HDS · Comparateur HÉBERGEURS DE DONNÉES DE SANTÉ

← Tous les critères

Certifications normatives

PCI-DSS — Payment Card Industry Data Security Standard

Norme du Payment Card Industry Security Standards Council pour la sécurité des données de paiement par carte.

0 acteurs vérifiés sur ce critère
3 acteurs qui le revendiquent

Définition

PCI-DSS (Payment Card Industry — Data Security Standard) est la norme du PCI Security Standards Council (créé par Visa, Mastercard, American Express, Discover, JCB) pour la sécurisation des données de paiement par carte. Version en vigueur en 2026 : PCI-DSS v4.0 (mars 2022, applicable depuis 2024).

Elle s'organise autour de 12 exigences principales : réseau sécurisé, configuration durcie, protection des données carte (PAN — Primary Account Number), chiffrement des transmissions, antivirus, applications sécurisées, accès restreint, identification, accès physique, suivi des accès, tests de sécurité réguliers, politique de sécurité.

PCI-DSS distingue 4 niveaux selon le volume de transactions cartes traitées par an (Niveau 1 ≥ 6M transactions, Niveau 2-4 décroissants). Un hébergeur de services e-commerce ou SaaS payant relève typiquement du niveau 1 ou 2 si sa volumétrie est significative.

Pourquoi (ou pourquoi pas) c'est important pour un hébergeur HDS

Pour un hébergeur santé pur, PCI-DSS est non concerné par défaut — l'hébergement de données médicales n'implique pas le traitement de données carte. Le critère devient pertinent uniquement dans trois cas :

  1. L'hébergeur opère aussi des services e-commerce santé (pharmacies en ligne, prises de rendez-vous payants, parapharmacies).
  2. Les éditeurs SaaS santé hébergés intègrent un module de paiement (téléconsultation avec règlement carte, mutuelles avec règlement direct).
  3. Cas particulier des cliniques privées — leur SI inclut un module facturation accepting cartes en consultation.

Dans tous les autres cas (CHU public, EHPAD, recherche clinique pure, hébergement d'images médicales), PCI-DSS n'a pas lieu d'être.

Comment ce critère est attribué dans le comparateur

  • ✓ VérifiéAttestation of Compliance (AoC) publiée par l'hébergeur ou par son auditeur QSA.
  • ◆ Revendiqué — mention "PCI-DSS compliant" sans publication d'AoC.
  • ○ Non concerné — hébergeur santé pur sans services e-commerce documentés — statut par défaut majoritaire.
  • — Non documenté — orientation commerciale ambiguë.

Pour quel profil c'est critique

Profil Niveau d'exigence
Hébergeur SaaS santé payant (téléconsultation, mutuelle) Important
Hébergeur de pharmacies en ligne Critique
Hébergeur santé public (CHU, EHPAD) Non concerné
Plateforme de recherche clinique pure Non concerné

Sources officielles

Hébergeurs satisfaisant ce critère

◐ Revendiqué sur source publique (3)

Lecture des trois états. ✓ Vérifié = source publique citée (page officielle, registre ANS / ANSSI / Pappers / RIPE / PeeringDB). ◐ Revendiqué = mention publique partielle, sans verbatim ferme à la date de cet audit. ◔ Démarche en cours = engagement public daté. L'absence de mention n'implique pas l'absence du service — voir notre méthodologie d'équité.

Pour aller plus loin