A la recherche d’une sécurité totale pour les achats en ligne

L’usage du commerce électronique est lent à progresser. Plusieurs solutions sont disponibles et leur aménagement continuel ne rassure pas totalement la clientèle. Parmi ces solutions, la technique du jeton (technique appelée « tokenisation ») dans les solutions de paiement à distance ouvre des possibilités au commerce électronique faciles à mettre en œuvre, et capables d’offrir à la clientèle une procédure d’achat ergonomique.

Le processus de tokenisation est effectué par le lecteur de cartes qui, à partir du numéro de carte bancaire et de la date d’expiration de la validité de celle-ci, définit trois valeurs de contrôle : le cryptogramme (CVV, Card verification value), la date d’expiration et un nombre, appelé « Token », qui sont transmises par le réseau au serveur Internet. Le cryptogramme visuel CVV désigne les trois chiffres figurant au dos d’une carte de paiement. Il sert à la sécurisation des transactions par carte de paiement et fournit une protection contre l’utilisation frauduleuse des cartes de paiement.

Récemment, les navigateurs Internet ont été rendus compatibles grâce à la disponibilité du code JavaScript qui peut être intégré directement au sein des pages web, pour y être exécuté sur le poste client. C’est alors le navigateur Web qui prend en charge l’exécution de ces programmes appelés « scripts ». JavaScript est utilisé dans la méthode Ajax (Asynchronous Javascript And XML) qui sert à modifier le contenu des pages web par programmation. Des technologies de dialogue entre l’utilisateur et les serveurs Internet ont été ajoutées aux navigateurs web entre 1995 et 2005. La méthode Ajax permet de réaliser des applications Internet enrichies, offrant une maniabilité et un confort supérieur (applications dites du « Web 2.0 »). Cette technique présente l’avantage de rendre la procédure anonyme au sein des bases de données commerciales. Ainsi, la transmission des numéros de carte bancaire au prestataire habilité de services de paiement (PSP) est effectuée avec Ajax, sans passer par les serveurs marchands. Ainsi, le code de sécurité de la carte ainsi que d’autres données sensibles liées à l’autorisation de la transaction ne peuvent pas être enregistrés par un commerçant.

La norme PCI DSS (PCI, pour Industries des cartes de paiement et DSS, norme de sécurité des données) a été établie par les fournisseurs de cartes de paiement. Une réglementation contraignante, gérée par le Conseil des normes de sécurité PCI, a été créée afin de réduire l’utilisation frauduleuse des instruments de paiement. La version PCI DSS 3.1 a été publiée en avril 2015. La norme PCI DSS spécifie 12 conditions de conformité, regroupées dans six groupes appelés «objectifs de contrôle».

Ces exigences sont très coûteuses à mettre en œuvre, car parfois sources de confusion dans leurs interprétations et dans leurs applications. Ces 12 « exigences » pour la conformité PCI sont vues par les personnes concernées comme plus de 300 bonnes pratiques à mettre en œuvre qui supposent un audit des équipements et des procédures, ce qui représente une charge importante. Chaque année un certificat de conformité est établi par l’évaluateur de sécurité qualifié (QSA), qui dresse un rapport de conformité (ROC) et verbalisent d’une amende en cas de faille de sécurité par les contrevenants. En contrepartie, le marchand prend le contrôle total de la procédure, depuis l’offre jusqu’à l’acte de paiement, au détriment des banques, qui en fait n’ont pas à superviser le commerce électronique.

Le jeton est mémorisé au cœur du portefeuille électronique et dans le smartphone. Il est au centre de nombreuses solutions intégrées dans les processus d’achat. Les réseaux interbancaires généraliseront bientôt sans doute la méthode des jetons, avec ou sans smartphone. Voir également www.journaldunet.com/ http://wjhl.com/ http://letstalkpayments.com/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Enter Captcha Here : *

Reload Image

© 2015 Strategies Telecoms & Multimedia | Contact |  -