Liste de contrôle essentielle de conformité PCI DSS pour WordPress

La protection des données de paiement n'est plus une option. La conformité à la norme PCI DSS est désormais une exigence fondamentale pour tout site WordPress qui traite les paiements par carte bancaire.

Les cyberattaques augmentent chaque année, et même de petites vulnérabilités peuvent exposer des données clients sensibles.

Une seule faille de sécurité peut détruire la confiance, entraîner des sanctions et paralyser votre activité du jour au lendemain. Heureusement, vous pouvez prévenir ces risques grâce à des mesures de sécurité appropriées.

Une liste de contrôle claire vous aide à sécuriser votre site, à protéger les données des titulaires de cartes et à rester conforme aux normes du secteur.

Ce guide vous permettra de découvrir les étapes essentielles que les sites de commerce électronique performants utilisent pour maintenir une protection optimale et répondre aux exigences de conformité.

Conformité PCI DSS : qu’est-ce que c’est et pourquoi est-ce important ?

Si vous gérez une activité de commerce électronique ou acceptez les paiements par carte de crédit sur votre site WordPress, vous traitez les données des titulaires de cartes.

Cela fait de vous une cible pour les personnes malveillantes. La protection de ces données sensibles n'est pas une option ; elle est obligatoire.

Vous devez respecter la norme de sécurité mondiale connue sous le nom de norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS).

Cette liste de contrôle exhaustive de conformité PCI DSS constitue votre guide définitif pour sécuriser votre environnement WordPress et atteindre une conformité PCI totale.

Signification de la conformité PCI DSS

La norme PCI DSS est un ensemble de normes de sécurité conçues pour garantir que toutes les entreprises qui stockent, traitent ou transmettent des données de cartes de crédit maintiennent un environnement sécurisé.

Les principales sociétés de cartes de crédit (Visa, Mastercard, American Express, Discover et JCB) ont créé cette norme. Elles ont mis en place le PCI Security Standards Council (PCI SSC) pour la gérer et l'administrer.

La conformité à la norme PCI DSS signifie que votre organisation respecte les 12 exigences fondamentales de cette norme. Ces exigences contribuent à minimiser les risques de violation de données et à protéger contre la fraude à la carte bancaire.

L’objectif ultime de la conformité à la DSS est de préserver la confiance des clients et d’empêcher la divulgation de données sensibles des utilisateurs.

L’obtention de la conformité à la norme PCI DSS est un processus continu, et non un événement ponctuel. Elle exige des efforts réguliers pour maintenir la sécurité des systèmes et des processus.

Importance de la norme PCI DSS pour les sites WordPress

Bon nombre de ces installations sont des boutiques en ligne, utilisant souvent des extensions comme WooCommerce. Lorsqu'un client utilise sa carte bancaire sur votre site, les informations relatives à cette transaction transitent par votre système.

Toute partie de votre environnement WordPress qui interagit avec les données de paiement, le serveur, la base de données, les plugins et même vos tableaux de bord d'administration, relève du périmètre de votre environnement de données du titulaire de carte (CDE).

Ignorer les normes PCI DSS est extrêmement risqué. La non-conformité peut entraîner de lourdes amendes de la part des banques et des réseaux de cartes, la suspension de votre capacité à accepter les paiements par carte bancaire et une atteinte irréparable à votre réputation suite à un incident de sécurité.

Vos clients vous font confiance pour protéger leurs données. Il vous incombe de respecter les exigences de conformité PCI afin de garantir la protection des données et le traitement sécurisé de toutes les données des titulaires de cartes.

L'utilisation de cette liste de contrôle de conformité contribue à sécuriser votre opération et à protéger les données stockées des titulaires de cartes.

Exigences PCI DSS de base pour WordPress

La norme PCI DSS définit 12 exigences organisées en six objectifs de contrôle.

Pour un site WordPress, ces contrôles s'appliquent directement à votre d'hébergement , à vos plugins, à vos thèmes et à vos pratiques d'administration.

Cette liste de contrôle de conformité PCI détaille les étapes essentielles que vous devez suivre.

Configuration du pare-feu et contrôles de sécurité du réseau

Cette exigence PCI DSS vous impose d'installer et de maintenir des contrôles de sécurité réseau. Votre site web étant constamment exposé à Internet, une protection robuste est essentielle.

• Mettez en place un pare-feu d'application Web (WAF) : configurez un pare-feu robuste pour bloquer les attaques Web courantes, telles que l'injection SQL et le cross-site scripting (XSS), avant qu'elles n'atteignent votre installation WordPress.

• Segmentez votre réseau : isolez l’environnement de données des titulaires de cartes du reste des ressources de votre réseau. Cette segmentation garantit que si un attaquant compromet un système non lié aux paiements, il ne pourra pas accéder aux données des titulaires de cartes.

• Règles de documentation et de révision : Conservez un document répertoriant tous les contrôles de sécurité du réseau et les règles du pare-feu. Vous devez réviser régulièrement ces règles afin de garantir leur pertinence et leur efficacité, et ainsi empêcher tout trafic non autorisé d’accéder à votre réseau sécurisé.

• Réseaux sans fil sécurisés : si vous accédez au tableau de bord d’administration WordPress via des réseaux sans fil, assurez-vous d’utiliser un chiffrement et une authentification robustes afin d’empêcher les attaquants de surveiller le trafic et d’intercepter les données de paiement.

Suppression des paramètres par défaut et sécurisation de l'accès au système

Cette méthode vise à renforcer votre système contre les faiblesses facilement exploitables et connues du public.

Les attaquants exploitent fréquemment les paramètres par défaut et les mots de passe par défaut fournis par les fournisseurs pour obtenir un accès non autorisé.

• Modifiez tous les paramètres par défaut : changez immédiatement tous les mots de passe, noms d’utilisateur (comme « admin ») et paramètres de sécurité par défaut de tous les composants du système, y compris votre serveur, votre pare-feu, votre modem et votre installation WordPress. N’utilisez jamais d’identifiants génériques ou prédéfinis.

• Appliquez des configurations de sécurité : configurez tous les systèmes de sécurité, nouveaux et existants, avant de les connecter au réseau. Suivez les bonnes pratiques du secteur ou les guides de configuration de sécurité spécifiques à votre système d’exploitation serveur, votre serveur web (par exemple, Apache, Nginx) et votre base de données (par exemple, MySQL).

• Désactivez les comptes inutiles : désactivez les comptes, services et protocoles par défaut non nécessaires. Activez uniquement les fonctions requises pour vos opérations de commerce électronique. Cette pratique contribue à maintenir la sécurité des systèmes en réduisant la surface d’attaque.

Protection des données stockées des titulaires de cartes

Cela vous oblige à protéger les données des titulaires de cartes stockées. La meilleure méthode pour sécuriser ces données est de ne pas les stocker du tout.

• Réduisez le stockage des données : si possible, ne stockez pas les données de carte bancaire (le numéro de compte principal, ou PAN) sur votre serveur WordPress. Utilisez un prestataire de paiement tiers conforme à la norme PCI (comme Stripe ou PayPal) qui traite les données hors site. Cela réduit considérablement votre périmètre de conformité PCI DSS.

• Rendre les données illisibles : Si votre entreprise doit stocker des données de titulaires de carte, vous devez rendre le PAN illisible. Vous pouvez utiliser un chiffrement robuste, des hachages unidirectionnels, la troncature ou la tokenisation. Les données de compte stockées doivent être protégées de manière renforcée.

• Ne stockez pas les données d'authentification sensibles : vous ne devez jamais stocker de données d'authentification sensibles après l'autorisation, même chiffrées. Cela inclut les données complètes de la bande magnétique, les codes CAV2, CVC2, CID et les données du bloc PIN. Supprimez ces données immédiatement après la fin du processus d'autorisation.

• Mettez en œuvre des politiques de conservation des données : Élaborez et appliquez des politiques de conservation des données. Vous ne devez conserver les données des titulaires de carte que pendant la durée nécessaire au respect des obligations légales, réglementaires ou commerciales. Supprimez les données devenues inutiles.

En savoir plus : Guide d’accessibilité WordPress : Conformité aux normes WCAG

Cryptage des données de paiement lors de la transmission

Cette étape vous impose de chiffrer la transmission des données de paiement sur les réseaux publics ouverts.

• Utilisez un chiffrement robuste : utilisez systématiquement un chiffrement robuste, notamment le protocole TLS (Transport Layer Security), pour chiffrer les données des titulaires de carte lors de leur transmission sur Internet. Cela concerne la page de paiement, les connexions aux comptes clients et tous les appels API transmettant des données à votre prestataire de paiement.

• Sécurisez toutes vos pages web : assurez-vous que l’intégralité de votre site WordPress fonctionne via HTTPS (avec un certificat SSL/TLS valide), et pas seulement les pages de paiement. Cela garantit un environnement réseau sécurisé et constant pour la transmission des données des titulaires de carte.

• Vérifiez la robustesse du protocole : n’utilisez pas de protocoles obsolètes, tels que SSL ou les anciennes versions de TLS. Assurez-vous que la configuration de votre serveur utilise les versions actuelles, les plus robustes et les plus largement acceptées de TLS.

Protection contre les logiciels malveillants et gestion des vulnérabilités

Ces exigences, associées à la maintenance d'applications WordPress sécurisées, constituent un programme de gestion des vulnérabilités robuste.

• Protection contre les logiciels malveillants : assurez-vous que tous vos systèmes, notamment ceux de l’environnement de gestion des données des titulaires de cartes, sont protégés contre les logiciels malveillants grâce à des solutions antivirus ou antimalware à jour. Ce logiciel doit être actif, mis à jour en permanence et effectuer des analyses régulières.

• Maintenez WordPress, vos thèmes et vos extensions à jour : les sites WordPress sont fréquemment ciblés. Il est impératif d’appliquer rapidement les correctifs de sécurité au noyau WordPress, aux thèmes et à toutes les extensions. Les logiciels obsolètes constituent une vulnérabilité majeure exploitée par les attaquants cherchant à accéder à des données sensibles ou à les compromettre.

• Développement d'applications sécurisées : lors du développement de thèmes ou d'extensions personnalisés , respectez les bonnes pratiques de codage sécurisé. N'introduisez pas de failles connues. Séparez les environnements de développement, de test et de production afin d'empêcher l'introduction de code non sécurisé dans votre système en production.

Maintenance des applications WordPress sécurisées

Cette étape est cruciale pour toute application auto-hébergée.

• Environnement d'hébergement sécurisé : Choisissez un hébergeur web qui propose un environnement serveur sécurisé conforme à la norme PCI, comprenant un pare-feu au niveau de l'hôte et des mesures de sécurité physique robustes.

• Renforcez la sécurité de WordPress : mettez en œuvre des mesures de sécurité spécifiques à WordPress, telles que la désactivation de la modification des fichiers via le tableau de bord (DISALLOW_FILE_EDIT), le déplacement du wp-config.php et la modification du préfixe de la base de données par défaut. Ces configurations sécurisées compliquent considérablement l’exploitation des vulnérabilités courantes par les attaquants.

• Audits réguliers des plugins : en permanence les plugins installés. Supprimez les plugins et thèmes inutilisés, car ils peuvent représenter des failles de sécurité non négligeables et compromettre votre conformité PCI DSS.

Contrôle d'accès et principes du moindre privilège

Cette exigence porte sur le contrôle d'accès. Vous devez limiter l'accès aux données des titulaires de carte selon le principe du moindre privilège.

• Accès restreint : L’accès aux composants du système et aux données des titulaires de cartes doit être strictement limité aux personnes qui en ont besoin pour l’exercice de leurs fonctions. Les membres du personnel ne doivent avoir accès qu’aux données des titulaires de cartes strictement nécessaires à l’exécution de leurs tâches.

• Mettez en place des mesures de contrôle d'accès strictes : configurez soigneusement les rôles des utilisateurs WordPress. N'attribuez les rôles d'administrateur qu'aux personnes qui en ont réellement besoin. Utilisez des rôles personnalisés ou des extensions pour accorder des permissions aux autres utilisateurs, et restreignez l'accès physique autant que possible.

• Accès distant sécurisé : utilisez des méthodes sécurisées, telles que les réseaux privés virtuels (VPN) ou les connexions SSH chiffrées, pour tout accès distant à votre réseau ou serveur. N’autorisez pas les connexions directes non chiffrées.

Pour en savoir plus : Conformité HIPAA pour le commerce électronique

Authentification forte et identifiants utilisateur uniques

Cette exigence vous permet d'identifier efficacement les utilisateurs et d'authentifier leur accès.

• Identifiants uniques : attribuez un identifiant unique à chaque personne ayant accès aux composants du système ou à l’environnement de données des titulaires de carte. N’utilisez jamais de comptes partagés. Cela vous permet de suivre et d’auditer toutes les activités.

• Authentification multifacteurs (AMF) : Mettez en œuvre l’authentification multifacteurs pour tout accès à l’environnement de données des titulaires de cartes, ainsi que pour tout accès distant (hors console) à l’EDC. Cela ajoute une seconde couche de défense essentielle, même si un attaquant compromet un mot de passe.

• Politique de mots de passe robustes : Appliquez une politique de mots de passe stricte et complexe à tous les utilisateurs. Les mots de passe doivent avoir une longueur minimale, inclure une variété de caractères et être changés régulièrement. Rendez tous les mots de passe illisibles lors de leur stockage ou de leur transmission.

Sécurité physique des données sensibles

Elle stipule que vous devez restreindre l'accès physique aux systèmes situés dans l'environnement des données des titulaires de cartes.

Bien qu'un site WordPress classique puisse être hébergé dans un centre de données, ces règles s'appliquent à tout équipement sur site et à tous les postes de travail administratifs.

• Limitation de l'accès physique aux données des titulaires de cartes : ceci s'applique aux baies de serveurs, aux équipements réseau, aux documents papier (le cas échéant) et aux postes de travail administratifs. Seul le personnel autorisé doit avoir accès physiquement à ces zones.

• Contrôles de sécurité physique : Mettez en œuvre des mesures de sécurité physique robustes, telles que des caméras, des serrures et des contrôles d’accès (comme des lecteurs de badges), pour les installations qui abritent des systèmes de sécurité sensibles ou des données de titulaires de cartes.

• Tenir un registre des visiteurs : contrôler et surveiller tous les accès en tenant un registre des visiteurs et en exigeant des procédures d’autorisation appropriées pour toute personne accédant physiquement aux zones réservées aux titulaires de carte.

Pour en savoir plus : Conformité ADA pour WordPress

Journalisation et surveillance des activités WordPress

Cette exigence vous impose de suivre et de contrôler tous les accès aux ressources réseau et aux données des titulaires de cartes.

• Mise en place de journaux d'audit : Utilisez des journaux d'audit automatisés pour enregistrer toutes les activités sur les composants du système et consigner tous les accès aux données des titulaires de carte. Ces journaux d'audit doivent enregistrer l'identification de l'utilisateur, le type d'événement, la date et l'heure, le succès ou l'échec de l'événement, ainsi que son origine.

• Consultez régulièrement les journaux d'activité : désignez du personnel chargé de consulter régulièrement les journaux d'activité de tous les systèmes de sécurité et de leurs composants. Ce processus permet de détecter rapidement toute activité non autorisée ou tout problème de sécurité potentiel.

• Sécurisez les journaux d'audit : protégez-les pour empêcher toute altération ou destruction. Conservez les journaux pendant au moins un an, dont trois mois immédiatement disponibles pour l'analyse. Utilisez un plugin de journalisation fiable et, si possible, un serveur de journalisation distant pour sécuriser les données de journalisation.

Tests et analyses de sécurité réguliers

Cela vous oblige à tester régulièrement les systèmes et processus de sécurité.

• Analyses trimestrielles des vulnérabilités : Faites réaliser chaque trimestre des analyses de vulnérabilité internes et externes de votre réseau par un prestataire de services d’analyse agréé (ASV). Ces analyses vous aident à identifier et à corriger les vulnérabilités connues de votre infrastructure réseau et de vos applications web.

• Tests d'intrusion : effectuez des tests d'intrusion au moins une fois par an et après toute mise à jour ou modification importante de votre site WordPress ou de votre réseau. Ces tests simulent une attaque réelle afin de détecter et d'exploiter les failles de sécurité.

• Tests de pare-feu et de politiques : testez régulièrement vos réseaux et contrôles de sécurité pour vous assurer de leur bon fonctionnement. Testez également vos processus, notamment les procédures de sauvegarde et de restauration, afin de garantir la continuité de vos activités.

• Évaluation des risques : Réalisez une évaluation formelle des risques au moins une fois par an. Ce processus permet d’identifier les actifs critiques, les menaces et les vulnérabilités, et ainsi de prioriser et de traiter les risques les plus importants pour la sécurité de l’information.

Maintien des politiques de sécurité de l'information

Cela vous oblige à établir, maintenir et diffuser une politique de sécurité de l'information claire.

• Établir des politiques de sécurité : Créez et publiez une politique de sécurité de l’information qui couvre la sécurité de l’information pour l’ensemble du personnel, y compris les sous-traitants et les fournisseurs tiers. Cette politique doit définir clairement les responsabilités en matière de sécurité.

• Élaborer un plan de réponse aux incidents : Mettez en œuvre un plan de réponse aux incidents formel et documenté. Ce plan décrit les mesures que votre équipe doit prendre immédiatement après une violation de données ou un incident de sécurité afin de limiter les dégâts et d’informer les parties concernées.

• Formation de sensibilisation à la sécurité : Mettez en place un programme formel de sensibilisation à la sécurité. Tout le personnel doit comprendre les risques et ses responsabilités en matière de protection des données des titulaires de cartes.

Lecture complémentaire : Conformité SOC 2 pour votre site web WordPress

Validation de la conformité PCI DSS pour WordPress

L’obtention de la conformité à la norme PCI DSS se déroule en deux étapes : la mise en œuvre des contrôles et leur validation.

Le processus de validation dépend de votre niveau de commerçant, qui est déterminé par le volume annuel de paiements par carte de crédit que vous traitez.

• Déterminez votre niveau de marchand : les quatre niveaux de marchand définissent vos exigences de validation (par exemple, le niveau 4 correspond au volume le plus faible, le niveau 1 au volume le plus élevé).

• Remplissez le questionnaire d'auto-évaluation (QAE) : La plupart des petits et moyens sites e-commerce WordPress doivent remplir un questionnaire d'auto-évaluation (QAE). Le type de QAE (par exemple, QAE A, QAE A-EP, QAE D) dépend de la façon dont votre site gère le traitement des paiements. Par exemple, si vous utilisez une page de paiement entièrement hébergée (hors site), vous pourriez être admissible au QAE A, plus simple. Si votre formulaire de paiement est intégré à votre page WordPress, les exigences sont beaucoup plus importantes.

• Analyses trimestrielles ASV : Vous devez soumettre la preuve de la réussite des analyses trimestrielles de vulnérabilité externes effectuées par un fournisseur d’analyse agréé (ASV).

• Rapport sur la conformité (ROC) : Les commerçants de niveau 1 sont tenus de se soumettre à une évaluation annuelle sur site par un évaluateur de sécurité qualifié (QSA), qui produit ensuite un rapport sur la conformité (ROC).

Communiquez toujours avec votre banque acquéreuse ou votre prestataire de paiement. Ce sont eux qui garantissent la conformité PCI et qui vous indiqueront précisément les documents à fournir pour prouver que votre liste de contrôle de conformité DSS est complète.

Résumé sur le renforcement de la sécurité de WordPress grâce à la conformité PCI DSS

La protection des données sensibles de vos clients est le fondement d'une activité de commerce électronique réussie.

Bien que la conformité à la norme PCI DSS puisse sembler intimidante pour un propriétaire de site WordPress, suivre cette liste de contrôle complète de conformité PCI DSS simplifie le processus.

En établissant des contrôles de sécurité réseau, en garantissant des mesures de contrôle d'accès robustes, en sécurisant correctement les données des titulaires de cartes et en révisant en permanence vos systèmes de sécurité, vous réduisez considérablement votre risque de violation de données.

Cet engagement en matière de sécurité de l'information garantit non seulement la conformité aux normes PCI DSS, mais favorise également une confiance durable avec vos clients, démontrant ainsi que votre entreprise est déterminée à protéger leurs informations financières.

Considérez cela comme un engagement continu en matière de protection des données, et non comme un simple obstacle à franchir.

FAQ sur la conformité PCI DSS