Le modèle de mPowa repose donc exclusivement
sur les commissions prélevées sur les paiements, modèle économique au passage qui a entre
autre permis à Square de s’imposer aux US.
Un lecteur
certifié EMV est également au rendez-vous avec un clavier pour la saisie du
code PIN qui discute avec l’application sur le terminal mobile en Bluetooth.
mPowa met également en avant une certification PCI level 1 qui doit
correspondre à la certification d’un fournisseur de service de paiement (PSP)
partenaire.
Par contre ce qui risque de dissuader les commerçants c’est bien le niveau élevées commissions (0,25%) juste pour l’utilisation du terminal.
Bien entendu on
ne parle a aucun moment de PCI PA-DSS et encore moins de PCI PTS, pour le PCI SSC cette solution est non éligible aux exigences PCI PA-DSS, pour le clavier certains modules de PCI PTS (EPP ?) semblent éligibles sous certaines conditions dixit le PCI SSC.
Encore une fois on sécurise la transaction mais son traitement sur le terminal mobile est hors de tout contrôle ! Les fabricants de terminaux ont donc encore un peu d'avance notamment avec PTS (SRED) et la version "mobile" du P2PE recommandée par le PCI SSC, sauf qu'aucune solution P2PE n'a encore été validée par le PCI SSC.
Encore une fois on sécurise la transaction mais son traitement sur le terminal mobile est hors de tout contrôle ! Les fabricants de terminaux ont donc encore un peu d'avance notamment avec PTS (SRED) et la version "mobile" du P2PE recommandée par le PCI SSC, sauf qu'aucune solution P2PE n'a encore été validée par le PCI SSC.
Il y a 2 dispositifs chez mPowa. Un 1er qui n'effectue que la lecture de la piste magnétique (et non la puce comme iZettle)et qui doit être traité comme du eCommerce ou une carte étrangère et un second dispositif en "Chip & Pin". Celui-ci s'appuie sur un abonnement CB préexistant "mPowa links to your existing merchant account so you benefit from your regular bank processing rates. mPowa charges just a small processing fee per transaction.". Dans ce cas, je ne vois pas comment il ne serait pas certifié PCI PTS. Et cela d'autant plus que des fabricants traditionnels de TPE s'apprêtent à lancer des solutions de ce type à la fin de cette année.
RépondreSupprimerBonjour,
SupprimerPTS s’applique au point d’interaction (POI) de la transaction notamment aux dispositifs PED et UPT vendus tels quels à un commerçant pour accepter des transactions PIN. Les kiosks, automates et autres dispositifs (surtout claviers) OEMisés entrent également dans ce périmètre. Dans le cas de mPowa c’est le terminal mobile qui fait office de POI et ce dernier n’est pas considéré aujourd’hui comme tel par le PCI SSC, donc non éligible à la certification. Cependant la saisie du PIN peut se faire via un clavier et ce dernier peut faire l’objet d’une certification PTS (EPP), enfin pour le lecteur chip & pin une certification EMV level I est suffisante, à noter cependant que la dernière version de PTS publiée en octobre dernier 2011 prend en compte la notion de lecteur de cartes sécurisées mais pas certain qu’on parle de la même chose.