Après les
exploits de Square, Paypal, SalesVu … le PCI Council se devait de réagir. Selon
un nouveau document publié récemment, le PCI Council invite les commerçants qui
acceptent les paiements mobiles via smartphone ou tablette à utiliser des
solutions de chiffrement bout en bout ou P2PE (Point-to-Point encryption) validées
par ce dernier.
Deux scénarios
sont présentés par le PCI Council :
Pour
les commerçants qui souhaitent utiliser une solution de paiement
mobile « sur étagère »
Le PCI Council recommande de s’associer à un fournisseur de solution P2PE validée afin de s'assurer que les données porteurs (au minimum le PAN) soient chiffrées avant d’être transférer dans un smartphone ou une tablette. L’intérêt d’utiliser une solution P2PE validée par le PCI Council est de réduire les risques d’interception et d’utilisation des données porteurs par un tiers mais surtout de réduire l’impact des exigences PCI DSS sur son système d’information. Selon le PCI Council le fournisseur de la solution P2PE doit s'assurer que tout POI (point d’interaction) utilisé avec sa solution est conforme aux exigences du PCI SSC applicables notamment aux exigences du module SRED (Secure Reading and Exchande of Data). Le fournisseur doit également à travers le manuel d’instruction de la solution expliquer aux commerçants comment protéger le système d'acceptation de paiement par mobile.
Le PCI Council recommande de s’associer à un fournisseur de solution P2PE validée afin de s'assurer que les données porteurs (au minimum le PAN) soient chiffrées avant d’être transférer dans un smartphone ou une tablette. L’intérêt d’utiliser une solution P2PE validée par le PCI Council est de réduire les risques d’interception et d’utilisation des données porteurs par un tiers mais surtout de réduire l’impact des exigences PCI DSS sur son système d’information. Selon le PCI Council le fournisseur de la solution P2PE doit s'assurer que tout POI (point d’interaction) utilisé avec sa solution est conforme aux exigences du PCI SSC applicables notamment aux exigences du module SRED (Secure Reading and Exchande of Data). Le fournisseur doit également à travers le manuel d’instruction de la solution expliquer aux commerçants comment protéger le système d'acceptation de paiement par mobile.
Par
ailleurs dans le cadre de la validation de la conformité PCI DSS l’acquéreur ou les réseaux peuvent demander d'uniquement compléter le questionnaire d’auto-évaluation
P2PE.
Pour
les commerçants qui
souhaitent développer leur propre solution
de paiement mobile
Le PCI Council recommande au minimum d’utiliser un point d’interaction (POI) validé par le PCI Council rappelant que les smartphones et autre tablette n’ont pas été conçus pour stocker des données porteurs en toute sécurité. Le PCI Council invite donc les commerçants à s’équiper de technologie complémentaire afin d’assurer la confidentialité des données porteurs conformément aux exigences PCI DSS. En revanche ce type de solution a un impact direct sur le périmètre PCI DSS des commerçants dans la mesure où les données porteurs sont chiffrées et déchiffrables au sein de la même entité rendant applicable l’ensemble des exigences PCI DSS.
Le document publié par le PCI Council ne fait aucune mention de la technologie NFC promue par les réseaux, VISA pour sa part a dévoilé en février dernier sa nouvelle solution de paiement mobile "one-stop" pour smartphones supportant la technologie NFC concurrente directe de Google Wallet et de l'offre ISIS des opérateurs.
Le PCI Council recommande au minimum d’utiliser un point d’interaction (POI) validé par le PCI Council rappelant que les smartphones et autre tablette n’ont pas été conçus pour stocker des données porteurs en toute sécurité. Le PCI Council invite donc les commerçants à s’équiper de technologie complémentaire afin d’assurer la confidentialité des données porteurs conformément aux exigences PCI DSS. En revanche ce type de solution a un impact direct sur le périmètre PCI DSS des commerçants dans la mesure où les données porteurs sont chiffrées et déchiffrables au sein de la même entité rendant applicable l’ensemble des exigences PCI DSS.
Le document publié par le PCI Council ne fait aucune mention de la technologie NFC promue par les réseaux, VISA pour sa part a dévoilé en février dernier sa nouvelle solution de paiement mobile "one-stop" pour smartphones supportant la technologie NFC concurrente directe de Google Wallet et de l'offre ISIS des opérateurs.
Aucun commentaire:
Enregistrer un commentaire