons de nombreux clients qui ont travaillé avec des auditeurs tiers pour passer des analyses de conformité PCI. Dans plusieurs de ces cas, nous avons dû faire quelques ajustements mineurs sur demande, mais ces clients ont réussi la vérification très bien après quelques ajustements de notre part et de la leur.

Bien que nous ne nous impliquions pas directement dans le processus d’audit, comme cela relève de la responsabilité du propriétaire du site Web, nous pouvons faire des ajustements spécifiques sur demande.

Comment s’y conformer

Voici quelques bonnes pratiques pour vous assurer que vous êtes en conformité chez Kinsta :

1. Questionnaire d’auto-évaluation PCI

Remplissez chaque année un questionnaire d’auto-évaluation (SAQ) pour vous aider à déterminer si votre système de traitement des paiements est conforme à la norme PCI.

2. TLS et HTTPS

Servez vos pages de paiement en toute sécurité en utilisant une version moderne de TLS (1.2 ou supérieure) afin que votre site web utilise HTTPS (connexions cryptées). Kinsta maintient toujours les versions TLS à jour sur nos serveurs et vous pouvez facilement installer un certificat SSL depuis votre tableau de bord MyKinsta.

Voici comment installer le certificat SSL sur WooCommerce.

Remarque : Les normes PCI (industrie des cartes de paiement) acceptent actuellement les certificats DV (domain validated), ce qui signifie que des certificats Let’s Encrypt gratuits peuvent être utilisés. Toutefois, ces règles pourraient également changer à l’avenir. Si vous n’êtes pas à l’aise avec cela, ou si un auditeur recommande de ne pas le faire, vous pouvez toujours installer un certificat SSL personnalisé. Cela offre également une protection supplémentaire, comme une garantie en cas d’atteinte à la protection des données.

Assurez-vous de lire notre guide TLS vs SSL.

3. Traitement des paiements par l’intermédiaire d’un fournisseur tiers

L’un des moyens les plus simples de simplifier la conformité PCI est de traiter vos transactions par carte de crédit via un fournisseur tiers. Vous pouvez facilement connecter votre boutique WooCommerce ou Easy Digital Downloads à une passerelle de paiement, comme Stripe ou PayPal. Vous devriez quand même consulter leurs directives de conformité PCI, car le simple traitement des cartes de crédit hors site ne garantit pas toujours la conformité. D’autres étapes peuvent s’avérer nécessaires.

4. Implémenter un pare-feu

Une autre recommandation est d’établir et de mettre en œuvre un pare-feu pour aider à filtrer le trafic indésirable. Nous utilisons le pare-feu de la plateforme Google Cloud au niveau de l’entreprise, la sécurité active et passive, et d’autres fonctionnalités avancées déjà en place pour empêcher l’accès à vos données.

Toutefois, vous pouvez également implémenter un pare-feu d’application Web tiers (WAF) tel que Sucuri ou Cloudflare pour une protection supplémentaire.

5. Authentification à deux facteurs

L’authentification à deux facteurs implique un processus en deux étapes dans lequel vous avez besoin non seulement de votre mot de passe pour vous connecter, mais d’une deuxième méthode. L’activation de l’authentification à deux facteurs peut aider à prévenir l’accès non autorisé au panneau de contrôle de votre hébergeur et à votre site.

Activer l'authentification à deux facteurs dans MyKinsta
Activer l’authentification à deux facteurs dans MyKinsta

6. Sécurité des centres de données

Kinsta utilise Google Cloud Platform qui utilise l’état de la sécurité à travers ses centres de données : des sauvegardes comme des cartes d’accès électroniques personnalisées, des alarmes, des barrières d’accès de véhicules, des clôtures de périmètre, des détecteurs de métaux, et la biométrie. Le plancher du centre de données est équipé d’un système de détection d’intrusion par faisceau laser.

Leurs centres de données sont surveillés 24/7 par des caméras à haute résolution et patrouillés par des agents de sécurité qui ont fait l’objet de vérifications rigoureuses des antécédents. Chaque action et activité est enregistrée au cas où un incident se produirait.

Toutes les données sont cryptées lors du transit entre Google, les clients et les centres de données, ainsi que les données dans tous les services de la plateforme Cloud. Les données stockées sur les disques persistants sont cryptées sous AES 256 bits et chaque clé de cryptage est également cryptée avec un ensemble de clés maîtres régulièrement modifiées.

Le service Compute Engine de GCP a été examiné par un évaluateur de sécurité qualifié indépendant et jugé conforme à la norme PCI DSS 3.2. Cependant, cela ne signifie pas que vous êtes automatiquement conforme au PCI. Tout ce que nous avons mentionné ci-dessus s’applique toujours, car c’est vous qui êtes responsable en dernier ressort de la conformité PCI de votre site.

L’attestation de conformité PCI de GCP et les rapports SOC 2 ne sont pas accessibles au public. Ces documents ne sont disponibles directement auprès des BPC qu’après la conclusion d’une entente de non-divulgation. Par conséquent, si vous avez besoin d’accéder à ces documents, vous devez établir une relation directe avec les BPC pour demander ces documents.

En savoir plus sur la sécurité de Google Cloud Platform.

Remarque : Les informations ci-dessus sont fournies pour vous aider à répondre aux questions relatives à la conformité PCI. Cependant, nous ne sommes pas responsables de l’évaluation de votre conformité. Ceci devrait toujours être traité par un auditeur tiers.