Parallèlement, les chiffres de la fraude n’ont cessé de progresser, pour dépasser en 2014 les 500 millions d’euros détournés sur le plan national. Dans la plupart des cas, cette fraude est due à l’utilisation de numéros de carte volés.

Pour endiguer cette tendance, les principaux organismes émetteurs de cartes bancaires (dont Visa et MasterCard) ont décidé de fonder en 2005 le Payment Card Industry Security Standard Council, dont le porte-étendard demeure sans nul doute PCI DSS (Payment Card Industry Data Security Standard).

PCI DSS et la nébuleuse des responsabilités

Le standard PCI DSS s’applique à « toute entreprise qui stocke, traite ou transmet des données carte ». Cette définition englobe donc aussi bien les banques que les commerçants, ou encore les prestataires de service de paiement (PSP), qui ont de ce fait des comptes à rendre devant les réseaux émetteurs de cartes. Pour être conformes à PCI DSS, ces acteurs doivent ainsi respecter les 280 exigences de sécurité qui composent le standard, réparties autour de 12 thèmes de nature technique ou organisationnelle.

Il convient par ailleurs de noter qu’en France, le standard PCI DSS n’est pas une obligation légale, mais est imposé contractuellement par les principaux acteurs du marché : Visa et MasterCard. Une société non conforme à PCI DSS s’expose ainsi à des pénalités financières, qu’elles soient imposées directement par les réseaux, ou par un partenaire de la chaine de paiement, comme ce fût par exemple le cas pour le Groupe Aldo en 2010.

Toutefois, les acteurs concernés n’ont pas tous les mêmes responsabilités vis-à-vis de la norme. Si la conformité des commerçants doit être justifiée chaque année auprès de Visa et MasterCard, ce n’est pas le cas de la banque, qui n’est pas tenue de réaliser un reporting régulier sur sa propre situation. Elle est en revanche responsable de celle de ses commerçants, autrement dit sa clientèle professionnelle. En effet, la déclaration des commerçants demeure du ressort de la banque, qui s’expose en cas de non-conformité ou de compromission chez l’un de ses clients à des pénalités financières.

Des commerçants aux profils variés…

Tous les commerçants ne présentent pas le même profil vis-à-vis du standard, et ne font donc pas face aux mêmes obligations. PCI DSS distingue quatre catégories, dont la plus élevée regroupe les marchands effectuant plus de six millions de transactions annuelles sur un réseau. Ces sociétés doivent impérativement obtenir une certification PCI DSS, délivrée à l’issue d’un audit au cours duquel l’intégralité des points de contrôle est vérifiée. Les autres commerçants n’ont pas d’obligation de certification. Leur conformité est justifiée par le biais d’un processus déclaratif, matérialisé par un questionnaire d’auto-évaluation (Self Assessment Questionnaire, SAQ). Ce questionnaire, complété chaque année, permet d’attester que l’ensemble des points de contrôle de la norme est respecté par le commerçant.

Les commerçants ne sont toutefois pas contraints de supporter eux-mêmes l’intégralité des exigences adressées par la norme. Un e-marchand ne comptant que quelques salariés ne disposera vraisemblablement pas de service informatique spécifique, ne développera probablement pas lui-même son site internet, et hébergera encore moins les fonctionnalités de paiement sur son système d’information. Les commerçants dans cette situation ont ainsi la possibilité de reporter une partie des responsabilités liées au standard vers un prestataire proposant une solution de paiement certifiée PCI DSS. Le commerçant choisissant cette solution ne deviendra pas automatiquement conforme à PCI DSS, mais portera considérablement moins de risques sur son périmètre. À titre de comparaison, le SAQ correspondant à cette situation n’adresse que deux des douze thèmes (sécurité physique et gestion des prestataires) du standard, pour un total de 17 exigences à couvrir.

…dont la banque hérite d’une responsabilité complexe

La banque est responsable de la déclaration de l’ensemble de ses commerçants auprès des réseaux. Si les marchands les plus conséquents sont susceptibles d’être d’autant plus réceptifs voire demandeurs de cette démarche PCI DSS, ce n’est pas nécessairement le cas des commerçants peu exposés, en règle générale également peu sensibles aux questions de sécurité. Aborder le standard sous l’inconditionnel angle réglementaire serait alors voué à l’échec. Le client risquerait en effet de se tourner vers une autre banque, ne lui imposant pas ces contraintes dont il ne perçoit pas la nécessité.

Il appartient alors à la banque d’accompagner son commerçant, en lui faisant dans un premier temps comprendre les enjeux portés par la sécurisation des données. Pourquoi protéger les données carte ? Quels risques encourus en cas de compromission ? Comment corréler sécurité et développement du business ? Toutes ces questions peuvent être abordées sans même évoquer PCI DSS. L’objectif est que le marchand intègre la protection des données comme vecteur de sécurisation de son business, lui permettant de continuer à travailler en acceptant les moyens de paiement Visa et MasterCard, et de développer la confiance de sa clientèle.

En tant que premier relais de l’établissement bancaire auprès du client, le chargé d’affaires peut être l’interlocuteur privilégié pour aborder ces questions. Il est alors du ressort de la banque de définir sa cible en termes de sensibilisation, et de former ses conseillers au discours sécurité qui doit être intégré au sein de la démarche commerciale globale.

En synthèse, la banque se retrouve donc dans une position complexe d’intermédiaire entre les réseaux carte et ses propres clients. Pour satisfaire les deux parties, il est alors nécessaire de gérer les risques associés à leurs intérêts divergents. Risque réglementaire d’une part, lié au non-respect des exigences imposées par Visa et MasterCard. Risque économique d’autre part, dû à une fuite d’une partie de sa clientèle.

Définition d’une stratégie de déclaration, le véritable enjeu pour la banque

La multiplicité des profils au sein d’un portefeuille clients proscrit l’adoption d’une réponse unique. Pour satisfaire l’ensemble des acteurs impliqués, une stratégie portant sur la déclaration de chaque client doit ainsi être mise en œuvre.

Imposer le remplissage systématique d’un SAQ en vue d’une déclaration ne convaincra pas les plus petits commerçants, moins exposés et moins enclins à consacrer les ressources nécessaires à une mise en conformité PCI DSS. À l’inverse, laisser une marge de manœuvre totale à ses clients exposera la banque aux pénalités imposées par Visa et MasterCard en cas de compromission.

La stratégie adoptée doit donc se construire sur la base des profils commerçants, pouvant être modélisés suivant deux paramètres :

• Exposition au risque : le commerçant est d’autant plus exposé qu’il réalise un grand nombre de transactions carte à l’année, et qu’il est au contact de ces données (par exemple en les stockant sur son système d’information, ou en portant certaines fonctions de paiement en interne).
• Maîtrise des exigences PCI DSS : le commerçant a un niveau de maîtrise d’autant plus important qu’il est en mesure d’allouer les ressources nécessaires à la démarche de mise en conformité, et qu’il manifeste sa volonté de conformer aux règles du standard.

En définitive, la meilleure réponse que puisse apporter une banque à la question PCI DSS repose sur une approche pragmatique. Connaître son portefeuille clients et identifier les risques portés par chacun d’entre eux doit permettre de répartir au mieux les moyens à consacrer à leur mise en conformité. Cet engagement de moyens sera par ailleurs perçu de façon positive par les réseaux carte, moins susceptibles de se retourner vers la banque si une compromission commerçant venait malgré tout à se produire.

Cet article PCI DSS : Quelle stratégie pour la banque vis-à-vis de ses commerçants ? est apparu en premier sur RiskInsight.

Parmi ces services, nous retrouvons notamment le Mpaiement. Faire ses achats sur internet à n’importe quel moment et de n’importe où (transport, salle d’attente…) a enthousiasmé les utilisateurs. Cependant, les débuts ont été laborieux : saisir les 16 caractères de sa carte bancaire sur un clavier tactile de taille réduite génère forcément des erreurs et peut décourager plus d’un client. L’achat sur smartphone ne peut être qu’efficace que s’il est simple et rapide !

Protéger sa carte bancaire à travers les portefeuilles virtuels

Les portefeuilles virtuels proposés par les commerçants ont apporté une solution : les données de carte bancaire sont enregistrées chez le commerçant et par le biais d’un login et d’un mot de passe, l’utilisateur s’identifie pour réaliser son paiement en « un clic », tout simplement. La sécurité des données est assurée par les mesures mises en œuvre dans le cas d’une certification PCI DSS du commerçant ou d’une externalisation du service auprès d’un fournisseur de service de paiement (Payment Service Provider), lui-même certifié PCI DSS. (cf. un article précédent).

S’identifier pour réaliser un paiement n’est cependant pas une solution totalement innovante. Paypal, le leader mondial du portefeuille virtuel pour les sites web a naturellement décliné son offre pour les smartphones.  Ce service remporte un net succès et attise les convoitises, comme l’on peut le voir en ce moment avec  l’arrivée de nouvelles solutions sur le marché français telles que Kwixo, Buyster ou Lemonway qui utilisent notamment le numéro de téléphone du client comme identifiant.

Au-delà des mesures techniques de sécurité pour l’hébergement des données, ces solutions proposent, pour certaines d’entre elles, une sécurisation intéressante des mots de passe du client (longueur minimale, caractères spéciaux, questions secrètes pour le renouvellement) mais malheureusement elles font également le sujet d’attaque par Phishing et l’utilisateur non averti peut alors se retrouver malgré lui piégé en livrant lui-même ses identifiants au fraudeur….

La course aux moyens de paiement de demain est lancée !

De nouveaux moyens de paiement vont changer nos habitudes de demain comme les smartphones ont pu le faire ces dernières années.

Solution déjà lancée outre-atlantique dans les Starbucks New-Yorkais, le code barre 2D (ou QR code) est une nouveauté pour le paiement mobile. Initialement envisagé pour obtenir de l’information en le flashant, le QR code, a été détourné aujourd’hui pour proposer une « facture électronique » que le client va flasher avec son smartphone, et régler via une application de portefeuille virtuel, protégé par un code PIN.

Autre challenger qui se fait dorénavant attendre… le NFC. Le Near Field Communication est un protocole sécurisé d’échange de données entre une borne et une puce, intégré par exemple dans un smartphone ou une carte bancaire. Le NFC permet de centraliser divers services en un seul support, tels que le titre de transport ou la carte fidélité. Il peut également offrir la possibilité de payer « sans contact », une solution simple et transparente pour les utilisateurs. En expérimentation depuis 2010 dans la ville de Nice, ce test grandeur nature n’a pas rencontré le succès escompté. Pour 200 000 cartes avec module NFC livrées, seules 2 800 transactions sans contact ont été effectuées la première année au sein des 1 500 commerces de proximité de la ville (source ZDNet.fr).

Cependant, Google est l’un des acteurs qui y croit fort, notamment avec sa solution Wallet, basée sur la technologie NCF. Uniquement disponible aujourd’hui aux États-Unis, Google compte bien utiliser sa force pour prendre une place importante sur ce marché avant que son concurrent Apple ne propose également sa solution.

L’un des principaux freins au développement de ce nouveau moyen de paiement reste, notamment, le nombre très limité de terminaux mobiles intégrant directement une puce NFC. Mais avec le récent dépôt de brevet d’Apple sur le NFC, on peut s’imaginer que le message a été compris par les grands fabricants de smartphones…

Cet article Un téléphone ça sert à payer ! est apparu en premier sur RiskInsight.

Les cartes de paiement ont envahi notre quotidien, que ce soit pour les achats en magasin comme pour la vente à distance en particulier via internet Pour autant, cette généralisation de l’utilisation de la carte de paiement a entrainé une augmentation du montant total de la fraude de 9,8% par an en moyenne, pour atteindre 342,3M€ en 2009*. Les grands émetteurs de cartes comme Visa et Mastercard  se devaient de réagir et de proposer de nouvelles mesures de sécurité.

PCI DSS, un standard de sécurité exigeant…

Pour contrer cette augmentation des fraudes, les acteurs majeurs des cartes de paiement ont défini le standard de sécurisation PCI DSS, dont les objectifs sont les suivants :

• Réduire les risques de fuite de données bancaires en renforçant et uniformisant à l’échelle mondiale leur sécurisation
• En cas de fraude, déplacer les responsabilités des sociétés de cartes de paiement vers les garants de la certification PCI DSS (banques et sociétés d’audit)

Le standard adresse 12 thèmes classiques de la sécurité. Mais il est particulièrement exigeant ! Toutes les règles doivent être appliquées et elles sont précises. Durcissement des serveurs, revue quotidienne des logs, détection des points d’accès wifi pirates, sont autant de chantiers complexes à adresser dans le cadre d’une mise en conformité. D’autant plus que leur application est contrôlée à travers des audits annuels pour les sociétés réalisant plusieurs millions de transactions par an.

Quelle stratégie de mise en conformité ?

Au vu de cette complexité, notre recommandation est d’initier tout projet de mise en conformité PCI DSS par la réduction du périmètre d’application du standard. Pour cela, plusieurs méthodes se détachent :

• Aligner le périmètre applicatif avec les besoins métiers réels. Cet exercice  consiste à supprimer les données de cartes bancaires partout où leur présence n’est pas justifiée par un besoin métier réel.
• Désensibiliser les données de cartes bancaires. Il est possible de remplacer les données bancaires par une donnée non exploitable en cas de fraude –  troncature, hash, ou identifiant unique (token) – différente de la donnée bancaire. Des éditeurs se positionnent sur la fourniture de solutions de désensibilisation.

Cette étape effectuée, le périmètre d’application du standard PCI DSS se résume alors aux applications restantes et aux services d’infrastructures sous-jacents (réseau, postes de travail concernés, sauvegardes, base d’identifiants uniques…). C’est a priori sur ce périmètre que s’appliqueront donc les exigences de PCI DSS.

Sauf si…  la réduction de périmètre se poursuit à travers l’externalisation de ces ressources applicatives. Et cette externalisation pourrait même servir à améliorer les services offerts…

L’externalisation : une solution à PCI DSS ?

Historiquement implantés dans beaucoup d’entreprises pour assurer un rôle d’intermédiaire avec les banques, les PSP (Payement Service Providers) peuvent jouer un rôle majeur dans une stratégie de mise en conformité, dans la mesure où toutes leurs offres sont proposées en standard sur des environnements entièrement certifiés PCI DSS.

En particulier, les PSP sont aujourd’hui en mesure de proposer l’externalisation de tous les composants de la chaîne de liaison paiement par internet ou par téléphone : collecte des données, demandes d’autorisation et de paiement, contrôles anti-fraude avancés…

Et l’externalisation peut aller encore plus loin ! Les PSP proposent dorénavant des tables de correspondance « tokenizer » facilitant la désensibilisation des données carte de paiement. Lors de la collecte de données, un identifiant unique, personnalisable, est renvoyé à l’entreprise et peut donc circuler dans le SI sans aucune contrainte vis-à-vis de la norme PCI DSS.

L’externalisation permet ainsi de réduire de manière conséquente le périmètre applicatif, mais attention… ce n’est pas la solution ultime pour être conforme à PCI DSS.  Certaines populations conservent souvent le besoin d’accéder au numéro de carte depuis leur poste de travail, pour des raisons réglementaires, entre autres. Nous pouvons par exemple citer les services de lutte anti-fraude ou les téléconseillers, dont les terminaux devront sans doute rester dans le périmètre PCI DSS. Il est donc difficile de penser qu’aucun composant du SI ne manipulera de données cartes surtout dans une grande entreprise.

Mais bien plus qu’un simple levier de mise en conformité PCI DSS, un projet d’externalisation peut devenir stratégique pour l’entreprise en lui permettant de développer de nouveaux moyens de paiements (ex : cartes cadeaux), de nouveaux marchés internationaux (facilités de connexions aux acquéreurs étrangers) ou de nouvelles fonctionnalités (ex : paiement one-click sans renseignement des données CB). Le recours à ces acteurs peut aider à la conformité mais aussi faciliter de nouveaux usages.

*Ces statistiques sont issues du rapport d’activité annuel 2009 de l’Observatoire de la sécurité des cartes de paiement publié en Juillet 2010

Cet article PCI DSS : l’externalisation est-elle une solution ? est apparu en premier sur RiskInsight.