L'enjeu
GIM-UEMOA, Visa et Mastercard exigent la conformité PCI DSS de tout acteur qui stocke, traite ou transmet des données de cartes. La v4.0 durcit l'authentification, la surveillance et la gouvernance — et un périmètre CDE mal défini transforme la mise en conformité en chantier sans fin.
Ce que nous livrons
Définition et réduction du périmètre CDE (segmentation, tokenisation)
Analyse d'écart contre les 12 exigences PCI DSS v4.0
Plan de remédiation et mise en œuvre des contrôles techniques
Préparation du SAQ approprié ou accompagnement d'audit QSA
Maintien de conformité : scans ASV trimestriels, revues et tests annuels
Notre méthode
Cartographie des flux carte de bout en bout — le périmètre réel, pas le périmètre supposé.
Réduction du périmètre avant remédiation : moins de systèmes en scope, moins d'effort.
Remédiation des écarts avec vos équipes, exigence par exigence.
Validation : SAQ documenté ou audit QSA préparé sans surprise.
Pour qui
Banques émettrices et acquéreuses, processeurs monétiques, fintechs, agrégateurs de paiement et e-commerçants traitant des données de cartes dans la zone UEMOA.
Questions fréquentes
Qui est concerné par PCI DSS ?
Toute entité qui stocke, traite ou transmet des données de cartes de paiement, quel que soit le volume — du e-commerçant au processeur. Seul le mode de validation (SAQ ou audit) varie selon le niveau.
Auto-évaluation (SAQ) ou audit QSA : que nous faut-il ?
Cela dépend de votre volume de transactions et des exigences de votre acquéreur ou de GIM-UEMOA. Nous déterminons le niveau applicable et le SAQ adapté à votre architecture, ou préparons l'audit complet.
Combien de temps prend une mise en conformité v4.0 ?
De 3 mois pour un périmètre externalisé bien segmenté à 12-18 mois pour un processeur complet. La réduction de périmètre en amont est le levier n°1 pour raccourcir ce délai.
