Stockage de données d’authentifications, la pratique

Les données d’authentifications ou SAD (Sensitive Data Authentification) sont les données qui permettent d’authentifier le porteur de la carte lors d’une transaction de paiement en face à face ou en VAD (Vente à Distance).

PCI DSS (cf. pré-requis 3.2) proscrit le stockage des données d’authentifications après autorisation, bien entendu ce pré-requis s’applique uniquement aux acquéreurs et non aux émetteurs qui sont traités différemment par les réseaux.


Les données d’authentifications concernent :

• Le cryptogramme visuel (CVV2, CVC2, CID, CAV2) dans le cadre de la VAD qu’on retrouve au dos des cartes VISA, MasterCard, JCB, Discover et face pour les cartes AMEX,
• Les données discrétionnaires de la piste (à gauche du code service).

Que dire alors si on stocke ces données d’authentifications, avant ou après autorisation de la transaction :

• après autorisation : PCI DSS proscrit ces pratiques (cf. pré-requis 3.2.x) pour des raisons évidentes de sécurité. Le stockage de ces données est interdit et fait également parti des lois de régulations des réseaux (VISA, MasterCard, AMEX, Discover et JCB). Le stockage de ces données est une violation de ces lois de régulations et va bien plus loin que les exigences PCI DSS, les banques qui acceptent ces pratiques s'exposent à de fortes sanctions et le contrat avec les réseaux peut dans certains cas être discuté en cas de compromission de ce données,
• avant autorisation : PCI DSS ne fournit aucune orientation ni bonnes pratiques. Cela entre dans ce qu’on appelle le domaine de la pré-autorisation au sens PCI lorsque c’est un besoin métier (exemple des distributeurs de carburant). Dans d’autres cas il est fortement recommandé d’évaluer le besoin de stocker ces données et de se retourner vers les réseaux (VISA, MasterCard, Amex, …) pour les PSPs (Payment Service Providers), les acquéreurs et les fournisseurs de logiciels ainsi pour les commerçants. A noter cependant que le PCI SSC (Payment Card Industry Security Standards Council) devrait adresser cette question via un groupe le groupe de travail « Pre-Autorisation » qui devrait voir le jour en 2012,
• à des fins de résolutions d’incidents : PCI DSS ne proscrit pas ces pratiques mais invite à prendre des précautions suffisantes pour assurer la sécurité de ces données lorsqu’elles sont stockées. Dans ce cadre il est demandé de documenter les procédures d’exceptions qui doivent répondre au pourquoi du stockage, le contrôle du stockage de ces données pour une durée donnée et la suppression sécurisée.

Enfin au niveau pratique, lors d'audits PCI DSS il est fréquent de rencontrer des fournisseurs de service de paiements (PSPs) qui traitent, stockent, transmettent et impriment les données porteurs. C’est la dernière activité qui tord le cou du QSA, en effet pour répondre aux besoins de leurs commerçants ces PSPs impriment sur papier l’ensemble des données porteurs ainsi que les données d’authentifications issues des transactions MOTO (Mail Order et Telephone Order) avant autorisation. Jusque là rien d’alarmant, en revanche ce document papier est conservé ensuite 90 jours après autorisation afin de rejouer la transaction au cas où !