jeudi 17 mai 2012

Réponse du PCI Council à Square, Paypal, SalesVu …


Après les exploits de Square, Paypal, SalesVu … le PCI Council se devait de réagir. Selon un nouveau document publié récemment, le PCI Council invite les commerçants qui acceptent les paiements mobiles via smartphone ou tablette à utiliser des solutions de chiffrement bout en bout ou P2PE (Point-to-Point encryption) validées par ce dernier.

Deux scénarios sont présentés par le PCI Council :

Pour les commerçants qui souhaitent utiliser une solution de paiement mobile « sur étagère »

Le PCI Council recommande de s’associer à un fournisseur de solution P2PE validée afin de s'assurer que les données porteurs (au minimum le PAN) soient chiffrées avant d’être transférer dans un smartphone ou une tablette. L’intérêt d’utiliser une solution P2PE validée par le PCI Council est de réduire les risques d’interception et d’utilisation des données porteurs par un tiers mais surtout de réduire l’impact des exigences PCI DSS sur son système d’information. Selon le PCI Council le fournisseur de la solution P2PE doit s'assurer que tout POI (point d’interaction) utilisé avec sa solution est conforme aux  exigences du PCI SSC applicables notamment aux exigences du module SRED (Secure Reading and Exchande of Data). Le fournisseur doit également à travers le manuel d’instruction de la solution expliquer aux commerçants comment protéger le système d'acceptation de paiement par mobile.

Par ailleurs dans le cadre de la validation de la conformité PCI DSS l’acquéreur ou les réseaux peuvent demander d'uniquement compléter le questionnaire d’auto-évaluation P2PE.

Pour les commerçants qui souhaitent développer leur propre solution de paiement mobile

Le PCI Council recommande au minimum d’utiliser un point d’interaction (POI) validé par le PCI Council rappelant que les smartphones et autre tablette n’ont pas été conçus pour stocker des données porteurs en toute sécurité. Le PCI Council invite donc les commerçants à s’équiper de technologie complémentaire afin d’assurer la confidentialité des données porteurs conformément aux exigences PCI DSS. En revanche ce type de solution a un impact direct sur le périmètre PCI DSS des commerçants dans la mesure où les données porteurs sont chiffrées et déchiffrables au sein de la même entité rendant applicable l’ensemble des exigences PCI DSS.


Le document publié par le PCI Council ne fait aucune mention de la technologie NFC promue par les réseaux, VISA pour sa part a dévoilé en février dernier sa nouvelle solution de paiement mobile "one-stop" pour smartphones supportant la technologie NFC concurrente directe de Google Wallet et de l'offre ISIS des opérateurs.

Aucun commentaire:

Publier un commentaire