Rester hors du périmètre PCI-DSS : les données carte ne touchent jamais votre serveur

Vous gérez un restaurant de 18 tables à Lyon et vous voulez que les clients règlent par carte depuis le menu QR. Dès qu'un PAN brut touche votre serveur, vous tombez sous PCI-DSS SAQ-D — pen-tests, scans ASV, audits de segmentation, facilement 8 000 EUR+ par an. Avec la bonne architecture, c'est zéro.

SAQ-A vs SAQ-D : pourquoi le périmètre compte

SAQ-A est l'auto-évaluation PCI-DSS la plus légère — 22 questions oui/non pour les commerçants qui externalisent totalement les données carte. Coût juridique : 0 EUR.

SAQ-D s'applique dès qu'une donnée carte touche vos systèmes — mémoire, logs, variables temporaires. Comptez 8 000-15 000 EUR de conformité annuelle.

Le pattern Stripe Elements

Stripe.js Elements affiche le champ carte dans un iframe servi par js.stripe.com. PAN, CVV et expiration ne partagent jamais l'origine avec votre application — votre JavaScript ne peut pas les lire.

• Le client saisit la carte → reste dans l'iframe Stripe
• Le frontend appelle stripe.confirmCardPayment(secret)
• Votre serveur ne voit que le token (pi_xxx)

thMenu fait ça par défaut

Le tier Platinum de thMenu utilise Stripe Elements par défaut. Aucune option pour "envoyer la carte au serveur" car le code backend ne référence aucun PAN. 3D Secure 2.0 et l'authentification forte PSD2 sont gérés côté Stripe.

Pour un restaurant français, cela signifie aucun échange supplémentaire avec la CNIL sur la rétention de cartes, juste le SAQ-A rempli et déposé chez votre acquéreur.

FAQ

SAQ-A nécessite-t-il un audit annuel ? Non, c'est une auto-évaluation à remplir chaque année et attester auprès de votre acquéreur.

Les webhooks Stripe me remettent-ils dans le périmètre ? Non. Les payloads contiennent les 4 derniers chiffres, la marque et l'expiration — jamais le PAN complet.

Et les commandes téléphoniques ? Si le personnel saisit la carte, vous passez en SAQ-D. Utilisez Stripe Terminal ou des Payment Links.

Cet article vous a été utile ? Partagez-le.