PCI DSS et cloud computing : la conformité par le contrat

Le contrat PCI DSS et cloud computing doit reporter les exigences de la norme sur le prestataire de services cloud.

Rendue obligatoire pour l’hébergement et le traitement des données des principales cartes de paiement, la norme PCI DSS (1) implique notamment pour le commerçant de :

• remplir un questionnaire d’auto-évaluation annuel ;
• effectuer un scan de vulnérabilité (en cas de commerce en ligne) ;
• lorsque plus de 6 millions de transactions sont effectuées, faire faire un audit de sécurité sur site.

La certification PCI DSS

Elle est obtenue auprès d’un auditeur lui-même accrédité par PCI Security Standards Council (2). Le commerçant qui ne respecterait pas ces règles peut se voir appliquer des pénalités par l’émetteur des cartes de crédit.

Ces conséquences étant particulièrement graves, le commerçant qui souscrit à une offre dans le cloud doit s’assurer que l’infrastructure et les éventuels logiciels concernés soient eux-mêmes compatibles.

Pour une activité de vente en ligne, il ne serait pas aberrant que le contrat PCI DSS et cloud computing précise que la certification PCI DSS est une condition déterminante du consentement sans laquelle le cybercommerçant n’aurait pas signé. En cas de non-respect, c’est la résolution de ce contrat PCI DSS et cloud computing qui pourrait être demandée.

Le contrat PCI DSS

Dans le contrat, cette problématique PCI DSS et cloud computing doit être traitée par une clause de garantie dont le périmètre pourra varier comme suit :

• en SaaS, le prestataire cloud devra garantir une certification « end to end » ;
• en PaaS, le prestataire ne pourra garantir le périmètre de certification, à l’exclusion de la couche applicative créée seule par son client et sans son assistance ;
• en IaaS, à l’instar d’un simple hébergeur, le prestataire ne pourra garantir cette certification que sur l’infrastructure mise à disposition.

L’audit de sécurité

Dans tous les cas, le cybercommerçant doit exiger de son prestataire cloud une totale collaboration pour que toutes les informations soient disponibles pour l’auditeur certificateur. Le contrat PCI DSS et cloud computing comportera des dispositions particulières à ce titre.

Une clause d’audit de sécurité doit être incluse pour faciliter la mise en œuvre, que ce soit des audits à distance (tests de pénétration en particulier) ou les éventuels audits sur site dans le cadre de la certification.

Dispositions informatique et libertés

Enfin le contrat PCI DSS et cloud computing ne pourra faire l’économie de dispositions particulières Informatique et libertés (3). A cet effet, il conviendra de se reporter aux recommandations de la Cnil sur le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance (4).

Eric Le Quellenec
Lexing Droit Informatique

(1) L’organisme responsable du développement, de la gestion, de l’éducation et de la sensibilisation aux normes de sécurité PCI est dénommé PCI Security Standards Council : contrat de licence PCI Security Standards Council, LLC.
(2) Les informations utiles concernant le PCI Security Standards Council.
(3) Délibération Cnil n° 2013-358 du 14-11-2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de viens ou de fourniture de services à distance et abrogeant la délibération n° 03-034 du 19-6-2003.
(4) Voir : Céline Avignon, « Nouvelles recommandations de la Cnil relative aux cartes de paiement », AlainBensoussan.com, 23-12-2013.