Post de Dr Al WUBATALA

Le code ou valeur de vérification de carte, également appelé CAV2, CVC2, CVV2 ou CID, selon la marque de paiement, est le numéro à 3 ou 4 chiffres imprimé au recto ou au verso d’une carte de paiement. Ces valeurs sont considérées comme des SAD, données d’authentification sensibles qui, conformément à l’exigence PCI DSS 3.2, ne doivent pas être stockées après l’autorisation. Ils sont généralement utilisés pour l’autorisation des transactions sans carte, mais ne sont pas nécessaires pour les transactions par carte enregistrée ou récurrentes, et le stockage à ces fins est interdit en vertu de l’exigence PCI DSS 3.2. La norme PCI DSS n’interdit pas la collecte des codes, valeurs de vérification de carte avant l’autorisation d’un achat ou d’une transaction spécifique. Cependant, il n’est pas permis de conserver les codes, valeurs de vérification de la carte une fois que l’achat ou la transaction spécifique pour laquelle ils ont été collectés a été autorisé. La version 4.0.1 apporte des bouleversements très importants.... ________________ Dr Al Wubatala Président du PCI-SSC Afrique

𝗣𝗼𝘂𝗿𝗾𝘂𝗼𝗶 𝗹𝗮 𝗻𝗼𝗿𝗺𝗲 𝗣𝗖𝗜 𝗗𝗦𝗦 𝗲𝘁 𝗾𝘂𝗲𝗹𝘀 𝘀𝗼𝗻𝘁 𝗹𝗲𝘀 𝗮𝗰𝘁𝗲𝘂𝗿𝘀 𝗶𝗺𝗽𝗹𝗶𝗾𝘂𝗲́𝘀 ? L'objectif principal de la norme PCI DSS est de garantir la sûreté et la sécurité du transfert des données relatives aux titulaires de carte plastique. Selon la norme PCI DSS, les participants suivants sont impliqués dans le transfert, le stockage et le traitement des données des cartes bancaires : 𝗟𝗲𝘀 𝗲𝗻𝘁𝗿𝗲𝗽𝗿𝗶𝘀𝗲𝘀 𝗰𝗼𝗺𝗺𝗲𝗿𝗰𝗶𝗮𝗹𝗲𝘀 𝗲𝘁 𝗱𝗲 𝘀𝗲𝗿𝘃𝗶𝗰𝗲𝘀 (𝘃𝗲𝗻𝗱𝗲𝘂𝗿𝘀). Ces entreprises acceptent les cartes comme moyen de paiement pour les biens et les services. 𝗟𝗲𝘀 𝗰𝗲𝗻𝘁𝗿𝗲𝘀 𝗱𝗲 𝘁𝗿𝗮𝗶𝘁𝗲𝗺𝗲𝗻𝘁, ou les entreprises qui fournissent aux entreprises des services de traitement des paiements. 𝗟𝗲𝘀 𝗯𝗮𝗻𝗾𝘂𝗲𝘀 𝗮𝗰𝗾𝘂𝗲́𝗿𝗲𝘂𝘀𝗲𝘀, qui concluent un accord avec les vendeurs pour accepter les paiements entrants. 𝗟𝗲𝘀 𝗳𝗼𝘂𝗿𝗻𝗶𝘀𝘀𝗲𝘂𝗿𝘀 𝗱𝗲 𝘀𝗲𝗿𝘃𝗶𝗰𝗲𝘀 impliqués dans le transfert des données de cartes, y compris les fournisseurs d'hébergement. 𝗟𝗲𝘀 𝗯𝗮𝗻𝗾𝘂𝗲𝘀 𝗲́𝗺𝗲𝘁𝘁𝗿𝗶𝗰𝗲𝘀, ou les organisations financières qui émettent les cartes de crédit et de débit. La règle générale est simple : 𝘀𝗶 𝘂𝗻𝗲 𝗲𝗻𝘁𝗿𝗲𝗽𝗿𝗶𝘀𝗲 𝘁𝗿𝗮𝗶𝘁𝗲 𝗱𝗲𝘀 𝗶𝗻𝗳𝗼𝗿𝗺𝗮𝘁𝗶𝗼𝗻𝘀 𝗿𝗲𝗹𝗮𝘁𝗶𝘃𝗲𝘀 𝗮𝘂𝘅 𝗰𝗮𝗿𝘁𝗲𝘀 𝗯𝗮𝗻𝗰𝗮𝗶𝗿𝗲𝘀 𝗲𝘁 𝗹𝗲𝘀 𝗱𝗼𝗻𝗻𝗲́𝗲𝘀 𝗱𝗲𝘀 𝘁𝗶𝘁𝘂𝗹𝗮𝗶𝗿𝗲𝘀 𝗱𝗲 𝗰𝗮𝗿𝘁𝗲 𝗯𝗮𝗻𝗰𝗮𝗶𝗿𝗲, 𝗲𝗹𝗹𝗲 𝗱𝗼𝗶𝘁 𝘀𝗲 𝗰𝗼𝗻𝗳𝗼𝗿𝗺𝗲𝗿 𝗮̀ 𝗹𝗮 𝗻𝗼𝗿𝗺𝗲 𝗣𝗖𝗜 𝗗𝗦𝗦.

L'industrie des cartes de paiement (PCI) définit des normes de conformité spécifiques pour la protection des informations des banques commerciales qui acceptent les cartes de crédit ou de débit. La banque commerciale qui traite ou stocke des données confidentielles, et cela inclut à peu près toutes les entités impliquées dans la monnaie électronique, peut utiliser les exigences de sécurité PCI comme guide pour établir ses politiques et procédures de protection des données. La norme de sécurité des données PCI est un standard sécuritaire complet qui comprend des exigences que les banques commerciales qui traitent les paiements par carte et stockent ou transmettent des informations de carte de crédit, de débit ou prépayée doivent respecter pour assurer des transactions sécurisées. La norme PCI DSS couvre les politiques de gestion de la sécurité, les procédures, l'architecture réseau, la conception de logiciels et d'autres mesures de protection essentielles pour protéger les informations sensibles liées aux cartes de paiement, le tout dans le but de réduire le risque de perte de données de carte de paiement.

Madame/Monsieur, Initié par VISA et destiné à protéger les informations sensibles des données des comptes et transactions de paiements, le compte AIS, Account security Information, est basé sur la norme PCI-DSS et s'applique à toute entité qui effectue le stockage, le traitement ou la transmission des données de porteurs de cartes de paiement. Il s'agit du CHD, Card Holder Datas, qui inclus les marchands, les fournisseurs de services et les processeurs. Faisant suite, un des mythes sur PCI-DSS, c'est que externaliser la monétique rend conforme à la norme, car l'outsourcing simplifie le processus de traitement des cartes bancaires, mais ne confère pas une conformité automatique à la norme. Des mesures de sécurité doivent être définies pour protéger les transactions des porteurs et le traitement des données au niveau de la banque. Les données des porteurs doivent par exemple être protégées lorsqu'elles sont reçues pour le traitement des chargebacks et des remboursements. A l'opposé, la banque doit aussi s'assurer que ses fournisseurs et prestataires sont conformes aux exigences applicables concernant les processus et infrastructures (PCI-DSS), les applications fournies (PA-DSS), les équipements -PTS, P2FE..), et exiger si nécessaire un certificat ou autre preuve de conformité de la part des concernés. In extenso, les solutions technologiques permettant d’être conforme à la norme PCI-DSS, sont commercialisables, à l'instar de l'authentification forte, la gestion des logs, la supervision, etc. Un processus qui est dévoilé au cours des formations ventilées par le PCI-Council, afin d'assurer un retour sur investissement. L(objectif des formations est de s'assurer que la sécurité des transactions financière est garantie, ou que l'entité est prête à la certification, ou encore que les entités déjà certifiées ont maintenues la conformité. Pour la version 4.0, les entités déjà certifiées se voient contraintes à un audit de certification. -------------------- Dr Al Wubatala Président du Consortium Siwubanaga Président du PCI-SSC Afrique

Intéressant vraiment le Protocole ISO 8583.

🔗 La Communication entre les Distributeurs de Billets et les Serveurs avec le Protocole ISO 8583 💳 Dans le monde de la finance et des transactions bancaires, la sécurité et l'efficacité des communications sont essentielles. Aujourd'hui, nous mettons en lumière le protocole ISO 8583, un standard international pour les transactions de cartes de crédit et de débit, utilisé largement pour la communication entre les distributeurs automatiques de billets (DAB) et les serveurs bancaires. Qu'est-ce que le Protocole ISO 8583? ISO 8583 est une norme internationale pour les transactions électroniques, spécifiant les messages échangés entre les terminaux de transaction (comme les DAB) et les systèmes de traitement de transactions (comme les serveurs bancaires). Ce protocole définit les formats de message et les flux de transaction pour assurer une communication cohérente et sécurisée. Principaux Avantages du Protocole ISO 8583 1. Interopérabilité Standardisée 🌍 - Description : En tant que norme internationale, ISO 8583 garantit que les systèmes de différentes institutions financières peuvent communiquer de manière transparente. Cela facilite les transactions internationales et les partenariats entre banques. 2.Sécurité Renforcée 🔒 - Description: Le protocole ISO 8583 inclut des mécanismes robustes de sécurité pour protéger les données des transactions. Cela inclut le chiffrement des données sensibles et la vérification de l'intégrité des messages pour prévenir les fraudes et les attaques. 3.Fiabilité et Efficacité⚡ -Description: ISO 8583 est conçu pour assurer des transactions rapides et fiables. Les messages sont structurés pour minimiser les erreurs et garantir que chaque transaction est traitée efficacement, ce qui est crucial pour les opérations en temps réel aux distributeurs de billets. 4.Extensibilité et Flexibilité 🔄 -Description : Le protocole peut être étendu pour inclure de nouvelles fonctionnalités et types de transactions. Cela permet aux institutions financières d'adapter rapidement leurs systèmes aux nouvelles exigences du marché et aux technologies émergentes. 5. Compatibilité avec les Technologies Existantes 🛠️ -Description : ISO 8583 est compatible avec une variété de systèmes bancaires et de traitement des paiements existants, facilitant ainsi son intégration sans nécessiter de modifications majeures des infrastructures actuelles. Pourquoi Choisir le Protocole ISO 8583? Le protocole ISO 8583 est essentiel pour les institutions financières cherchant à assurer des transactions sécurisées, rapides et fiables entre les distributeurs automatiques de billets et les serveurs. En utilisant ISO 8583, les banques peuvent offrir à leurs clients une expérience de retrait d'argent fluide et sécurisée, tout en garantissant l'interopérabilité et la conformité aux standards internationaux. #ISO8583 #ATM #BankingTechnology #TransactionSecurity #FinancialStandards #Interoperability #Efficiency #Security

Avec la version 4.0 de la norme PCI-DSS, les intégrateurs des solutions technologiques et les cabinets d'accompagnement vont se bousculer, pour ne pas tomber dans la congestion relative au retrait définitif de la version 3.2.1, prévue pour le 31 Mars 2025. Pour aider les banques commerciales à palier au plus urgent, le groupe SIWU, expert en études d'ingénierie (des solutions  technologiques) et partenaire gold des intégrateurs  et cabinets d'accompagnement, se positionne en maîtrise d'ouvrages. C’est avec la récente sortie du nouveau standard PCI DSS , Payment Card Industry Data Security Standard, dans sa version 4.0 qu’ont été publiées les nouvelles versions des SAQ , Self Assessment Questionnaire, qui l’accompagnent. Ceux-ci, comme le référentiel complet, sont entrés en vigueur dès le 31 mars 2024. Certaines exigences ne sont toutefois qu’à l’état de bonnes pratiques, donc facultatives jusqu’au 31 mars 2025, date de retrait définitif de la version 3.2.1. Le SAQ A étant un formulaire d’auto-évaluation destiné aux marchands et centres de traitement des commandes téléphoniques ou e-mail, dont MOTO pour mail order, telephone order,  ne traitant pas directement les données de cartes bancaires de leurs clients. En effet, une société est éligible au SAQ lorsque cette dernière : * a recours à un prestataire de paiement, payment service provider ou PSP, pour traiter, à sa place, la réception, le stockage et la transmission des données de cartes bancaires; * réalise moins de 6 millions de transactions par an; Cette version très allégée du standard, avec environ 28 exigences dans le SAQ A, contre 250 dans le référentiel complet, se veut simple pour permettre aux entreprises de s’auto-certifier. Dans les faits, cela s’avère plus complexe et il est souvent nécessaire de passer par un cabinet QSA, Qualified Security Assessor, en capacité d’auditer, mais aussi d’accompagner les clients dans leur stratégie de certification. Les drafts sont transmis pour avis,  et seront  contractés en Septembre 2024 en présentiel.

Le guide de la mise en œuvre de la version 4.0 de la norme PCI-DSS, propriété du PCI-COUNCIL, Consortium des émetteurs internationaux dont JCB, American express, VISA, Mastercard,...permet de réussir l'implantation pas à pas de la norme dans les organisations. Lorsqu'elles existent, les solutions technologiques couvrent les 12 exigences. Pour le savoir, il faut un audit à blanc effectué par un auditeur certifié. L'analyse du rapport de cet audit permet de quantifier les charges ou les depenses à budgétiser. Si les technologies présentent des limites, il faut faire recours à l'optimisation, après avoir évalué les technologies devenues obsolètes pour défauts de licences ou excès de vulnérabilités. Pour une meilleure sécurité, le client doit faire appel à des attaquants externes distincts des agents du cabinet d'accompagnement. Ces derniers présentent toutes les failles du système d'information. La version 4.0 étant flexible, elle fait intervenir des contrôles innovants et efficaces, avec un accent particulier sur la personnalisation. Chaque filiale des banques commerciales est sécurisée en fonction des enjeux de sécurité et des politiques. Cette optimisation de la norme PCI-DSS se croise avec la vision du Consortium Siwub@naga, dont la vocation et la dévotion sont vouées vers l'optimisation. Ainsi est né, le partenariat PCI-COUNCIL-Siwub@naga. La formation pratique pour 2024 et prévue pour septembre, dont le thème est "Comment réussir la mise en oeuvre de la version 4.0 de la norme PCI-DSS", est la tribune par excellence pour relever les défis sécuritaires en matière de paiement électroniques.

PCI DSS v4.0.1 inclut des corrections de formatage et d'erreurs typographiques ainsi qu'il clarifie l'objectif et l'intention de certaines exigences et directives. Comme il s'agissait d'une révision limitée de la norme, il n'y a eu aucune modification nouvelle ou supprimée. En mai 2024, Mastercard a annoncé plusieurs modifications de ses standards pour les SDP, Site Data Protection (SDP) Program afin de soutenir les dernières mises à jour PCI DSS v4.x, annoncées par le PCI SSC, ajoutant ainsi de la flexibilité pour les clients et leurs commerçants, et clarifiant les SDP existants des exigences du programme, et s'alignant sur les exigences de validation de sécurité dans l’industrie. Ces changements comprenaient l'expansion des critères de qualification à la norme PCI DSS, qui est un programme d'exemption de validation qui exige la validation PCI DSS pour Mastercard envers les commerçants de niveau 3 d’un acquéreur. Si le montant de la commande fourni dans la demande autorisée, payée ou vérifiée diffère du montant de la commande de l'authentification, les données de niveau II/III ne sont pas copiées depuis l'authentification. Dans ce cas, il faut fournir des données de niveau II/III sur la transaction financière, car celles-ci ne peuvent pas être déduites de la commande. Les données de niveau II/III ne sont envoyées à l'acquéreur que pour les transactions collectées/capturées et remboursées, mais non pour les transactions autorisées ou vérifiées uniquement. Les critères du programme d'exemption de validation permettent de reconnaitre les avantages du commerçant, l'adoption de technologies de paiement sécurisées. ________________ Dr Al Wubatala Président du PCI-SSC Afrique

Parlons PCI PIN ! 💡 Qu’est-ce que c’est ? PCI PIN, c’est le standard du Payment Card Industry Council qui définit des exigences pour la protection de l’une des données les plus sensibles de vos cartes bancaires : le PIN. Composé de 33 exigences pour le tronc commun et de 2 annexes, ce référentiel complexe cadre l’usage ultra confidentiel du PIN. Auditable une fois tous les 2 ans par un QPA (Qualified Pin Assessor), un certificat de conformité vis-à-vis de PCI PIN est remis à l’audité avec une durée de validité de deux ans donc.   🤔 A quoi ça sert ? Le PIN étant la donnée ultime sur les cartes bancaires, il se doit d’être protégé au juste niveau : les prestataires qui manipulent donc cette donnée se doivent de répondre à un haut niveau de sécurité. Une pratique de plus en plus courante nécessite notamment d’être PCI PIN : le PIN online. Le PCI-PIN est un prérequis pour gérer le sans-contact+ dont le principe est le suivant : être en capacité de pouvoir payer avec sa carte sans contact un montant élevé, et taper son code PIN sans insérer la carte. Son code PIN est alors envoyé à la banque, chiffré pour vérification, en passant par différents prestataires. Ces opérations de chiffrement / déchiffrement nécessitent donc une certification PCI PIN.   🙋🏼♂️ Et PAX France, dans tout ça ? PAX France charge dans ses terminaux des clefs permettant de chiffrer le code PIN : Ce processus de chargement se réalise dans une salle spécialisée, appelée « Secure Room », avec plusieurs officiers chargés d’injecter la clef pour en assurer la confidentialité et la non-répudiation.   Envie d’en savoir plus ? Contactez-nous 👉🏻 contact@paxtechnology.fr