# PCI-DSS — Payment Card Industry Data Security Standard
> Catégorie : **Certifications normatives** · Slug : `pci-dss` · Source canonique :
**Définition courte** : Norme du Payment Card Industry Security Standards Council pour la sécurité des données de paiement par carte.
## Statistiques sur les 404 hébergeurs HDS
- ✓ Vérifiés sur source publique : **0**
- ◆ Revendiqués sur source publique : **3**
## Définition
**PCI-DSS** (*Payment Card Industry — Data Security Standard*) est la norme du **PCI Security Standards Council** (créé par Visa, Mastercard, American Express, Discover, JCB) pour la sécurisation des **données de paiement par carte**. Version en vigueur en 2026 : **PCI-DSS v4.0** (mars 2022, applicable depuis 2024).
Elle s'organise autour de **12 exigences** principales : réseau sécurisé, configuration durcie, protection des données carte (PAN — *Primary Account Number*), chiffrement des transmissions, antivirus, applications sécurisées, accès restreint, identification, accès physique, suivi des accès, tests de sécurité réguliers, politique de sécurité.
PCI-DSS distingue 4 niveaux selon le volume de transactions cartes traitées par an (Niveau 1 ≥ 6M transactions, Niveau 2-4 décroissants). Un hébergeur de services e-commerce ou SaaS payant relève typiquement du niveau 1 ou 2 si sa volumétrie est significative.
## Pourquoi (ou pourquoi pas) c'est important pour un hébergeur HDS
Pour un hébergeur santé pur, **PCI-DSS est non concerné par défaut** — l'hébergement de données médicales n'implique pas le traitement de données carte. Le critère devient pertinent uniquement dans trois cas :
1. **L'hébergeur opère aussi des services e-commerce santé** (pharmacies en ligne, prises de rendez-vous payants, parapharmacies).
2. **Les éditeurs SaaS santé hébergés intègrent un module de paiement** (téléconsultation avec règlement carte, mutuelles avec règlement direct).
3. **Cas particulier des cliniques privées** — leur SI inclut un module facturation accepting cartes en consultation.
Dans tous les autres cas (CHU public, EHPAD, recherche clinique pure, hébergement d'images médicales), PCI-DSS n'a pas lieu d'être.
## Comment ce critère est attribué dans le comparateur
- **✓ Vérifié** — *Attestation of Compliance* (AoC) publiée par l'hébergeur ou par son auditeur QSA.
- **◆ Revendiqué** — mention "PCI-DSS compliant" sans publication d'AoC.
- **○ Non concerné** — hébergeur santé pur sans services e-commerce documentés — statut par défaut majoritaire.
- **— Non documenté** — orientation commerciale ambiguë.
## Pour quel profil c'est critique
| Profil | Niveau d'exigence |
|---|---|
| Hébergeur SaaS santé payant (téléconsultation, mutuelle) | **Important** |
| Hébergeur de pharmacies en ligne | **Critique** |
| Hébergeur santé public (CHU, EHPAD) | **Non concerné** |
| Plateforme de recherche clinique pure | **Non concerné** |
## Sources officielles
- **PCI Security Standards Council** — [pcisecuritystandards.org](https://www.pcisecuritystandards.org/document_library/).
- **PCI-DSS v4.0** (mars 2022, applicable depuis 2024).
## Hébergeurs satisfaisant ce critère
### ◆ Revendiqué sur source publique (3)
- [DATA 4 SERVICES](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/data-4-services/)
- [ECRITEL](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/ecritel/)
- [XANO, INC](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/xano-inc/)
## Méthodologie et limites
- ✓ **Vérifié** = source publique citée (registre officiel, verbatim site acteur).
- ◆ **Revendiqué** = mention déclarative non vérifiée indépendamment.
- ◐ **En cours** = démarche datée publiquement.
- — **Non documenté** = information non trouvée. **N'implique pas l'absence du service**.
- Méthodologie complète :
- Équité Guardis vs concurrents :
---
_Comparateur édité par Hasgard SARL. Publication éditoriale indépendante. Licence CC BY-SA 4.0._
_Variante Markdown brut : ajoutez `.md` à l'URL de n'importe quelle page._