mercredi 11 juillet 2012

mPowa : Première solution de paiement "Chip and Pin" sur mobile

mPowa propose une solution de paiement sur mobile qui accepte les cartes à puces avec authentification du porteur par saisie du code PIN à la différence d'iZettle qui ne fait que du "chip and sign". Pour couronner le tout mPowa a également repris le modèle de Square à savoir la gratuité de la mise en œuvre sans frais d'installation ni d’abonnement. 

Le modèle de mPowa repose donc exclusivement sur les commissions prélevées sur les paiements, modèle économique au passage qui a entre autre permis à Square de s’imposer aux US.

Un lecteur certifié EMV est également au rendez-vous avec un clavier pour la saisie du code PIN qui discute avec l’application sur le terminal mobile en Bluetooth. mPowa met également en avant une certification PCI level 1 qui doit correspondre à la certification d’un fournisseur de service de paiement (PSP) partenaire.

Par contre ce qui risque de dissuader les commerçants c’est bien le niveau élevées  commissions (0,25%) juste pour l’utilisation du terminal.

Bien entendu on ne parle a aucun moment de PCI PA-DSS et encore moins de PCI PTS, pour le PCI SSC cette solution est non éligible aux exigences PCI PA-DSS, pour le clavier certains modules de PCI PTS (EPP ?) semblent éligibles sous certaines conditions dixit le PCI SSC.

Encore une fois on sécurise la transaction mais son traitement sur le terminal mobile est hors de tout contrôle ! Les fabricants de terminaux ont donc encore un peu d'avance notamment avec PTS (SRED) et la version "mobile" du P2PE recommandée par le PCI SSC, sauf qu'aucune solution P2PE n'a encore été validée par le PCI SSC.

2 commentaires:

  1. Il y a 2 dispositifs chez mPowa. Un 1er qui n'effectue que la lecture de la piste magnétique (et non la puce comme iZettle)et qui doit être traité comme du eCommerce ou une carte étrangère et un second dispositif en "Chip & Pin". Celui-ci s'appuie sur un abonnement CB préexistant "mPowa links to your existing merchant account so you benefit from your regular bank processing rates. mPowa charges just a small processing fee per transaction.". Dans ce cas, je ne vois pas comment il ne serait pas certifié PCI PTS. Et cela d'autant plus que des fabricants traditionnels de TPE s'apprêtent à lancer des solutions de ce type à la fin de cette année.

    RépondreSupprimer
    Réponses
    1. Bonjour,

      PTS s’applique au point d’interaction (POI) de la transaction notamment aux dispositifs PED et UPT vendus tels quels à un commerçant pour accepter des transactions PIN. Les kiosks, automates et autres dispositifs (surtout claviers) OEMisés entrent également dans ce périmètre. Dans le cas de mPowa c’est le terminal mobile qui fait office de POI et ce dernier n’est pas considéré aujourd’hui comme tel par le PCI SSC, donc non éligible à la certification. Cependant la saisie du PIN peut se faire via un clavier et ce dernier peut faire l’objet d’une certification PTS (EPP), enfin pour le lecteur chip & pin une certification EMV level I est suffisante, à noter cependant que la dernière version de PTS publiée en octobre dernier 2011 prend en compte la notion de lecteur de cartes sécurisées mais pas certain qu’on parle de la même chose.

      Supprimer