Loading

Présentation de la norme PCI et des responsabilités lui étant associées pour les clients Commerce Cloud

Date de publication: Apr 13, 2026
Description
En tant que fournisseur de services se conformant à la norme PCI DSS, Commerce Cloud doit s’assurer que le service de base fourni aux clients est conforme à cette norme et qu’il est possible pour les clients de procéder à des personnalisations de manière conforme. Le fait d’utiliser le service Commerce Cloud ne signifie pas pour un client qu’il se conforme automatiquement à la norme PCI. Ce document a pour but de clarifier dans quelle mesure Commerce Cloud peut aider ses clients dans le cadre de leurs audits, quelles sont les responsabilités de Commerce Cloud et quelles sont celles de ses clients.
Résolution

Norme PCI DSS

La norme PCI DSS a été adoptée par tous les émetteurs de cartes majeurs pour résoudre les problèmes de sécurité des données. Elle est divisée en plusieurs sections qui s’intéressent aux aspects suivants :

  • Sécurité du réseau
  • Protection des données des détenteurs de carte
  • Gestion des vulnérabilités
  • Mesures en matière de contrôle des accès
  • Surveillance et test des contrôles et de la sécurité
  • Stratégies de sécurité des informations


Commerce Cloud est répertorié en tant que fournisseur de services enregistré sur les sites des émetteurs de cartes suivants :


Pour prouver sa conformité, Commerce Cloud fournit sur demande une copie de son attestation de conformité PCI actuelle. Si vous avez besoin d’une copie de notre attestation de conformité, contactez le support.


Responsabilité de Commerce Cloud

Tous les marchands sont entièrement responsables d’assurer leur propre conformité marchande à la norme PCI DSS. En ce qui concerne la plate-forme de commerce Commerce Cloud, la liste suivante énumère les principaux aspects sur lesquels Commerce Cloud intervient en tant que fournisseur de services se conformant à la norme PCI DSS. Ces aspects concernent les données client stockées au sein de notre service. Les aspects pour lesquels les clients doivent assurer le respect de la conformité se rapportent principalement à l’utilisation des intégrations et à la réalisation de tout échange de données sensibles avec des systèmes extérieurs au service de plate-forme de commerce de Commerce Cloud (comme un système externe de gestion des commandes). Plus précisément, la liste se rapporte aux 12 sections des exigences PCI DSS principales :

     1.      La configuration des pare-feu est validée et testée. Commerce Cloud est responsable de l’ensemble des opérations de configuration et de test des pare-feu.

     2.      Les mots de passe par défaut sont supprimés et des paramètres de sécurité système acceptables sont maintenus.

     3.      Les informations de carte de crédit stockées sur la plate-forme de commerce de Commerce Cloud y sont conservées sous forme chiffrée, tant que l’API standard d’accès aux données de carte de crédit est utilisée. Commerce Cloud procédera à la génération automatique de nouvelles clés ainsi qu’à l’application d’autres mécanismes de protection pour ces données.         

     4.      Commerce Cloud permet au client d’utiliser le chiffrement de transport (TLS/SSH) ou le chiffrement de charge de travail (qui sont des fonctionnalités de chiffrement normalisées) lors de l’échange de données de carte de crédit avec des systèmes tiers. L’application de référence SiteGenesis utilise efficacement la plate-forme pour protéger toutes les composantes confidentielles d’une session consommateur. Cela s’applique également à l’application administrative de Business Manager.

     5.      Lorsqu’il y a lieu, Commerce Cloud recherche les virus et/ou logiciels malveillants.

     6.      Commerce Cloud suit les pratiques de codage sectorielles standard et surveille les listes de diffusion relatives à la sécurité pour faire en sorte que le développement de tout composant principal soit effectué de manière sécurisée. Nous effectuons également des tests de vulnérabilité dans le cadre de notre processus d’assurance qualité. Le client a la responsabilité de mener des analyses de vulnérabilité et des examens de code sur toutes les personnalisations créées au sein du service.

     7.      Commerce Cloud restreint fortement l’accès aux données des clients aux seuls membres du personnel interne ayant des besoins métiers justifiant l’accès à celles-ci. Ces personnes font l’objet d’une vérification de leurs antécédents dans le cadre des fonctions qu’ils occupent au sein de Commerce Cloud.

     8.      Dans l’ensemble de l’environnement de la plate-forme de commerce Commerce Cloud, l’accès des utilisateurs est protégé par une piste d’audit qui permet d’identifier chaque utilisateur grâce à son identifiant unique. Pour le personnel de Commerce Cloud, cette règle est appliquée par les politiques et procédures de Commerce Cloud.

     9.      Les accès physiques à toutes les installations liées à la plate-forme de commerce Commerce Cloud s’effectuent de manière adaptée aux exigences de la norme PCI DSS.

     10. Commerce Cloud surveille la connectivité externe et interne pour détecter tout trafic inattendu. De plus, Commerce Cloud gère des fichiers journaux internes complets et offre aux clients la possibilité de télécharger les journaux de sécurité et les journaux personnalités pendant 30 jours. 

     11. Commerce Cloud teste son service dans le cadre de son processus d’assurance qualité, et exécute régulièrement des tests de pénétration et des analyses de vulnérabilité programmés avec son auditeur de sécurité externe. Le client a la responsabilité de tester sa vitrine, ses personnalisations et toutes les intégrations d’autres services. 

     12. Commerce Cloud dispose de politiques et de procédures internes bien définies en matière de sécurité de l’information.


Responsabilité du client

Comme indiqué précédemment, le client assume la responsabilité de se conformer à la norme PCI-DSS en ce qui concerne toute intégration ou personnalisation élaborée à partir de la plate-forme de commerce Commerce Cloud. Voici quelques exemples courants :

  • Intégration externe à un système de gestion des commandes et à d’autres services : se fait-elle via le protocole TLS et les restrictions de pare-feu appropriées sont-elles appliquées ?
  • En ce qui concerne les règles de pare-feu, les clients sont responsables des ports sortants dont ils demandent l’ouverture depuis Commerce Cloud. Les clients doivent tenir compte des ports non sécurisés et de la manière dont ils peuvent avoir une incidence sur leur conformité à la norme PCI. Veuillez contacter votre auditeur de sécurité qualifié si vous avez des questions. Les clients doivent examiner la nécessité d’ouvrir les ports sortants demandés tous les six mois et informer Commerce Cloud si ces ports ne sont plus nécessaires afin qu’ils puissent être supprimés.
  • Les clients ont la responsabilité de définir la durée de conservation des données de paiement. Vous pouvez gérer cet aspect dans Business Manager via le paramètre Rétention des informations de paiement.
  • Les exportations personnalisées doivent être chiffrées et traitées correctement.
  • Toute personnalisation doit être effectuée en tenant compte de ses éventuelles répercussions en matière de sécurité. Il incombe au client de s’assurer que ses personnalisations ne consignent pas d’informations de carte de crédit ou d’autres informations sensibles par le biais de méthodes non sécurisées. Le stockage en clair des informations de carte de crédit (y compris dans des fichiers journaux) n’est jamais autorisé et les clients sont tenus de se conformer à cette exigence.
  • Les tests de vulnérabilité et de pénétration doivent être effectués par un auditeur de sécurité qualifié ou un prestataire de service d’analyse agréé externe.
  • Le client doit disposer de journaux personnalisés relatifs à la sécurité client et au contrôle des accès, comme des journaux relatifs à son utilisation de l’infrastructure de journaux Commerce Cloud, aux erreurs, aux erreurs personnalisées, à la sécurité ou à d’autres aspects. Les journaux personnalisés et les autres journaux de sécurité doivent être téléchargés sous 30 jours et archivés par le client conformément à ce qu’exige la norme PCI DSS.
  • L’authentification à deux facteurs doit être mise en place pour les mises à jour de code (via Commerce Cloud Studio) au sein du système de préproduction du client. Ce certificat à deux facteurs est géré par le client et il peut suivre ses propres stratégies de sécurité relatives au déploiement de code vers le service Commerce Cloud.

REMARQUE : cette liste n’est pas exhaustive. Pour déterminer quelles sont les exigences que vous devez respecter et quelles sont les responsabilités qui vous incombent dans le cadre du maintien de la conformité avec les normes PCI DSS, consultez votre conseiller ou évaluateur PCI DSS.


Comment Commerce Cloud peut-il m’aider dans le cadre de mon audit ?

La plupart des auditeurs ont l’habitude de travailler avec des partenaires externes se conformant à la norme PCI. Vous pouvez télécharger l’ensemble de la documentation pertinente à partir des liens ci-dessus, notamment celle concernant notre référencement en tant que fournisseur de services auprès des sociétés de cartes de crédit. Vous pouvez également consigner un ticket auprès du support pour lui demander une copie de l’attestation de conformité de Commerce Cloud. Cela devrait suffire à votre auditeur pour commencer à déterminer quels sont les aspects relevant de notre responsabilité en tant que fournisseur de services et quels sont ceux qui relèvent de la vôtre. Commerce Cloud n’intervient aucunement dans la réalisation des audits PCI des clients, y compris en ce qui concerne le remplissage des questionnaires d’auto-évaluation.


Planification d’audits/d’analyses de sécurité
Consultez les informations présentées dans l’article Évaluations de sécurité.


Qui dois-je contacter si j’ai des questions ?

Si vous ne trouvez pas la réponse à votre question dans ce document, publiez votre question dans la section Opérations de plate-forme du forum Developer, accessible ici. Un représentant de Commerce Cloud répondra à toutes les questions posées.

Numéro d’article de la base de connaissances

000391196

 
Chargement
Salesforce Help | Article