top of page

Étude de cas – Comment une PME e-commerce a évité 50 000 $ de pénalités PCI

Dernière mise à jour : il y a 3 jours




C’est une histoire vraie. Enfin, presque...


Les noms sont fictifs, les détails un peu modifiés pour des raisons de confidentialité.


Mais l’enjeu ? Lui, il est très réel.

Le contexte


NatuKlean est une petite entreprise québécoise de produits de soins naturels.

Ils vendent en ligne, uniquement. Pas de magasin physique. Le site tourne sur Shopify, les paiements sont traités par Stripe. Tout semble simple. Et stable.

Jusqu’au jour où ils reçoivent un courriel de leur acquéreur :


“Merci de nous fournir votre Attestation de conformité PCI DSS d’ici 30 jours.”

😰 Panique.


Ils n’avaient jamais entendu parler de l’AOC.Et encore moins des SAQ. Ils pensaient que Shopify s’occupait de tout, que Stripe les couvrait. Ce qui est... partiellement vrai. Mais pas suffisant.


Les 72 premières heures


Ils nous ont trouvés via un post LinkedIn. Une simple infographie sur les SAQ. Curieux, ils cliquent. Puis ils réservent un appel ☎️


Le premier échange dure 18 minutes.


Le CEO de NatuKlean est franc :



“On pensait que tout était pris en charge. On ne sait même pas par quoi commencer.”

On leur explique que même si Stripe et Shopify sont certifiés, leur propre environnement web peut introduire des risques. Des scripts. Des plugins. Des erreurs de configuration. Et ça, c’est leur responsabilité.


L’analyse de portée


Première étape : cartographie des flux de paiement.

On découvre rapidement que leur site Shopify utilise plusieurs apps.

L’une d’entre elles injecte du JavaScript pour le suivi des conversions. Un autre plugin modifie dynamiquement les champs de formulaire.


Résultat : ils ne sont pas éligibles au SAQ A.Mais plutôt au SAQ A-EP, qui demande beaucoup plus de contrôles.


C’est souvent là que les entreprises abandonnent. Mais on ne les a pas laissés seuls.


Le plan d’action en 3 semaines

Avec PCI360, voici ce qu’on a fait, sans jargon :


  • Semaine 1 : Évaluation complète, sélection du bon SAQ, scan ASV lancé automatiquement, documentation des flux, désactivation de certains scripts inutiles.

  • Semaine 2 : Génération de toutes les politiques nécessaires (en français), publication sur leur intranet, validation des accès administratifs, activation du MFA sur Shopify.

  • Semaine 3 : Remplissage assisté du SAQ, upload des preuves, soumission de l’AOC au processeur.


Pas de consultant externe. Pas de PDF à imprimer. Tout a été fait sur PCI360.


Le résultat


Leur acquéreur a validé l’attestation. Pas de frais de non-conformité (qui pouvaient monter jusqu’à 50 000 $ sur l’année).

Et surtout, ils ont gardé leur contrat sans interruption.


😬 Mais ce qui les a surpris ?

“On a découvert des failles qu’on ignorait complètement. Même notre équipe TI n’était pas au courant.”

Et c’est ça le vrai bénéfice.Pas juste cocher des cases. Mais comprendre ce qu’on fait. Et pourquoi on le fait.



🧠 Ce qu’il faut retenir

  • Ne présumez jamais que vos fournisseurs couvrent toute la conformité pour vous.

  • Les scripts côté client sont souvent la cause numéro 1 d’inéligibilité au SAQ A.

  • Le bon SAQ, c’est celui que votre infrastructure justifie — pas celui que vous espérez.

  • Avec PCI360, vous pouvez y voir clair, agir vite, et éviter les mauvaises surprises.



✅ Vous êtes e-commerce ? Ne risquez pas 50 000 $ de pénalités



 
 
 

Comments

bottom of page