.
Nous avons vu (interview 1) que les banques et les organismes de tutelle avaient mis en place 2 dispositifs PCI et 3D SECURE PCI :
Le côté données PCI concerne les données.
PCI c'est l'ensemble de tous les équipements qui sont dans la chaîne du paiement entre le commerçant et sa banque et qui font l'objet de protections suffisamment robustes pour que les données du porteur (ses données cartes) ne soient pas volées.
Ceci s'est imposé à l'industrie de façon assez naturelle car les règles sont telles que - par exemple - si un terminal de paiement électronique (TPE) n'est pas PCI, il ne peut pas être vendu. Donc naturellement, les industriels se sont adaptés. De la même façon, un prestataire de paiements se doit d'être PCI puisque l'ensemble des appels d'offre auxquels il devra répondre stipuleront que PCI est une obligation. Enfin, il faut préciser que PCI n'a aucun impact sur l'usage ou l'acheteur et donc ce dispositif ne vient pas modifier l'acte d'achat.
Qu'est-ce que PCI ?
2 choses : d'une part des points à respecter (une liste de 12 points à respecter) et selon le niveau et les montants des transactions que l'on gère, les vérifications sont de plus en plus contraignantes (du simple « scan » de la plateforme, jusqu'à des audits sur site qui sont beaucoup plus poussés.
Les 12 points imposés par Visa pour la conformité PCI DSS
1.installer et maintenir un pare-feu afin de protéger les données des porteurs
2. ne pas utiliser les mots de passe par défaut ou autres formules standard de sécurité fournies de base par les fabricants
3. protéger les données des porteurs stockées sur vos serveurs
4. encrypter la transmission des données du porteur lorsqu'elles transitent sur des réseaux ouverts
5. utiliser des logiciels antivirus et les mettre régulièrement à jour
6. développer et maintenir la sécurité autour de vos applicatifs
7. restreindre l'accès aux données du porteur aux seules opérations indispensables à la transaction
8. allouer un identifiant unique à chaque personne qui a accès au système informatique
9. restreindre l'accès physique aux données bancaires des porteurs
10. suivre et surveiller tous les accès aux ressources réseau et aux données du porteur
11. tester à intervalle régulier les systèmes et les procédures de sécurité
12. mettre à jour une politique de sécurité à l'égard des employés et des sous-traitants
3D Secure : le transfert de responsabilité (liability shift)
C'est un modèle 3 D (3 domaines): au moment où le porteur va faire un achat chez un e-commerçant, il sera mis en relation - via le site du e-commerçant - avec sa banque (et plus seulement la banque du commerçant) et donc la banque du porteur devra authentifier le porteur, l'acte d'achat avec un niveau d'authentification qu'il jugera suffisant pour garantir l'acte d'achat.
Le mot est important car plus de sécurité on parle là de transfert de responsabilité en cas de contestation, une fois que l'achat aura été effectué via le dispositif 3D Secure.
Cela veut dire donc que si le porteur ne reconnaît plus avoir fait l'acte d'achat ou le conteste, la responsabilité n'incombe plus au commerçant mais à la banque du porteur elle-même.
Comment ça marche ?
Le 3D Secure en France est promu par la Banque de France et c'est elle qui soumet les règles. Elle a imposé que la méthode d'authentification utilisée pour 3D Secure soit une méthode d'authentification « non rejouable », c'est-à-dire qu'à chaque achat doit correspondre un mot de passe qui est unique pour cet achat. Et donc la banque se doit de fournir au porteur les supports d'authentification qui permettent de générer un mot de passe dynamique. Ce peut être un équipement électronique ou papier (du type « bataille navale » et cela peut être un téléphone pour envoyer un sms, et cela va permettre de générer des mots de passe dynamiques.
-