Conformité PCI

Comment devenir conforme PCI DSS : le guide sans jargon pour le marchand canadien

La conformité PCI DSS est exigée par votre acquéreur (votre processeur de paiement) dès que vous acceptez des cartes de crédit ou de débit. Pour la grande majorité des petits marchands canadiens — ceux qui utilisent un terminal de paiement autonome (PAX, Ingenico, Verifone) branché à Internet sans stocker de données de cartes sur leurs propres serveurs — le processus implique un questionnaire annuel en ligne, une attestation signée, et des scans trimestriels de vulnérabilité. Ce guide vous explique exactement comment faire, sans jargon.

Marche à suivre

  1. 01

    Identifiez comment vous acceptez les cartes

    Terminal autonome en magasin branché via IP ? Commerce électronique avec page de paiement hébergée ou redirigée ? Logiciel POS sur ordinateur connecté à Internet ? Terminal virtuel saisi à la main ? La réponse détermine votre type de SAQ. Consultez le tableau de la section précédente si vous n'êtes pas certain.

  2. 02

    Choisissez votre type de SAQ

    Utilisez le tableau des types de SAQ ci-dessus pour identifier celui qui s'applique à votre situation. Pour la plupart des marchands en magasin avec un terminal PAX, Ingenico ou Verifone branché à Internet, il s'agit du SAQ B-IP. En cas de doute, contactez votre acquéreur ou consultez pcisecuritystandards.org.

  3. 03

    Accédez au portail de conformité de votre acquéreur

    Chaque acquéreur (Moneris, First Data/Fiserv, Elavon, Desjardins, etc.) dispose d'un portail de conformité en ligne — souvent géré par un spécialiste comme SecurityMetrics ou Sysnet. Le lien figure généralement sur votre relevé de marchand ou vous est envoyé par courriel. Si vous ne le trouvez pas, appelez le service aux marchands de votre acquéreur.

  4. 04

    Complétez le questionnaire SAQ en ligne

    Le portail vous guidera question par question. Les questions portent sur la sécurisation de votre environnement de paiement : accès physique au terminal, mises à jour logicielles, mots de passe par défaut changés, séparation du réseau de paiement de vos autres réseaux, etc. Pour un SAQ B-IP, comptez environ 30 à 60 minutes la première fois.

  5. 05

    Signez l'attestation de conformité (AOC)

    Une fois le questionnaire rempli, vous signez une Attestation of Compliance (AOC) — le document officiel attestant que votre environnement respecte les exigences PCI DSS. Le portail génère généralement ce document automatiquement. Conservez une copie : votre acquéreur peut vous la demander.

  6. 06

    Effectuez un scan ASV trimestriel si votre SAQ l'exige

    Plusieurs types de SAQ exigent un scan trimestriel de vos systèmes exposés à Internet par un Approved Scanning Vendor (ASV) approuvé par le PCI SSC : SAQ B-IP (exigence 11.3.2), SAQ C, SAQ D, et — depuis PCI DSS v4.0 — SAQ A pour les marchands dont le site redirige vers une page de paiement tiers ou intègre un iframe. Les types SAQ B, C-VT et P2PE ne requièrent généralement pas de scan ASV. Consultez les exigences spécifiques à votre type de SAQ sur pcisecuritystandards.org ou vérifiez avec votre acquéreur.

  7. 07

    Renouvelez chaque année

    La conformité PCI est annuelle. La plupart des acquéreurs envoient un rappel par courriel quelques semaines avant l'expiration. Posez une alerte dans votre calendrier pour ne pas laisser expirer votre attestation — les frais de non-conformité reprennent dès le lendemain de l'expiration.

Qu'est-ce que PCI DSS et pourquoi votre acquéreur l'exige

PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de règles de sécurité créé par les réseaux de cartes — Visa, Mastercard, American Express, Discover et JCB — via le PCI Security Standards Council. Son objectif : protéger les données de titulaires de cartes contre le vol et la fraude. La version actuelle en vigueur est PCI DSS v4.0.1.

En tant que marchand, vous n'avez pas signé directement avec le PCI SSC. C'est votre acquéreur — Moneris, First Data/Fiserv, Elavon, Desjardins Paiements ou autre — qui vous impose la conformité PCI dans votre contrat de traitement. Si votre attestation est absente ou expirée, votre processeur vous facture typiquement des « frais de non-conformité » mensuels — souvent mal expliqués sur votre relevé. Ces frais cessent dès que vous complétez votre questionnaire annuel.

Trouvez votre niveau de marchand

Les réseaux de cartes classifient les marchands en 4 niveaux selon leur volume annuel de transactions. Ce niveau détermine si vous avez besoin d'un audit complet par un auditeur qualifié (QSA) ou si vous pouvez vous auto-certifier avec un questionnaire (SAQ). La bonne nouvelle : la quasi-totalité des PME canadiennes sont au niveau 4, et l'auto-évaluation suffit.

  • Niveau 1 : plus de 6 000 000 de transactions par an → audit obligatoire par un QSA. Ne concerne pas les PME typiques.
  • Niveau 2 : entre 1 000 000 et 6 000 000 de transactions → SAQ annuel suffisant.
  • Niveau 3 : entre 20 000 et 1 000 000 de transactions de commerce électronique → SAQ annuel.
  • Niveau 4 : moins de 1 000 000 de transactions toutes méthodes confondues (ou moins de 20 000 en ligne) → SAQ annuel. C'est ici que se trouve la grande majorité des petits marchands canadiens.

Quel questionnaire SAQ choisir ?

Le SAQ (Self-Assessment Questionnaire) est le formulaire d'auto-évaluation annuel que vous remplissez pour attester de votre conformité. Le bon type dépend de la façon dont vous acceptez les cartes. Il en existe plusieurs, du plus court au plus exhaustif.

Pour les marchands en magasin qui utilisent un terminal de paiement autonome (PAX, Ingenico, Verifone) fourni par leur processeur, branché directement à Internet via Ethernet ou Wi-Fi, et qui ne stockent pas de données de cartes sur leurs propres systèmes, la catégorie applicable est généralement SAQ B-IP. Ce type de SAQ exige un questionnaire annuel, une attestation de conformité (AOC) et des scans trimestriels par un Approved Scanning Vendor (ASV).

  • SAQ A — Commerce électronique uniquement, page de paiement entièrement hébergée ou redirigée vers un tiers conforme PCI (page de paiement hébergée de Moneris, Stripe Checkout, etc.). Aucune donnée de carte ne touche vos serveurs. Depuis PCI DSS v4.0, les marchands SAQ A dont le site redirige vers une page tiers ou intègre un iframe de paiement doivent effectuer des scans ASV trimestriels de leur environnement web. Vérifiez les exigences spécifiques de votre implémentation avec votre acquéreur.
  • SAQ B — Présence physique uniquement, avec terminal à cadran analogique (ligne téléphonique) ou machine à empreinte. Pas de connexion Internet au terminal. Court questionnaire, pas de scan ASV.
  • SAQ B-IP — Terminal de paiement autonome branché via IP (Ethernet ou Wi-Fi), certifié PTS par le PCI SSC, qui se connecte directement au processeur sans passer par vos propres systèmes. Aucune donnée de carte stockée. C'est le type le plus courant pour un commerce avec un terminal PAX, Ingenico ou Verifone moderne connecté à Internet. Questionnaire de longueur intermédiaire. Scans trimestriels ASV requis (exigence 11.3.2 PCI DSS v4.0).
  • SAQ C — Logiciel de point de vente (POS) installé sur un ordinateur connecté à Internet. Aucune donnée de carte stockée après autorisation. Questionnaire plus long. Scans trimestriels ASV requis.
  • SAQ C-VT — Saisie manuelle des transactions via un terminal virtuel dans un navigateur web, sur un ordinateur isolé non connecté à d'autres systèmes. Questionnaire intermédiaire, pas de scan ASV.
  • SAQ P2PE — Solution de chiffrement point-à-point (P2PE) approuvée et listée officiellement par le PCI SSC. Questionnaire très court si la solution figure bien sur la liste PCI SSC P2PE. Pas de scan ASV requis.
  • SAQ D Marchand — Vous stockez des données de cartes, ou vous ne répondez aux critères d'aucune autre catégorie. Questionnaire très complet. Scans ASV requis. À éviter si possible en adoptant une architecture qui ne stocke pas les données de cartes.

Et chez BorderPay ?

Chez BorderPay, la conformité PCI fait partie des sujets que nous expliquons clairement dès la signature — sans ligne mystérieuse dans votre relevé mensuel. Nous ne cachons pas de « frais de non-conformité » dans vos frais mensuels : si vous avez besoin d'aide pour choisir votre type de SAQ ou compléter votre questionnaire annuel, notre équipe bilingue vous accompagne. Et parce que notre tarification est annoncée d'avance, intégralement — aucuns frais cachés, à vie — vous savez exactement ce que vous payez pour le traitement de vos cartes, dès le premier jour.

Votre processeur actuel vous facture des frais PCI inexplicables, ou vous n'êtes pas sûr de votre type de SAQ ? Parlez-nous — nous sommes là pour répondre même si vous n'êtes pas encore client BorderPay.

Questions fréquentes

On répond à vos questions

Ai-je besoin d'un expert externe (QSA) pour me conformer ?
Non, pas si vous êtes marchand de niveau 2, 3 ou 4. Vous pouvez compléter vous-même votre SAQ directement dans le portail de conformité de votre acquéreur. Un Qualified Security Assessor (QSA) n'est obligatoire que pour les marchands de niveau 1 (plus de 6 000 000 de transactions par an), ce qui ne concerne pas la quasi-totalité des PME canadiennes.
Mon terminal PAX, Ingenico ou Verifone est-il automatiquement conforme PCI ?
Le terminal lui-même est un appareil certifié PTS (PIN Transaction Security) par le PCI SSC — c'est une condition que votre acquéreur vérifie avant de vous le fournir. Mais la conformité PCI de votre entreprise est différente : elle porte sur l'ensemble de votre environnement (comment le terminal est connecté, qui y a accès, comment vos réseaux sont protégés). Le terminal certifié vous facilite la tâche, il ne vous dispense pas du SAQ annuel ni des scans ASV trimestriels exigés par votre type de SAQ.
Qu'est-ce qu'un scan ASV et est-ce que je dois en faire ?
Un scan ASV (Approved Scanning Vendor) est une analyse automatisée de vos adresses IP et noms de domaine exposés à Internet, effectuée chaque trimestre par un prestataire approuvé par le PCI SSC. Il vérifie l'absence de vulnérabilités connues pouvant exposer des données de cartes. Ce scan est requis pour les marchands SAQ B-IP (exigence 11.3.2), SAQ C et SAQ D. Depuis PCI DSS v4.0, il est également requis pour les marchands SAQ A dont le site redirige vers une page de paiement tiers ou intègre un iframe de paiement. Les marchands SAQ B, C-VT et P2PE n'y sont généralement pas soumis. Vérifiez le tableau des exigences dans la documentation officielle de votre type de SAQ ou auprès de votre acquéreur.
Que se passe-t-il si je ne remplis pas mon SAQ ?
Votre acquéreur vous facturera des frais de non-conformité mensuels tant que votre attestation sera absente ou expirée. Ces frais sont souvent mal étiquetés dans les relevés de marchands — certains processeurs les cachent dans une ligne « PCI » ou « programme sécurité ». En cas de compromission de données, la non-conformité peut également entraîner des amendes plus sévères des réseaux de cartes et une responsabilité accrue pour les pertes liées à la fraude.
Je vends en ligne ET en boutique — quel SAQ s'applique ?
Vous devrez appliquer les exigences du SAQ le plus contraignant selon vos environnements. Par exemple, si votre boutique en ligne utilise une page de paiement entièrement hébergée (SAQ A) mais que votre caisse en magasin est un logiciel POS connecté à Internet (SAQ C), vous serez généralement tenu de vous conformer au SAQ C pour l'ensemble. Discutez de votre situation précise avec votre acquéreur ou un conseiller PCI pour éviter de choisir un type de SAQ inadapté.

Prêt à passer
au niveau supérieur ?

Une approche plus claire et plus moderne des paiements pour les commerces d'ici. Parlons-en — en français, à votre rythme.

Appeler1 888 231-9475