Quand vous commencez à manipuler des données de carte, /payment-processing-pci-compliance cartographie le périmètre PCI DSS, la tokenisation et les journaux d'audit. — Claude Skill
Une compétence Claude pour Claude Code par Seth Hobson — exécuter /payment-processing-pci-compliance dans Claude·Mis à jour le 1 juin 2026·v1.0.0
Mappez les exigences PCI DSS, la tokenisation, le chiffrement et les logs d'audit
- 12 exigences PCI DSS mappées à votre architecture (réseau, données, accès, monitoring, politique)
- Patterns de tokenisation : tokens processor (Stripe.js), vault de tokens custom avec chiffrement Fernet
- Chiffrement AES-256-GCM au repos avec rotation de nonce, application TLS 1.2+ en transit
- Décorateurs de contrôle d'accès avec gates PCI par rôle et écriture de log d'audit à chaque lecture
- Guidance SAQ : réduction de périmètre A, A-EP, D pour remplir 20 questions au lieu de 300
Pour qui
Confirmez le périmètre PCI DSS avant un audit QSA et réduisez le SAQ de 300 questions à 20 en validant l'architecture de tokenisation
Voir les compétences de ce rôleAjoutez les paiements par carte à votre produit sans tomber par accident dans un périmètre SAQ D
Voir les compétences de ce rôleCe qu'il fait
Intégration Stripe au prochain sprint. /payment-processing-pci-compliance mappe votre architecture au périmètre SAQ A, génère le flux de tokenisation et confirme qu'aucun PAN ne touche vos serveurs.
Le QSA arrive dans 6 semaines. /payment-processing-pci-compliance produit une checklist face aux 12 exigences, identifie le SAQ applicable et signale tout stockage interdit de CVV ou track data.
La facturation récurrente exige de stocker des tokens. /payment-processing-pci-compliance génère la classe TokenVault avec chiffrement Fernet, tokens aléatoires sécurisés et méthodes detokenize/delete.
Les ingénieurs peuvent faire SELECT sur la table payments sans piste d'audit. /payment-processing-pci-compliance ajoute le décorateur require_pci_access et PCIAuditLogger avec log append-only.
Fonctionnement
Décrivez comment les données carte circulent dans votre système aujourd'hui ou dans l'architecture prévue
Obtenez une carte de périmètre face aux 12 exigences PCI DSS avec les red flags signalés
Recevez le code de tokenisation qui garde PAN hors de vos serveurs (Stripe.js ou vault custom)
Obtenez les modules de chiffrement, contrôle d'accès et logs d'audit prêts à intégrer
Exécutez l'auto-évaluation SAQ au niveau approprié (A, A-EP ou D)
Exemple
Frontend : élément carte Stripe.js Backend : reçoit le token Stripe, jamais la carte Stockage : customer_id + payment_method_token Transactions : 50 K/an Région : US
SAQ A s'applique (e-commerce, page de paiement hébergée) Marchand niveau 4 (moins de 1 M transactions) ~20 questions vs 300 pour SAQ D Aucune donnée carte ne touche vos serveurs
Le frontend tokenise via Stripe.js (conforme) Le backend stocke uniquement le token (conforme) Aucun CVV, PAN ou track data dans une base (vérifié) Logs nettoyés pour masquer les numéros de carte
PaymentData.sanitize_log : masque PAN au format 6***4 Décorateur require_pci_access : contrôle de rôle + audit PCIAuditLogger : log append-only des accès cardholder Validate-no-prohibited-storage : rejette les écritures CVV
Compléter le questionnaire SAQ A (~20 questions) Soumettre l'attestation de conformité à l'acquéreur Planifier le scan ASV trimestriel Revue trimestrielle pour éviter l'élargissement du périmètre
Métriques améliorées
Compatible avec
Envie d'utiliser Conformité PCI ?
Choisissez comment commencer.
Installez et exécutez cette compétence localement sur votre ordinateur.
Ouvrez un terminal sur votre ordinateur et collez cette commande :
Cela télécharge la compétence avec tous ses fichiers sur votre ordinateur :
Ajoutez -g à la fin pour le rendre disponible dans tous vos projets.
Démarrez Claude Code, puis tapez la commande :
Conformité PCI
Aidez l’utilisateur à transformer son contexte en analyse claire, recommandations priorisées et livrables prêts à utiliser.
Mode opératoire
Clarifiez l’objectif, les entrées disponibles, les contraintes, les parties prenantes et les critères de réussite. Travaillez de manière structurée et explicitez les hypothèses importantes.
Sortie attendue
Fournissez un plan actionnable, les décisions à prendre, les risques à surveiller et les métriques ou checks permettant de valider le résultat.