Dernière mise à jour : 26 nov. 2025, 15 h 26
Découvrez la conformité PCI, les attentes, les responsabilités, les exigences et les coûts.
| Ce document est fourni à titre d'information seulement et n'est pas destiné à être un avis juridique, de conformité ou autre avis professionnel. Il peut être conseillé de consulter un professionnel tel qu'un avocat ou un autre conseiller pertinent pour des conseils spécifiques à votre situation. |
Chaque client de Toast qui accepte des cartes de paiement doit être conforme au PCI, il est donc important de comprendre ce que cela signifie. Toast renforce continuellement ses systèmes de paiement et sa plateforme, et répond à un plus grand nombre de ces exigences au nom de ses clients. Les mises à jour récentes de notre programme PCI facilitent encore plus la tâche des clients pour respecter leurs responsabilités PCI. Cet article fournit un aperçu du PCI, comment accéder à la documentation des responsabilités, et comment ces changements affectent les clients de Toast.
« PCI » est l'abréviation de « PCI DSS », qui signifie Norme de sécurité des données de l'industrie des cartes de paiement. Cela fait référence à un ensemble de règles pour gérer les informations de carte de paiement de vos invités afin de minimiser le risque de vol de données de carte. Chaque entreprise qui accepte des paiements par carte, même si ce n'est que quelques cartes de crédit par mois, doit s'assurer qu'elle le fait d'une manière qui respecte ces exigences. C'est ce que signifie être « conforme PCI ».
Pour comprendre comment être conforme PCI, il faut d'abord comprendre pourquoi il faut être conforme, qui est responsable de l'exécution de chacune des exigences PCI, et ce qui doit être fait chaque année. Cet article vise à réduire la confusion concernant la conformité PCI chez Toast et à vous aider à vous assurer que vous respectez ces exigences.
| Pour les clients actifs et les prospects, les Guides de Responsabilités PCI sont disponibles sur demande par l'intermédiaire d'un représentant du service client, d'un consultant en intégration ou d'un autre représentant commercial. |
En tant que client de Toast, vous êtes tenu d'être conforme PCI. Toast est également tenu d'être conforme PCI. Veuillez noter que si vous avez un autre accord avec un autre fournisseur de paiements par carte (par exemple, pour une ligne d'affaires non liée), ils peuvent également exiger que vous soyez conforme PCI.
Cependant, il est important de comprendre que ces obligations ne se chevauchent pas : toutes les exigences PCI qui vous sont imposées par un autre fournisseur de paiements par carte ne devraient pas inclure vos appareils ou services Toast, puisque nos appareils ne peuvent être utilisés que pour traiter les données de carte de paiement des invités en utilisant les services de traitement des paiements de Toast. De même, à mesure que vous vous rapprochez des exigences de conformité PCI pour les données de carte de paiement de vos invités destinées à être traitées par Toast, votre conformité PCI pour Toast ne devrait pas inclure les appareils ou plateformes fournis par d'autres fournisseurs de services marchands.
Cela peut sembler évident, mais il est assez courant que les clients de Toast supposent à tort que, parce qu'ils doivent soumettre un Questionnaire d'Auto-Évaluation (SAQ) ou obtenir un Rapport de Conformité (ROC) pour répondre aux obligations d'un autre fournisseur de paiements par carte, ils doivent inclure leurs appareils Toast dans ce rapport. Toast offre une discussion plus technique sur ce sujet dans notre « Guide QSA », qui peut être demandé auprès d'un représentant du service client.
Maintenant, en ce qui concerne cette obligation d'être conforme PCI sur les appareils et plateformes Toast, Toast est responsable de la plupart des exigences PCI lors de l'utilisation de la plateforme Toast et des appareils approuvés pour accepter les paiements par carte.
Le document officiel qui précise cela s'appelle un Guide de Responsabilité. Toast a plusieurs Guides de Responsabilité, couvrant nos divers produits et capacités liés au traitement des paiements, qui peuvent être demandés par l'intermédiaire de votre consultant en intégration, de l'équipe de réussite et de services clients ou du support client. Examinez le(s) Guide(s) de Responsabilité approprié(s) pour les détails de vos responsabilités par rapport à celles que Toast s'engage à respecter en votre nom. Il existe également certaines responsabilités qui sont partagées, et des détails sont fournis pour chacune d'elles afin de comprendre ce que cela signifie pour votre environnement. Travaillez avec votre direction et votre équipe informatique pour mettre en œuvre les politiques décrites dans ces documents afin de satisfaire vos exigences PCI de Toast.
Toast est ravi d'annoncer qu'il a obtenu une validation indépendante de son logiciel de paiement, utilisé dans tous les produits Toast POS, et a terminé la migration de tous les dispositifs de capture de cartes et dispositifs POS pris en charge pour utiliser des configurations renforcées, un cryptage fort et une micro-segmentation. Nous avons maintenant terminé des évaluations indépendantes par des tiers de notre écosystème de paiements et confirmé que tous les dispositifs de paiement répondent ou dépassent les exigences PCI, supprimant ainsi le besoin de nombreux contrôles au niveau du réseau. En conséquence de ces améliorations, Toast est heureux de transmettre les avantages de ces améliorations en prenant l'entière responsabilité de nombreuses exigences PCI DSS.
Enfin, bien que de nombreux fournisseurs de POS et processeurs de commerçants exigent que leurs clients soumettent une documentation chaque année, appelée SAQ (Questionnaires d'auto-évaluation) et/ou AOC (Attestations de conformité), la plupart des clients de Toast n'ont pas besoin de soumettre une telle documentation de conformité PCI ou d'engager une entreprise pour effectuer des analyses de vulnérabilité. Toast n'envoie pas d'e-mails vous demandant de compléter l'un de ces documents. Si vous recevez un tel e-mail, examinez-le attentivement pour déterminer s'il provient d'un autre fournisseur de plateforme – peut-être avez-vous oublié d'annuler votre précédent fournisseur de service POS ou votre compte marchand ?
Tout ce discours sur les exigences PCI, mais que sont-elles, exactement ? Le tableau ci-dessous est un aperçu général des exigences PCI DSS. Chacune de ces exigences contient plusieurs sous-exigences, qui, comme indiqué ci-dessus, peuvent incomber à Toast, à vous, ou à une combinaison des deux à réaliser. Veuillez consulter nos guides de responsabilité PCI de Toast pour plus d'informations, y compris une répartition de la liste complète des exigences par responsabilité.
| Objectifs | Exigences PCI DSS |
| Construire et maintenir un réseau et des systèmes sécurisés | 1. Installer et maintenir des contrôles de sécurité réseau 2. Appliquer des configurations sécurisées à tous les composants du système Protéger les données de compte |
| Protéger les données de compte | 3. Protéger les données de compte stockées 4. Protéger les données des titulaires de carte avec une cryptographie forte lors de la transmission sur des réseaux ouverts et publics |
| Maintenir un programme de gestion des vulnérabilités | 5. Protéger tous les systèmes et réseaux contre les logiciels malveillants 6. Développer et maintenir des systèmes et logiciels sécurisés |
| Mettre en œuvre des mesures de contrôle d'accès strictes | 7. Restreindre l'accès aux composants du système et aux données des titulaires de carte en fonction des besoins professionnels 8. Identifier les utilisateurs et authentifier l'accès aux composants du système 9. Restreindre l'accès physique aux données des titulaires de carte |
| Surveiller et tester régulièrement les réseaux | 10. Enregistrer et surveiller tous les accès aux composants du système et aux données des titulaires de carte 11. Tester régulièrement la sécurité des systèmes et des réseaux |
| Maintenir une politique de sécurité de l'information | 12. Soutenir la sécurité de l'information avec des politiques et programmes organisationnels |
Les entreprises qui ne maintiennent pas la conformité PCI s'exposent à un risque de violation de données, ce qui peut entraîner des dommages à leur marque, des amendes, des frais de remplacement de cartes, des coûts d'audit judiciaire, et plus encore. Les entreprises qui utilisent des systèmes de point de vente, des plateformes de commerce électronique et d'autres services de paiement qui ne répondent pas à bon nombre de ces exigences en leur nom doivent engager du temps et des dépenses pour protéger ces systèmes afin d'éviter ces résultats. Utiliser une plateforme qui répond à ces besoins a tout son sens.
Heureusement, Toast est une telle plateforme. Elle respecte presque toutes les exigences PCI au nom de ses clients. Cela élimine presque complètement le besoin de coûts supplémentaires liés à la PCI pour les clients de Toast. Veuillez consulter les guides de responsabilité PCI de Toast pour en savoir plus. Les clients actifs peuvent demander ces guides par l'intermédiaire du service à la clientèle, selon les canaux de paiement applicables.