Compétences pci-compliance
🔒

pci-compliance

Sûr

Implémenter la conformité PCI DSS

Cette compétence fournit des conseils sur la mise en œuvre des exigences PCI DSS pour le traitement sécurisé des paiements. Elle couvre le chiffrement, la tokenisation, les contrôles d'accès et la journalisation d'audit pour aider à atteindre et maintenir la conformité aux normes de l'industrie des cartes de paiement.

Prend en charge: Claude Codex Code(CC)
📊 71 Adéquat
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "pci-compliance". Quelles données ne doivent jamais être stockées pour la conformité PCI ?

Résultat attendu:

  • DONNÉES INTERDITES (Ne jamais stocker) :
  • - Données de piste complète (données de bande magnétique)
  • - CVV/CVC/CVV2 (code de vérification de carte)
  • - PIN ou bloc PIN
  •  
  • DONNÉES AUTORISÉES (Si chiffrées) :
  • - PAN (Primary Account Number/numéro de carte)
  • - Nom du titulaire de carte
  • - Date d'expiration
  • - Code de service

Utilisation de "pci-compliance". Quels sont les niveaux de conformité PCI ?

Résultat attendu:

  • Niveaux de conformité PCI DSS (Basés sur les transactions annuelles) :
  •  
  • Niveau 1 : Plus de 6 millions de transactions/an
  • - Requis : Rapport annuel sur la conformité (ROC)
  • - Doit utiliser un évaluateur de sécurité qualifié (QSA)
  •  
  • Niveau 2 : 1-6 millions de transactions/an
  • - Requis : Questionnaire annuel d'auto-évaluation (SAQ)
  •  
  • Niveau 3 : 20 000-1 million de transactions e-commerce/an
  • - Requis : SAQ annuel
  •  
  • Niveau 4 : Moins de 20 000 transactions e-commerce ou moins de 1 million au total
  • - Requis : SAQ annuel

Audit de sécurité

Sûr
v5 • 1/21/2026

Educational PCI DSS compliance skill. All static findings are false positives. The skill provides documentation and code examples for implementing payment card security requirements. No actual vulnerable code or malicious patterns present.

2
Fichiers analysés
935
Lignes analysées
0
résultats
5
Total des audits
Aucun problème de sécurité trouvé
Audité par: claude Voir l’historique des audits →

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
29
Communauté
100
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Développement de systèmes de paiement

Les développeurs qui construisent des systèmes de traitement des paiements utilisent cette compétence pour implémenter une gestion sécurisée des données, le chiffrement et les contrôles d'accès conformes aux exigences PCI DSS.

Préparation à la conformité

Les ingénieurs sécurité qui se préparent aux évaluations PCI DSS utilisent cette compétence pour comprendre les exigences, identifier les lacunes et implémenter les contrôles nécessaires.

Revue de code pour applications de paiement

Les réviseurs de code qui auditent les applications de paiement utilisent cette compétence pour vérifier la gestion appropriée des données de titulaires de carte, l'implémentation du chiffrement et la journalisation d'audit.

Essayez ces prompts

Aperçu des exigences PCI DSS 
Quelles sont les 12 exigences fondamentales de PCI DSS ? Fournissez un résumé de chaque catégorie d'exigence pour la mise en œuvre de la sécurité des cartes de paiement.
Chiffrement des données de carte 
Montrez-moi comment chiffrer les données de titulaires de carte stockées (PAN) en utilisant AES-256-GCM en Python. Incluez la génération de clés, le chiffrement et le déchiffrement.
Stratégie de tokenisation 
Expliquez comment implémenter la tokenisation pour les cartes de paiement. Montrez des exemples de code pour créer des tokens de méthode de paiement et les stocker à la place des numéros de carte réels.
Implémentation du contrôle d'accès 
Comment implémenter un contrôle d'accès basé sur les rôles pour les endpoints de données de paiement dans une application web ? Montrez un exemple de décorateur Python Flask.

Bonnes pratiques

  • Ne jamais stocker le CVV, les données de piste ou le PIN - ceux-ci doivent être rejetés à la saisie et jamais persistés
  • Utiliser la tokenisation pour remplacer les numéros de carte par des tokens réversibles, éliminant les données de carte de vos systèmes
  • Implémenter le chiffrement en utilisant AES-256-GCM ou une cryptographie forte équivalente pour les données de titulaires de carte stockées

Éviter

  • Stocker les numéros de carte complets en texte clair ou avec un chiffrement faible
  • Journaliser les numéros de carte ou les données de paiement sensibles sans masquage
  • Utiliser des mots de passe par défaut ou des identifiants fournis par le fournisseur pour les systèmes de paiement

Foire aux questions

Quelle est la force de chiffrement minimale pour PCI DSS ?
PCI DSS exige une cryptographie forte incluant AES-256 ou équivalent. Le chiffrement doit utiliser des algorithmes standard de l'industrie avec des pratiques de gestion de clés robustes.
Puis-je utiliser une page de paiement hébergée pour réduire le périmètre de conformité ?
Oui, utiliser des pages de paiement hébergées (comme Stripe Checkout ou PayPal) où les données de carte ne touchent jamais vos serveurs réduit considérablement le périmètre PCI au SAQ A.
Quelle est la différence entre SAQ A et SAQ D ?
Le SAQ A est destiné aux commerçants utilisant une gestion de paiement entièrement externalisée avec des exigences minimales. Le SAQ D concerne les organisations qui stockent, traitent ou transmettent des données de carte avec les exigences complètes PCI DSS.
Dois-je chiffrer les données de carte en transit ?
Oui, PCI DSS exige le chiffrement (TLS 1.2 ou supérieur) pour toute transmission de données de titulaires de carte sur des réseaux publics.
Combien de temps dois-je conserver les journaux d'audit pour la conformité PCI ?
PCI DSS exige de conserver les journaux d'audit pendant au moins un an, avec 90 jours immédiatement accessibles et les 9 mois restants en archive.
Quels contrôles d'accès sont requis pour les données de titulaires de carte ?
PCI DSS exige des identifiants utilisateur uniques, un contrôle d'accès basé sur les rôles, des principes de moindre privilège et une authentification multifacteur pour l'accès distant aux environnements de données de titulaires de carte.

Détails du développeur

Auteur

wshobson

Licence

MIT

Dépôt

https://github.com/wshobson/agents/tree/main/plugins/payment-processing/skills/pci-compliance

Réf

main

Structure de fichiers

📄 SKILL.md