PCI-DSS : pour que les consommateurs et les marchands ne soient plus des victimes

L’information ne vous a sans doute pas échappée tant les médias se font l’écho ces derniers jours d’un point précis du rapport annuel 2012 de l’ONDRP (Observatoire National de la Délinquance et des Réponses Pénales).

Ce qui est commenté aussi abondamment, ce n’est pas l’atteinte aux biens et aux personnes comme cela a été le cas ces dernières années, mais les arnaques et les fraudes à la carte bancaire.

enquête INSEE

Se basant sur la dernière enquête de l’INSEE « cadre de vie et sécurité » réalisée auprès de 17.000 ménages, l’ONDRP relève que cette fraude, qui touche à présent 2,5% des ménages, est en explosion passant de 500.000 débits frauduleux sur compte bancaire en 2010 à 650.000 en 2011 ! 30% d’augmentation alors que le commerce à distance ne progresse lui « que » de 18% sur la même période…Il y a de quoi s’inquiéter.

Il est à noter que cette forte croissance de débits frauduleux sur compte bancaire n’est pas le résultat d’une augmentation des vols de carte bancaire, de chéquiers, ou encore d’oublis de carte dans un distributeur ; puisque les débits résultants de ces actes ne sont pas pris en compte dans l’étude. Dans le même temps, les victimes de ces fraudes lors d’un achat dans un commerce traditionnel ne représentent plus que 13%.

PCI-DSS Payment Card Industry Data Security Standard

Les exigences de sécurisation des paiements par carte sont de plus en plus contraignantes et efficaces, notamment PCI-DSS (Payment Card Industry Data Security Standard, soit standard de sécurité des données pour l’industrie des cartes de paiement) qui définit un référentiel de sécurisation des données des cartes bancaires, valable dans le monde entier.

Voilà donc qui semble assez paradoxal.

Quels enseignements pouvons-nous tirer de cette situation, en particulier par rapport à la fraude dite de carte non-présente (carte utilisée pour les achats à distance en ligne, par courrier ou par téléphone), le paiement étant effectué sur la base des coordonnées de la carte.

Tout comme le commerce se globalise et les technologies se perfectionnent pour faciliter les usages et renforcer les protections et la sécurité, il est évident que dans le même temps la cybercriminalité dont il est question ici s’internationalise et se spécialise sur ces nouvelles technologies.

Et les victimes sont toujours les mêmes : le consommateur et le marchand. Le monde bancaire et les émetteurs de cartes sont également impactés par ces fraudes, leur gestion ayant un coût.

Vous aurez compris que ce que cherchent à obtenir les fraudeurs, ce sont les coordonnées de la carte bancaire afin de pouvoir effectuer des paiements à distance en utilisant la carte ainsi fraudée. Et pour cela, ils ciblent les points considérés comme faibles, à savoir le détenteur de la carte et le marchand.

Auprès du porteur de carte, le phishing (hameçonnage) constitue l’approche la plus répandue. Je ne m’attarderai pas sur cet aspect aujourd’hui.

Votre vigilance est le meilleur moyen de vous protéger lorsqu’un message vous demande de suivre un lien pour mettre à jour vos coordonnées bancaires. Faire vos achats auprès de marchand de confiance, communiquer votre numéro de mobile à votre banque ou un tiers de confiance vous permettra d’être authentifié lors du paiement par la saisie d’un code unique reçu par SMS (système 3D secure).

le marchand constitue une cible de choix pour les fraudeurs.

C’est par son intermédiaire que transite le numéro de carte bancaire lors des paiements. Et il est probable qu’il stocke, lui ou son prestataire de paiement, les numéros de carte des clients afin de faciliter la relation avec eux lors du paiement. C’est pratique, il n’y a pas besoin de ressaisir le numéro à chaque fois (paiement en un clic), cela permet de faire des paiements échelonnés. Rien n’interdit d’ailleurs ce stockage de numéro de carte bancaire.

Un hacker va donc chercher à exploiter les failles de sécurité des systèmes informatiques en vue de mettre la main sur des numéros de carte bancaire, voire sur des fichiers contenant des centaines, des milliers ou des millions de numéros de carte bancaire. Quelle aubaine !

La mise en conformité aux exigences de sécurité PCI-DSS des systèmes et processus par lesquels transitent les numéros de carte bancaire protège l’ensemble des acteurs de ces attaques. Le commerçant, le prestataire informatique traitant les transactions et bien évidemment les émetteurs et accepteurs de paiement par carte du monde bancaire.

Pour accepter du paiement à distance par carte bancaire, il vaut donc mieux déléguer ces traitements auprès d’un prestataire spécialisé qui soit certifié PCI-DSS. Les sociétés qui proposent ces services pour les sites web marchand sont pour la plupart déjà en conformité avec ces exigences de sécurité, et il convient de s’en assurer.

Il ne faut par contre pas oublier que de très nombreux paiements à distance par carte sont réalisés par un autre canal que le web : via un coupon associé au bon de commande envoyé par courrier ou encore via un conseiller sur un centre d’appel.

Bien que la très grande majorité des marchands concernés par ces canaux soient dignes de confiance (la vente sur catalogue ou les abonnements à des revues par coupon ou par téléphone existaient bien avant l’arrivée d’internet), il n’en demeure pas moins que les failles existent et que les exigences de sécurité PCI-DSS s’appliquent bien évidemment aussi dans ces cas.

mettre en conformité un plateau d’appel ou un centre de courrier réceptionnant des commandes et des ordres de paiement par carte n’est pas une mince affaire

  • contrôles d’accès aux locaux
  • connexion sécurisée et individualisée par opérateur ou téléconseiller aux systèmes pour la saisie du numéro de carte etc.

Là aussi les prestataires spécialisés sur les centres d’appels ou le traitement de courrier sont sensibilisés et œuvrent à se mettre en conformité.

Et tout doit être pris en compte, y compris le cryptage des échanges sur le réseau téléphonique si nécessaire.

Dans ce cas, le traitement de la saisie des coordonnées de carte bancaire par un SVI de paiement sécurisé est une solution intéressante.

Ce SVI de paiement certifié PCI-DSS peut être sollicité par re-routage depuis un SVI externe gérant des appels entrants, ou encore par re-routage depuis un centre de contacts recevant les appels entrants.

Cette configuration peut également s’envisager dans le cas d’appels sortants, émis depuis un centre d’appel ou un SVI automate d’appels sortants pour les campagnes de recouvrement par exemple.

en conclusion, il y a quelques points importants qu’il convient de retenir

  • tout acteur qui stocke, traite ou transmet des données de cartes bancaires, quelle qu’en soit la manière, doit se conformer aux exigences PCI-DSS, donc cela concerne chaque commerçant, et son prestataire de service si les traitements sont sous-traités
  • la conformité à PCI-DSS est déjà attendue par les réseaux Visa, Master Card et Cartes Bancaires
  • le niveau d’exigence de conformité dépend du volume de transactions traitées
  • une compromission qui intervient chez un commerçant ou son prestataire requalifie automatiquement le commerçant au niveau le plus exigeant pendant une période de 12 mois

Sachez qu’un commerçant victime d’une compromission s’expose à des amendes et peut se voir interdire d’accepter les paiements par carte bancaire.

Enfin, depuis le premier janvier 2013, le réseau Visa ne couvre plus les transactions non certifiées PCI-DSS et les banques exigent à présent dans leurs contrats d’acceptation de paiements par carte bancaire que les traitements soient conformes aux exigences PCI-DSS.

Et cela ne va pas s’assouplir compte tenu de l’explosion des fraudes à la carte bancaire que je mentionnais au début.

Alors assurez-vous vite que vos prestataires sont conformes PCI-DSS !

Pour en savoir plus

Rapport annuel 2012 de l’ONDRP

PCI-DSS c’est quoi par le site officiel des cartes bancaires

Bertrand Martin

crédit photo - Ainoa -Fotolia.jpg

Bertrand Martin

En rejoignant il y a quelques mois le Domaine de la Relation Client pour prendre en charge le marketing du paiement, j’ai renoué avec un métier et un domaine passionnants que j’avais délaissés il y a plusieurs années au moment de mon arrivée dans le Groupe.

Régi par des normes et règles qui s’internationalisent de plus en plus, le paiement fait partie de la relation client. Il doit être ergonomique, fluide et porteur de valeur.

Ce blog sera l’occasion de partager avec vous les évolutions des moyens de paiement et de leurs usages.