Comment devenir conforme PCI DSS : le guide sans jargon pour le marchand canadien
La conformité PCI DSS est exigée par votre acquéreur (votre processeur de paiement) dès que vous acceptez des cartes de crédit ou de débit. Pour la grande majorité des petits marchands canadiens — ceux qui utilisent un terminal de paiement autonome (PAX, Ingenico, Verifone) branché à Internet sans stocker de données de cartes sur leurs propres serveurs — le processus implique un questionnaire annuel en ligne, une attestation signée, et des scans trimestriels de vulnérabilité. Ce guide vous explique exactement comment faire, sans jargon.
Marche à suivre
- 01
Identifiez comment vous acceptez les cartes
Terminal autonome en magasin branché via IP ? Commerce électronique avec page de paiement hébergée ou redirigée ? Logiciel POS sur ordinateur connecté à Internet ? Terminal virtuel saisi à la main ? La réponse détermine votre type de SAQ. Consultez le tableau de la section précédente si vous n'êtes pas certain.
- 02
Choisissez votre type de SAQ
Utilisez le tableau des types de SAQ ci-dessus pour identifier celui qui s'applique à votre situation. Pour la plupart des marchands en magasin avec un terminal PAX, Ingenico ou Verifone branché à Internet, il s'agit du SAQ B-IP. En cas de doute, contactez votre acquéreur ou consultez pcisecuritystandards.org.
- 03
Accédez au portail de conformité de votre acquéreur
Chaque acquéreur (Moneris, First Data/Fiserv, Elavon, Desjardins, etc.) dispose d'un portail de conformité en ligne — souvent géré par un spécialiste comme SecurityMetrics ou Sysnet. Le lien figure généralement sur votre relevé de marchand ou vous est envoyé par courriel. Si vous ne le trouvez pas, appelez le service aux marchands de votre acquéreur.
- 04
Complétez le questionnaire SAQ en ligne
Le portail vous guidera question par question. Les questions portent sur la sécurisation de votre environnement de paiement : accès physique au terminal, mises à jour logicielles, mots de passe par défaut changés, séparation du réseau de paiement de vos autres réseaux, etc. Pour un SAQ B-IP, comptez environ 30 à 60 minutes la première fois.
- 05
Signez l'attestation de conformité (AOC)
Une fois le questionnaire rempli, vous signez une Attestation of Compliance (AOC) — le document officiel attestant que votre environnement respecte les exigences PCI DSS. Le portail génère généralement ce document automatiquement. Conservez une copie : votre acquéreur peut vous la demander.
- 06
Effectuez un scan ASV trimestriel si votre SAQ l'exige
Plusieurs types de SAQ exigent un scan trimestriel de vos systèmes exposés à Internet par un Approved Scanning Vendor (ASV) approuvé par le PCI SSC : SAQ B-IP (exigence 11.3.2), SAQ C, SAQ D, et — depuis PCI DSS v4.0 — SAQ A pour les marchands dont le site redirige vers une page de paiement tiers ou intègre un iframe. Les types SAQ B, C-VT et P2PE ne requièrent généralement pas de scan ASV. Consultez les exigences spécifiques à votre type de SAQ sur pcisecuritystandards.org ou vérifiez avec votre acquéreur.
- 07
Renouvelez chaque année
La conformité PCI est annuelle. La plupart des acquéreurs envoient un rappel par courriel quelques semaines avant l'expiration. Posez une alerte dans votre calendrier pour ne pas laisser expirer votre attestation — les frais de non-conformité reprennent dès le lendemain de l'expiration.
Qu'est-ce que PCI DSS et pourquoi votre acquéreur l'exige
PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de règles de sécurité créé par les réseaux de cartes — Visa, Mastercard, American Express, Discover et JCB — via le PCI Security Standards Council. Son objectif : protéger les données de titulaires de cartes contre le vol et la fraude. La version actuelle en vigueur est PCI DSS v4.0.1.
En tant que marchand, vous n'avez pas signé directement avec le PCI SSC. C'est votre acquéreur — Moneris, First Data/Fiserv, Elavon, Desjardins Paiements ou autre — qui vous impose la conformité PCI dans votre contrat de traitement. Si votre attestation est absente ou expirée, votre processeur vous facture typiquement des « frais de non-conformité » mensuels — souvent mal expliqués sur votre relevé. Ces frais cessent dès que vous complétez votre questionnaire annuel.
Trouvez votre niveau de marchand
Les réseaux de cartes classifient les marchands en 4 niveaux selon leur volume annuel de transactions. Ce niveau détermine si vous avez besoin d'un audit complet par un auditeur qualifié (QSA) ou si vous pouvez vous auto-certifier avec un questionnaire (SAQ). La bonne nouvelle : la quasi-totalité des PME canadiennes sont au niveau 4, et l'auto-évaluation suffit.
- Niveau 1 : plus de 6 000 000 de transactions par an → audit obligatoire par un QSA. Ne concerne pas les PME typiques.
- Niveau 2 : entre 1 000 000 et 6 000 000 de transactions → SAQ annuel suffisant.
- Niveau 3 : entre 20 000 et 1 000 000 de transactions de commerce électronique → SAQ annuel.
- Niveau 4 : moins de 1 000 000 de transactions toutes méthodes confondues (ou moins de 20 000 en ligne) → SAQ annuel. C'est ici que se trouve la grande majorité des petits marchands canadiens.
Quel questionnaire SAQ choisir ?
Le SAQ (Self-Assessment Questionnaire) est le formulaire d'auto-évaluation annuel que vous remplissez pour attester de votre conformité. Le bon type dépend de la façon dont vous acceptez les cartes. Il en existe plusieurs, du plus court au plus exhaustif.
Pour les marchands en magasin qui utilisent un terminal de paiement autonome (PAX, Ingenico, Verifone) fourni par leur processeur, branché directement à Internet via Ethernet ou Wi-Fi, et qui ne stockent pas de données de cartes sur leurs propres systèmes, la catégorie applicable est généralement SAQ B-IP. Ce type de SAQ exige un questionnaire annuel, une attestation de conformité (AOC) et des scans trimestriels par un Approved Scanning Vendor (ASV).
- SAQ A — Commerce électronique uniquement, page de paiement entièrement hébergée ou redirigée vers un tiers conforme PCI (page de paiement hébergée de Moneris, Stripe Checkout, etc.). Aucune donnée de carte ne touche vos serveurs. Depuis PCI DSS v4.0, les marchands SAQ A dont le site redirige vers une page tiers ou intègre un iframe de paiement doivent effectuer des scans ASV trimestriels de leur environnement web. Vérifiez les exigences spécifiques de votre implémentation avec votre acquéreur.
- SAQ B — Présence physique uniquement, avec terminal à cadran analogique (ligne téléphonique) ou machine à empreinte. Pas de connexion Internet au terminal. Court questionnaire, pas de scan ASV.
- SAQ B-IP — Terminal de paiement autonome branché via IP (Ethernet ou Wi-Fi), certifié PTS par le PCI SSC, qui se connecte directement au processeur sans passer par vos propres systèmes. Aucune donnée de carte stockée. C'est le type le plus courant pour un commerce avec un terminal PAX, Ingenico ou Verifone moderne connecté à Internet. Questionnaire de longueur intermédiaire. Scans trimestriels ASV requis (exigence 11.3.2 PCI DSS v4.0).
- SAQ C — Logiciel de point de vente (POS) installé sur un ordinateur connecté à Internet. Aucune donnée de carte stockée après autorisation. Questionnaire plus long. Scans trimestriels ASV requis.
- SAQ C-VT — Saisie manuelle des transactions via un terminal virtuel dans un navigateur web, sur un ordinateur isolé non connecté à d'autres systèmes. Questionnaire intermédiaire, pas de scan ASV.
- SAQ P2PE — Solution de chiffrement point-à-point (P2PE) approuvée et listée officiellement par le PCI SSC. Questionnaire très court si la solution figure bien sur la liste PCI SSC P2PE. Pas de scan ASV requis.
- SAQ D Marchand — Vous stockez des données de cartes, ou vous ne répondez aux critères d'aucune autre catégorie. Questionnaire très complet. Scans ASV requis. À éviter si possible en adoptant une architecture qui ne stocke pas les données de cartes.
Et chez BorderPay ?
Chez BorderPay, la conformité PCI fait partie des sujets que nous expliquons clairement dès la signature — sans ligne mystérieuse dans votre relevé mensuel. Nous ne cachons pas de « frais de non-conformité » dans vos frais mensuels : si vous avez besoin d'aide pour choisir votre type de SAQ ou compléter votre questionnaire annuel, notre équipe bilingue vous accompagne. Et parce que notre tarification est annoncée d'avance, intégralement — aucuns frais cachés, à vie — vous savez exactement ce que vous payez pour le traitement de vos cartes, dès le premier jour.
Votre processeur actuel vous facture des frais PCI inexplicables, ou vous n'êtes pas sûr de votre type de SAQ ? Parlez-nous — nous sommes là pour répondre même si vous n'êtes pas encore client BorderPay.
On répond à vos questions
Ai-je besoin d'un expert externe (QSA) pour me conformer ?
Mon terminal PAX, Ingenico ou Verifone est-il automatiquement conforme PCI ?
Qu'est-ce qu'un scan ASV et est-ce que je dois en faire ?
Que se passe-t-il si je ne remplis pas mon SAQ ?
Je vends en ligne ET en boutique — quel SAQ s'applique ?
Guides de dépannage reliés
Prêt à passer
au niveau supérieur ?
Une approche plus claire et plus moderne des paiements pour les commerces d'ici. Parlons-en — en français, à votre rythme.