4 VEILLE TECHNOLOGIQUE

of 20
88 views
PDF
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Document Description
4 VEILLE TECHNOLOGIQUE 4 1 Standardisation européenne et sécurité dans le domaine des cartes de paiement Le Conseil européen des paiements (European Payments Council EPC 29 ) est l organisme représentatif
Document Share
Document Transcript
4 VEILLE TECHNOLOGIQUE 4 1 Standardisation européenne et sécurité dans le domaine des cartes de paiement Le Conseil européen des paiements (European Payments Council EPC 29 ) est l organisme représentatif de l industrie bancaire chargé du développement et de la promotion des instruments SEPA, parmi lesquels la carte occupe une place privilégiée. Les processus d harmonisation des instruments SEPA ont toutefois suivi des voies différentes : pour les prélèvements et virements, ils ont conduit à la création de nouveaux instruments (SDD et SCT) au sein de systèmes spécifiés par l EPC et auxquels doivent adhérer les banques européennes ; pour les cartes, l objectif poursuivi par l EPC est la définition de règles et principes permettant aux cartes de paiement émises au sein de la zone SEPA d y être acceptées dans les mêmes conditions, indifféremment du lieu. Ces règles et principes constituent le «SEPA Cards Framework» et font l objet de déclinaisons techniques dans le «SEPA Cards Standardisation Volume - Book of Requirements». Depuis la publication du «SEPA Cards Framework» en 2005, l Observatoire a régulièrement souligné l importance qu il attache à la conduite d une démarche harmonisée de standardisation et de certification au sein de l espace SEPA. Les travaux réalisés dans ce cadre ont progressé depuis le dernier état d avancement figurant dans le rapport 2007, et ce dans chacun des domaines d interaction entre les parties lors d une transaction par carte. Le paiement par carte implique en effet de nombreux acteurs (porteurs, commerçants, prestataires techniques, établissements financiers et éventuellement systèmes d échange), qui doivent être capables de s échanger les différentes données de la transaction. Ces échanges requièrent une standardisation des matériels et des protocoles de communication au sein du système de paiement par carte : la carte, le terminal et les serveurs de l acquéreur et de l émetteur. Les bénéfices attendus d une telle démarche résident de manière générale dans une simplification des moyens techniques à mettre en œuvre pour l ensemble des acteurs des systèmes de paiement par carte, ainsi que dans une interopérabilité accrue entre les différents systèmes existants. Cette étude présente un nouvel état des lieux des initiatives en cours visant à atteindre ces objectifs, en élargissant le champ des investigations aux paiements à distance ou réalisés en mode sans contact, ainsi qu aux modalités de protection des données dans la filière acquisition. 29 Les termes en italiques sont définis dans le glossaire, p Observatoire de la sécurité des cartes de paiement Rapport La sécurisation dans le cadre d un paiement par carte de proximité Encadré 5 : Évolution des standards techniques avec l émergence de SEPA La situation européenne actuelle est similaire à celle déjà observée en 2007, marquée par un cloisonnement des systèmes de carte de type interbancaire. Les paiements par carte transfrontaliers reposent donc sur les réseaux internationaux, même si des accords d acceptation peuvent toutefois déjà exister entre deux systèmes nationaux. Ce cloisonnement se retrouve au niveau des protocoles d échanges (entre la carte et le terminal, le terminal et les serveurs de l acquéreur, ainsi qu entre les serveurs de l acquéreur et de l émetteur), une même norme pouvant être implémentée de différentes façons selon les systèmes (cas de la norme EMV). Les travaux de standardisation européens doivent conduire à l adoption de spécifications communes sur l ensemble de ces phases du paiement par carte, comme le rappelle le schéma ci-dessous : Situation européenne actuelle EMV CB CB2A EMV ZKA ZKA Serveurs Acquéreurs Serveurs Emetteurs Situation à l issue de la migration SEPA CAS (sécurité) EMV CPA PCI PED/UPT CAS (sécurité) SEPA-FAST EPAS Serveurs Acquéreurs ISO 20022/8583 Serveurs Emetteurs Les travaux de standardisation dont il est fait référence ci-dessous étaient déjà initiés lors de la précédente étude conduite par l Observatoire 30. Le lecteur est donc invité à se reporter à cette dernière pour toute question relative au descriptif technique des normes concernées. La standardisation de l interface carte terminal CAS (sécurité) EMV CPA CAS (sécurité) PCI PED/UPT SEPA-FAST EPAS Serveurs Acquéreurs ISO 20022/8583 Serveurs Emetteurs 30 Cf. chapitre 3.1 (p. 27) «Sécurité des paiements par carte et standardisation européenne», rapport Rapport 2010 Observatoire de la sécurité des cartes de paiement Il s agit ici de répondre aux besoins de standardisation à la fois des spécifications propres à la carte et au terminal, ainsi qu aux échanges entre ces deux éléments de façon à permettre l acceptation des cartes sur l ensemble des terminaux de la zone SEPA. Toutefois, les mêmes cartes devant rester compatibles avec les terminaux utilisés en dehors de cette zone, l EPC a retenu comme base normative dès 2005 les spécifications techniques EMV, produites par un consortium réunissant les plus grands systèmes de carte internationaux Pour les cartes : Les cartes à piste répondent à la norme ISO 7811, laquelle définit les spécifications de la bande magnétique, son positionnement sur la carte, la technique de codage ainsi que les propriétés des caractères codés. Concernant les cartes à puce, les standards EMV comprennent un certain nombre de dispositifs optionnels, pouvant conduire à des modalités de mise en œuvre différentes d un système de carte à l autre. Le «CIR Technical Working Group» 33 a donc travaillé dès 2003 sur un socle commun applicable à la zone SEPA, conduisant EMVCo à publier en 2005 un document reprenant les spécifications minimales requises pour le paiement en mode EMV (CPA - Common Payment Application). Si les cartes françaises «CB» ne sont pas aujourd hui compatibles avec ces spécifications, les terminaux «CB» les implémentent d ores et déjà. Pour les téléphones mobiles : Le mode d initiation des paiements par téléphone mobile, lors d un paiement de proximité (ou à distance, en devenir) fait l objet de réflexions plus récentes. Il nécessite néanmoins un niveau de sécurité équivalent à celui prévalant pour les paiements initiés à l aide d une carte, en tenant compte des spécificités propres à cet instrument. Différentes initiatives visent ainsi à définir un socle de sécurité pour les différents éléments constitutifs d un téléphone mobile impliqués dans une transaction de paiement ainsi que pour les communications entre cet appareil et les infrastructures de la chaîne de paiement. L EPC, dont l objectif est de publier un guide d interopérabilité pour les transactions à distance («SEPA Interoperability Implementation Guidelines for Remote Card Payments»), a ainsi signé des accords de coopération avec GSMA (voir ci-dessous), Mobeyforum, GlobalPlatform et l Association Européenne Payez Mobile (AEPM), afin d harmoniser les pratiques sécuritaires relatives à ce mode d initiation des paiements par carte. Ces initiatives ont jusqu à présent permis la publication par l EPC d un livre blanc sur les paiements mobiles attestant de son implication dans ce domaine 34. Le processus de standardisation a par ailleurs démarré, notamment en ce qui concerne la gestion d applications de paiement sur la carte SIM ou encore la définition d un environnement sécurisé pour celle-ci 35. Pour les terminaux : 31 EMVCo regroupe American Express, JCB, Mastercard et Visa. 32 La Direction Générale de la Concurrence de la Commission européenne a ouvert une enquête sur le caractère potentiellement anticoncurrentiel de ce choix. 33 Le CIR-TWG («Common Implementation Recommendations Technical Working Group») est un groupe de travail constitué d utilisateurs européens d EMV. 34 Ce document est publié sur le site internet de l EPC (http://www.europeanpaymentscouncil.eu) et sera amendé courant 2011 pour y inclure une analyse plus détaillée sur les paiements mobiles à distance. 35 Le profil de protection pour la carte SIM publié fin 2010, résultant des travaux de l AEPM, repose sur la méthodologie dite des «Critères Communs» (cf. rapport de l Observatoire 2008, encadré 12 p. 49), avec un niveau de sécurité élevé (EAL4+). Observatoire de la sécurité des cartes de paiement Rapport Le groupe CIR-TWG a également formulé des spécifications fonctionnelles relatives à la sécurité des terminaux, les «SEPA Financial Application Specifications for SCF Compliant EMV Terminals» (SEPA FAST). Ces spécifications comportent un modèle unique de déroulement de transaction ainsi que des règles d affichage communes et des messages uniformisés. Elles se déclinent en trois parties, relatives respectivement aux terminaux de paiement, aux automates et aux DAB. La première partie a été finalisée en 2010 et est en cours de révision afin d y intégrer les paiements sans contact. La seconde partie est actuellement en cours de rédaction, alors que la dernière n a pas encore commencé. Les systèmes de carte internationaux imposent en outre le respect des règles PCI PED (Payment Card Industry PIN Entry Device) et PCI UPT (PCI - Unattended Payment Terminal) aux fabricants de terminaux et automates 36. En raison des nombreux accords de co-badgeage 37 existant entre ces systèmes et les systèmes nationaux (comme c est le cas en France pour les cartes émises par les membres du Groupement des Cartes Bancaires «CB»), ces règles édictées par PCI SSC (cf. p.47) ont de fait acquis le caractère de standards. Elles visent à s assurer que le niveau de protection physique et logique des appareils est propre à garantir un haut niveau de sécurité pour les données traitées par ces derniers. L Observatoire note que le groupe ERIDANE 38, qui était en charge de l élaboration des spécifications relatives aux différents composants des matériels d acceptation (claviers, écrans, lecteurs, logiciels ) a arrêté ses travaux depuis la parution du rapport 2007, ceux-ci n étant à ce jour repris par aucune autre initiative. * * * Le groupe CAS («Common Approval Scheme») 39 a enfin défini des exigences de sécurité minimales pour les cartes et terminaux de façon à harmoniser les pratiques au sein de la zone SEPA et permettre la mise en œuvre du futur cadre de certification européen harmonisé (cf. 4). Ces exigences ont été reprises par l EPC et intégrées dans le «SEPA Cards Standardisation Volume Book of Requirements» 40 dans une version 5.5 actuellement en préparation. Pour les échanges en mode sans contact EMV CPA PCI PED/UPT CAS (sécurité) SEPA-FAST EPAS Serveurs Acquéreurs ISO 20022/8583 Serveurs Emetteurs 36 Cf. chapitre 1 (p. 9) «Les mesures de sécurité PCI sont-elles adaptées au marché français», rapport Le co-badgeage consiste à apposer sur les cartes les logos de systèmes de carte partenaires. 38 ERIDANE rassemblait des systèmes de paiement par carte européens, des fabricants de terminaux et des commerçants. 39 CAS réunit les principaux systèmes de cartes européens et internationaux. 40 Document rédigé par l EPC, basé sur le SEPA Cards Framework et définissant des exigences fonctionnelles et de sécurité applicables aux cartes et terminaux. 44 Rapport 2010 Observatoire de la sécurité des cartes de paiement Les paiements en mode sans contact, qu ils soient initiés par une carte ou un téléphone mobile, sont majoritairement réalisés selon la technologie NFC («Near Field Communication»), qui s est imposée ces dernières années sur le marché des communications sans fil à courte portée par sa compatibilité avec les appareils déployés notamment dans le secteur des transports, et sa reconnaissance par les organismes internationaux normatifs tels l ISO ou l'etsi (European Telecommunications Standard Institute). Les échanges en mode sans contact sont en outre encadrés par des normes similaires à celles en vigueur pour les paiements en mode contact, dont elles sont issues. Ainsi, EMVCo a diffusé en 2005 et actualisé en 2007 le standard «EMV Contactless Specifications for Payment Systems, EMV Contactless Communication Protocol Specification» décrivant les fonctionnalités minimales requises pour les cartes et terminaux dans le cadre d une transaction sans contact, indépendamment cependant de l application utilisée, qui demeure quant à elle sous la responsabilité des systèmes de carte. Enfin, l EPC a plus récemment conclu un accord avec la GSM Association (GSMA), conduisant à la rédaction d un document commun décrivant les rôles des différents acteurs impliqués dans la délivrance et la gestion du cycle de vie d une application de paiement stockée sur la carte SIM d un téléphone mobile, ainsi que les processus y afférents. La standardisation de l interface terminal acquéreur SEPA-FAST EPAS Serveurs Acquéreurs ISO 20022/8583 Serveurs Emetteurs La standardisation du domaine terminal acquéreur est un élément important dans le cadre de SEPA car elle représente un pré-requis à la liberté offerte aux commerçants de choisir le processeur de leur choix pour les opérations concernées (autorisation et acquisition de transactions, gestion du terminal, etc.). Chaque système de carte peut actuellement utiliser un protocole propriétaire (cas de «CB2A» élaboré par «Cartes Bancaires»), qui bien que reposant sur une norme internationale (ISO , limitée aux communications acquéreur émetteur mais utilisée par extension pour les communications terminal acquéreur) ne permet pas de garantir une interopérabilité totale au sein de la zone SEPA. Le consortium EPAS (Electronic Protocol Application Software) a été constitué afin de remédier à cette situation et de mettre au point un protocole homonyme sur la base de la norme ISO encadrant l échange de messages financiers. Le développement d EPAS a été scindé en différentes phases : les spécifications relatives aux terminaux (protection des données lors des transferts) sont en cours de rédaction, celles couvrant les systèmes des commerçants (séparation des opérations d achat et de paiement) sont en cours d adaptation afin de prendre en compte le contexte du marché nord-américain. Enfin, les 41 Spécifications d'échange de messages initiés par cartes de transaction financière. 42 La norme ISO est aussi appelée «UNIFI» - UNIversal Financial Industry message scheme. Observatoire de la sécurité des cartes de paiement Rapport spécifications relatives au protocole de communication lui-même entre accepteurs et acquéreurs sont en cours de publication à l ISO. * * * Les travaux réalisés par le groupe CIR ainsi que par EPAS, qui ont conduit à la publication des normes SEPA FAST (1 ère partie) et EPAS, feront l objet d un test opérationnel dans le cadre du projet «OSCAR» (Open Standards for Cards). Ce projet est actuellement en phase préparatoire et devrait associer des représentants de l ensemble des filières d acceptation et d acquisition. La standardisation de l interface acquéreur émetteur SEPA-FAST EPAS Serveurs Acquéreurs ISO 20022/8583 Serveurs Emetteurs Les communications entre les serveurs des émetteurs et des acquéreurs représentent le dernier maillon de la chaîne de paiement sur lequel subsistent des freins à la mise en œuvre d un des principes fixés par l EPC, à savoir la séparation entre les structures d acquisition et les organes de gouvernance des systèmes de paiement par carte 43. La situation actuelle est marquée par la prédominance de protocoles d échanges basés sur la norme ISO 8583, utilisée en particulier par les réseaux internationaux. Si l EPC n a pas engagé de travaux visant à la définition d une nouvelle norme, il étudie actuellement, dans le cadre du groupe ISO TC68 WG9 une possible utilisation de la norme ISO (voir ci-dessus) également dans ce domaine. Aucune décision n est toutefois prise à ce stade quant à la prépondérance d une norme sur l autre. La sécurisation de la transaction de paiement lors d un achat en ligne L interface de saisie des données personnelles en ligne Les modalités de saisie des données personnelles des porteurs de cartes lors d un achat en ligne ne sont encadrées par aucune norme. En effet, si la nature des informations demandées (nom du porteur à la commande, PAN, date d expiration de la carte, CVx2 lors du paiement) résulte à la fois de contraintes opérationnelles pour les commerçants (liées à l identification du client) ou pour les émetteurs (liées à l authentification du porteur, cf. ci-dessous), aucune règle d envergure internationale ne permet aujourd hui de l encadrer. En France, la saisie du CVx2 lors de chaque achat est rendue obligatoire par l application des obligations contractuelles liant un commerçant à sa banque acquéreur (contrat d acceptation 43 C est le concept d «unbundling» du SCF. 46 Rapport 2010 Observatoire de la sécurité des cartes de paiement «CB» ou MasterCard). Ce n est toutefois pas le cas des achats réalisés à l aide d une carte «VISA-only» (non co-badgée «CB»). Si ces règles ne font l objet d aucune harmonisation au sein de la zone SEPA et restent sous la responsabilité des systèmes de carte nationaux et internationaux, l EPC a publié une résolution 44 visant à rendre la saisie du CVx2 obligatoire pour tout acte d achat. A cette fin et à partir de janvier 2012, les acquéreurs seraient astreints à transmettre le CVx2 aux émetteurs, et ces derniers contraints de refuser les autorisations pour les transactions ne comportant pas cette donnée, ou un CVx2 erroné. Ceci ne s appliquera toutefois pas aux actes d achat récurrents, les commerçants ne devant pas conserver le CVx2 dans leurs systèmes. L authentification du porteur L authentification du porteur, lequel a été identifié précédemment par son nom et son numéro de carte, n est là encore encadrée par aucune norme. Toutefois, Visa Inc. a développé une architecture technique et un protocole («3D-Secure») permettant à la banque émetteur d authentifier son client lors de chaque transaction en ligne, la mise en œuvre d un tel dispositif s accompagnant d un mécanisme incitatif pour les acquéreurs et les accepteurs de report de la fraude sur la banque émetteur («liability shift» ou transfert de responsabilité). Cette architecture a depuis été reprise par Mastercard et JCB. Applicable depuis 2005, elle n a été adoptée de façon significative en France que depuis le 1 er octobre 2008, date d entrée en vigueur du transfert de responsabilité «3D-Secure» pour le système de paiement par carte «CB» pour les transactions domestiques. Le protocole «3D-Secure» n impose aucune méthode d authentification et les banques l ont très largement mis en œuvre en 2008 avec une authentification statique du porteur. Suite aux recommandations formulées par la Banque de France en juillet 2008 et applicables à l ensemble des porteurs à compter de juillet 2010, les banques françaises ont généralisé auprès de leur clientèle des méthodes d authentification non rejouable, utilisant des mots de passe à usage unique 45. La résolution de l EPC comporte également un volet relatif à l utilisation d infrastructures permettant la mise en œuvre d une authentification dynamique, visant à leur généralisation à l horizon fin L Eurosystème, dans son 7 ème rapport d étape sur SEPA publié en octobre , attire l attention de l ensemble des acteurs en Europe sur la nécessaire adoption de mécanismes d authentification renforcée pour les transactions de paiement par carte sur Internet. La protection des données dans la filière acquisition Les mesures dites PCI, développées par l organisme «PCI SSC» (Payment Card Industry Secur
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks
SAVE OUR EARTH

We need your sign to support Project to invent "SMART AND CONTROLLABLE REFLECTIVE BALLOONS" to cover the Sun and Save Our Earth.

More details...

Sign Now!

We are very appreciated for your Prompt Action!

x