• Tél: + 32 9 296 45 20
  • Fax: + 32 9 296 45 21
  • Email: info@micrelec.be
  • Heures d'ouverture: 08:30 - 17:00
  • Helpdesk: + 32 9 296 45 25
Micrelec NV

PCI DSS et EMV et leur impact data security

Sint-Denijs-Westrem, le 24 février 2020

La durée de vie d'un terminal de paiement est déterminée par un certain nombre de facteurs tels que l'usure et les services offerts par le prestataire de paiement. Mais le plus important est la certification PCI. Chaque terminal de paiement reçoit un certificat PCI qui est valable pour un nombre limité d'années. Cela est dû à des exigences de sécurité de plus en plus strictes, résultat de l'inventivité croissante des pirates informatiques pour hacker les systèmes.

PCI DSS (Payment Card Industry Data Security Standards)

« PCI - Payment Card Industry » est une organisation internationale créée en 2006 par les principaux émetteurs de cartes de crédit, à savoir American Express, Discover, JCB International, MasterCard et Visa Inc.

Ensemble, ils élaborent les règles visant à protéger le trafic des paiements, c'est-à-dire à la fois les transactions par carte de paiement (transactions dites " carte présente") et les transactions en ligne (transactions dites " carte non présente"). Cela concerne en particulier la sécurité de toutes les données requises pour un paiement, telles que les informations relatives aux cartes, les données personnelles et autres.

Toute organisation qui traite, stocke ou transmet des informations de cartes de paiement doit se conformer à cette norme PCI DSS. Cela signifie que les données du titulaire de la carte doivent être protégées dès le moment où la carte est glissée ou insérée dans le termial de paiement jusqu'au moment où la transaction quitte le point de vente du commerçant, et même beaucoup plus longtemps si les données sont stockées quelque part dans le réseau du commerçant. En outre, l'obligation de "compliance" ou de "se conformer" à cette norme n'est pas limitée au commerçant, mais s'applique également à tout tiers traitant les paiements ou à toute autre société traitant des parties de l'opération de paiement.

Comme mentionné ci-dessus, PCI DSS traite également les paiements en ligne via smartphone ou PC. Cela en opposition avec la norme EMV, qui concerne seulement les transactions où le client est physiquement présent chez le commerçant.

EMV (Europay Mastercard Visa)

L'utilisation des cartes bancaires étant de plus en plus répandue dans le monde entier, les fraudeurs sont également devenus de plus en plus inventifs pour récupérer les données des cartes auprès d'utilisateurs peu méfiants. Ces problèmes, et plus particulièrement les techniques de skimming (traduit lit. Écrémage), ont obligé les systèmes de cartes de paiement à développer des cartes de paiement plus sûres. La solution développée à cette fin consiste à utiliser une puce (ou un circuit intégré). La transaction EMV par puce est généralement basée sur l'utilisation de données dites dynamiques, ce qui rend plus difficile le vol et/ou la copie de la carte d'une personne. À chaque utilisation de la carte, la puce vérifie le code PIN saisi et crée un code d'authentification unique, utilisé une seule fois pour compléter la transaction.

EMV est l'acronyme de Europay MasterCard Visa, les trois systèmes de cartes de paiement qui ont initialement mis en place le cadre pour le développement et la compatibilité mondiale des cartes à puce et autres terminaux.

La migration de la bande magnétique vers la puce a commencé en 2005. EMVCo, le consortium qui gère aujourd'hui la norme EMV, déclare qu'au deuxième trimestre 2019, environ 76,7 % des transactions de paiement « carte présente » dans le monde ont été effectuées avec des cartes à puce. Cliquez ici pour plus de statistiques.

De overgang van strip naar chip heeft inderdaad heel wat voeten in de aarde omdat het immers ook nodig is om alle geldautomaten en betaalautomaten in bijna alle landen van de wereld om te bouwen. Tijdens deze lange overgangsperiode zijn de betaalkaarten trouwens nog steeds voorzien van een magneetstrip.

Quel est le rapport entre la norme PCI DSS et la norme EMV?

Aucun système autonome de sécurité des données ne peut empêcher la perte ou le vol de données. C'est pourquoi les experts en sécurité recommandent d'utiliser différents systèmes de sécurité en plusieurs couches.

Lorsqu'une carte de paiement est utilisée à un terminal de paiement, la puce EMV ajoute une couche d'authentification, ce qui augmente le niveau de sécurité des données et réduit considérablement les possibilités de fraude.

Cependant, lorsque les données de la carte aboutissent dans le système du point de vente du commerçant et circulent sur son réseau, elles sont à nouveau vulnérables par le biais de systèmes informatiques potentiellement non sécurisés ou même de personnes physiques s’accordant un accès non autorisé au système informatique. Lorsque les données d'une carte sont transférées ou stockées sans aucune forme de cryptage, des données confidentielles peuvent être volées. Et c'est là que commence l'histoire du PCI DSS.

La norme PCI constitue une couche de protection supplémentaire tout au long du processus des transactions. Elle comprend la sécurité du terminal de paiement lui-même, ainsi que des contrôles supplémentaires tout au long du processus de transaction et sur tous les canaux de paiement.