PCI DSS - la deadline Visa approche

De nouvelles dispositions ont été mises en place par Visa dans le contexte des certifications PCI DSS.

Au 1er janvier 2013, les fournisseurs de paiement PSP devront être listés sur la nouvelle liste Visa disponible sur le site www.visamerchantagentslist.com. Pour figuré sur cette liste, il faut que le PSP soit certifié PCI DSS (par un QSA) et qu’il s’inscrive au programme de suivi Visa (moyennant finance, envoi d’un AOC signé, etc).

Que se passe-t-il après cette date ? (Réponse officielle de Visa sur sa FAQ )

With effect from 31 December 2012, Visa Europe acquiring members must ensure that their merchants use only merchant agents that are registered by Visa Europe and listed on www.visamerchantagentslist.com. This will have an increasing impact on any agent who has not yet registered through www.visamerchantagents.com

Une explication de texte s’impose alors :

  • Visa Europe acquiring members : c’est les banques, plus précisément la banque d’acquisition du marchand (où le e-commerçant a ouvert son compte pro).
  • their merchants : du point de vue Visa, les marchands appartiennent à leur banque ! C’est le contrat qui relie le marchand à sa banque (le contrat d’acceptation monétique e-commerce…).
  • merchant agents : c’est les PSP (Payline, Ogone, Atos, Paybox, sogenactif, CyberMut…).
  • are registered by Visa Europe : cela signifie « être certifié PCI DSS et avoir envoyé son AOC à Visa ».
  • increasing impact : cela reste flou. Il est probable que les petits marchands se verront demander de changer de PSP, et que les gros négocieront avec la banque.

L’AOC (Attestation of Compliance), c’est le document signé par l’auditeur QSA et le PSP, attestant que le système du PSP est conforme aux 220 exigences du standard PCI DSS.

Conclusion

Dans tous les cas, à partir du 1 janvier, les nouveaux e-commerçant devront impérativement choisir un PSP dans la liste lorsqu’ils ouvrent un compte auprès de leur banque d’acquisition. Pour les commerçants existants qui utilisent les services d’un PSP non certifié, les banques pourront – à leur entière discrétion – choisir d’augmenter les frais ou autres. Mais cela reste toujours une relation contractuelle entre le marchand et sa banque.

Frédéric Charpentier – QSA

XMCO

Découvrir d'autres articles

  • PCI DSS

    PCI v4.0 – 6.3.2 : Comment automatiser l’inventaire et la veille sur les bibliothèques tierces ?

    Lire l'article
  • paiement
    PCI DSS

    PCI DSS en version 4, quels sont les changements apportés au SAQ-P2PE ?

    Lire l'article
  • PCI DSS

    PCI DSS 4.0 : quels sont les changements apportés au SAQ A ?

    Lire l'article