Conformité

ISO 27001 vs PCI DSS : articulation pour SaaS de paiement

ISO 27001 et PCI DSS s'articulent sur les SaaS qui traitent ou facilitent le paiement carte. Voici les recouvrements, les zones spécifiques PCI DSS, et la stratégie de conformité conjointe.

8 min

ISO 27001 est une norme internationale de management de la sécurité de l'information. PCI DSS est un standard de sécurité spécifique aux données de cartes de paiement.

Les deux se chevauchent partiellement mais répondent à des publics et objectifs différents. Voici l'articulation pratique pour les SaaS B2B qui traitent ou facilitent le paiement carte en 2026.

Ce que chaque référentiel cible

ISO/IEC 27001:2022 — Information Security Management System générique. 93 contrôles dans l'Annexe A 2022. Certification 3 ans, audits annuels. Public : tout type d'organisation manipulant de l'information.

PCI DSS 4.0.1 (Payment Card Industry Data Security Standard) — Standard imposé aux organisations qui traitent, stockent ou transmettent des données de cartes (PAN, sensitive auth data). Géré par le PCI Security Standards Council. Niveaux SAQ A à D selon exposition. Application 4.0.1 depuis mars 2025.

Différence fondamentale : ISO 27001 = système de management volontaire global. PCI DSS = standard contraignant sur les données de cartes spécifiquement.

Mapping ISO 27001 → PCI DSS

ISO 27001 couvre approximativement 60-65% des exigences techniques PCI DSS. Mapping principal :

| Exigence PCI DSS 4.0.1 | Contrôles ISO 27001 Annexe A | |---|---| | Req 1 — Network security controls | A.8.20 (network controls), A.8.21 (network security) | | Req 2 — Secure configurations | A.8.9 (configuration management) | | Req 3 — Protect stored data | A.8.24 (cryptography) | | Req 4 — Encryption in transit | A.8.24 | | Req 5 — Anti-malware | A.8.7 (malware protection) | | Req 6 — Secure systems development | A.8.25-A.8.30 | | Req 7 — Restrict access by need-to-know | A.8.2, A.8.3, A.8.5 | | Req 8 — Identification & authentication | A.5.16, A.5.17, A.8.5 | | Req 9 — Restrict physical access | A.7.x (physical controls) | | Req 10 — Log and monitor | A.8.15, A.8.16, A.8.17 | | Req 11 — Test security regularly | A.8.8 (vulnerability management) | | Req 12 — Information security policy | A.5.1 |

Ce que PCI DSS ajoute spécifiquement

PCI DSS impose des exigences que ISO 27001 ne formule pas explicitement :

1. Cardholder Data Environment (CDE) — segmentation stricte. Le CDE doit être isolé du reste du SI. ISO 27001 demande une segmentation par les risques mais sans la précision PCI.

2. Stockage minimaliste des données carte.

  • Le PAN doit être masqué/tronqué/chiffré quand stocké.
  • Le sensitive auth data (CVV, PIN block) ne doit jamais être stocké post-autorisation. ISO 27001 demande la minimisation mais sans cette précision.

3. Tests de pénétration tous les 6 mois pour les marchands. ISO 27001 demande des tests réguliers sans fréquence imposée.

4. Approved Scanning Vendor (ASV) trimestriel. Scan externe des IP exposées par un ASV certifié PCI. Pas équivalent ISO 27001.

5. Exigences spécifiques aux scripts JavaScript des pages de paiement (4.0 — Req 6.4.3 et 11.6.1). Inventaire et intégrité des scripts JS chargés sur les pages payment-data-entry. Critique pour les SaaS e-commerce avec redirection PSP.

6. Mots de passe et MFA renforcés (Req 8.4 — MFA universel sur les accès au CDE).

Niveaux PCI DSS par profil de SaaS

SAQ A (e-commerce avec redirection PSP) : Stripe, Adyen, Mollie en redirection. Le SaaS ne touche jamais le PAN directement. Mais depuis 4.0 (mars 2025), les exigences 6.4.3 et 11.6.1 sur les scripts JS des pages payment s'appliquent. Aucun e-commerce moderne n'est totalement hors scope.

SAQ A-EP : e-commerce avec hébergement de la page de paiement mais redirection finale. Plus contraignant que SAQ A.

SAQ D (Marchand) : SaaS qui traite, stocke ou transmet le PAN dans son environnement. Audit complet, ROC (Report on Compliance) par QSA si Niveau 1.

SAQ D (Service Provider) : SaaS qui traite des données de carte pour le compte de marchands. Toujours niveau Service Provider — ROC obligatoire dès Niveau 1.

Stratégie pour un SaaS de paiement

Profil 1 : E-commerce avec redirection PSP (SAQ A)

  • ISO 27001 facilite ~70% du SAQ A.
  • Compléter avec exigences 6.4.3 (inventaire scripts JS) et 11.6.1 (intégrité scripts JS).
  • Coût additionnel post-ISO 27001 : 5-15 K€/an.

Profil 2 : SaaS Service Provider (SAQ D Service Provider)

  • ISO 27001 + PCI DSS sur 18-24 mois.
  • ROC complet par QSA — 50-150 K€/an pour Niveau 1.
  • Investissement : segmentation CDE, ASV trimestriel, pentest semestriel, MFA renforcé.

Profil 3 : Marchand niveau 1 (>6M transactions/an)

  • ROC complet par QSA, audit annuel.
  • Investissement : 100-300 K€/an récurrent (au-delà du coût ISO 27001).
  • Bundle ISO 27001 + PCI DSS recommandé pour mutualiser.

Erreur classique : sous-estimer le scope

L'erreur la plus fréquente : un SaaS pense être SAQ A (redirection PSP) mais en réalité fait passer le PAN sur son frontend même 1 milliseconde. Du coup, scope élargi à SAQ A-EP voire SAQ D.

Vérifications à faire :

  • Le PAN passe-t-il jamais par votre JavaScript ?
  • Vos logs (même par accident) capturent-ils le PAN ?
  • Vos backup contiennent-ils des PAN historiques ?

Si oui à l'un, le scope PCI DSS s'étend dramatiquement. Mieux vaut une analyse de scope rigoureuse au démarrage qu'une découverte tardive.

Questions fréquentes

ISO 27001 dispense-t-elle de PCI DSS ?

Non. ISO 27001 couvre ~60-65% des exigences techniques PCI DSS mais pas la segmentation CDE stricte, l'interdiction du stockage CVV/PIN block, le pentest semestriel marchand, l'ASV trimestriel, ni les exigences spécifiques scripts JS des pages de paiement (4.0 Req 6.4.3 et 11.6.1).

Mon e-commerce SaaS avec redirection Stripe est-il PCI DSS ?

Oui, niveau SAQ A. Depuis PCI DSS 4.0 (mars 2025), les exigences 6.4.3 (inventaire scripts JS) et 11.6.1 (intégrité scripts JS) s'appliquent même en redirection PSP. Aucun e-commerce moderne n'est totalement hors scope PCI DSS.

Quels niveaux PCI DSS pour un SaaS ?

SAQ A : e-commerce avec redirection PSP. SAQ A-EP : e-commerce avec page paiement hostée. SAQ D Marchand : SaaS qui touche le PAN. SAQ D Service Provider : SaaS qui traite des données carte pour des marchands. Niveau 1 (>6M tx/an pour marchand, >300k pour SP) = ROC complet par QSA.

Combien coûte un audit PCI DSS niveau 1 ?

Pour un SaaS Service Provider niveau 1 : 50-150 K€/an pour le ROC complet par QSA. Pour un marchand niveau 1 : 100-300 K€/an. Bundle ISO 27001 + PCI DSS recommandé pour mutualiser les contrôles techniques (60-65% de recouvrement).

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ConformitéPCI DSS 4.0.1 changements 2026 ConformitéISO 27001 SaaS B2B ConformitéDORA SaaS financiers

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt