Post de Dr Al WUBATALA

Madame/Monsieur, Initié par VISA et destiné à protéger les informations sensibles des données des comptes et transactions de paiements, le compte AIS, Account security Information, est basé sur la norme PCI-DSS et s'applique à toute entité qui effectue le stockage, le traitement ou la transmission des données de porteurs de cartes de paiement. Il s'agit du CHD, Card Holder Datas, qui inclus les marchands, les fournisseurs de services et les processeurs. Faisant suite, un des mythes sur PCI-DSS, c'est que externaliser la monétique rend conforme à la norme, car l'outsourcing simplifie le processus de traitement des cartes bancaires, mais ne confère pas une conformité automatique à la norme. Des mesures de sécurité doivent être définies pour protéger les transactions des porteurs et le traitement des données au niveau de la banque. Les données des porteurs doivent par exemple être protégées lorsqu'elles sont reçues pour le traitement des chargebacks et des remboursements. A l'opposé, la banque doit aussi s'assurer que ses fournisseurs et prestataires sont conformes aux exigences applicables concernant les processus et infrastructures (PCI-DSS), les applications fournies (PA-DSS), les équipements -PTS, P2FE..), et exiger si nécessaire un certificat ou autre preuve de conformité de la part des concernés. In extenso, les solutions technologiques permettant d’être conforme à la norme PCI-DSS, sont commercialisables, à l'instar de l'authentification forte, la gestion des logs, la supervision, etc. Un processus qui est dévoilé au cours des formations ventilées par le PCI-Council, afin d'assurer un retour sur investissement. L(objectif des formations est de s'assurer que la sécurité des transactions financière est garantie, ou que l'entité est prête à la certification, ou encore que les entités déjà certifiées ont maintenues la conformité. Pour la version 4.0, les entités déjà certifiées se voient contraintes à un audit de certification. -------------------- Dr Al Wubatala Président du Consortium Siwubanaga Président du PCI-SSC Afrique

L'utilisation du terme « basé sur la carte » reconnaît que les nouveaux canaux de paiement s'étendent au-delà des simples cartes pour inclure des méthodes et des technologies qui ne nécessitent pas l'utilisation d'une carte physique. Le mandat du Conseil continuera de se concentrer sur la sécurité des données de compte pour les paiements par carte réseau, qu'une carte soit impliquée ou non.   Les normes et les programmes auxquels le Conseil accorde la priorité ainsi que la manière dont l’organisation met en œuvre ces initiatives sont tous guidés par le Cadre stratégiques Par exemple, le nouveau processus de demande de commentaires (RFC) reconnaît l’importance de la participation de l’industrie au processus d’élaboration des normes afin de continuer à fournir des ressources qui répondent aux besoins et aux défis de l’industrie. Avec PCI DSS v4.0, nous faisons évoluer la norme et le programme de validation pour prendre en charge une gamme d'environnements, de technologies et de méthodologies pour atteindre la sécurité. Nos normes d’acceptation des paiements mobiles sont conçues pour prendre en charge l’acceptation sécurisée des paiements dans les canaux de paiement nouveaux et émergents. En effet, toutes nos normes rassemblent de multiples perspectives et exigences de sécurité dans une norme de sécurité des données harmonisée pour le secteur, dans le but de favoriser une mise en œuvre efficace par les parties prenantes. Le Conseil s'efforce également d'aligner les efforts avec d'autres organismes de normalisation afin de réduire la redondance et la confusion potentielle. Le programme PIN Security Standard and Assessor est un excellent exemple de cette mise en pratique. Alors que nous cherchons à poursuivre ces efforts depuis 2020 et au-delà, dans un environnement en évolution rapide, les parties prenantes peuvent être certaines que la participation, l’évolution, l’alignement et la cohérence de l’industrie seront des constantes dans les efforts du Conseil pour fournir des normes et des ressources pour sécuriser les données de paiement. ---------------- Dr Al Wubatala Pdt du PCI-SSC Afrique

PCI DSS v4.0.1 inclut des corrections de formatage et d'erreurs typographiques ainsi qu'il clarifie l'objectif et l'intention de certaines exigences et directives. Comme il s'agissait d'une révision limitée de la norme, il n'y a eu aucune modification nouvelle ou supprimée. En mai 2024, Mastercard a annoncé plusieurs modifications de ses standards pour les SDP, Site Data Protection (SDP) Program afin de soutenir les dernières mises à jour PCI DSS v4.x, annoncées par le PCI SSC, ajoutant ainsi de la flexibilité pour les clients et leurs commerçants, et clarifiant les SDP existants des exigences du programme, et s'alignant sur les exigences de validation de sécurité dans l’industrie. Ces changements comprenaient l'expansion des critères de qualification à la norme PCI DSS, qui est un programme d'exemption de validation qui exige la validation PCI DSS pour Mastercard envers les commerçants de niveau 3 d’un acquéreur. Si le montant de la commande fourni dans la demande autorisée, payée ou vérifiée diffère du montant de la commande de l'authentification, les données de niveau II/III ne sont pas copiées depuis l'authentification. Dans ce cas, il faut fournir des données de niveau II/III sur la transaction financière, car celles-ci ne peuvent pas être déduites de la commande. Les données de niveau II/III ne sont envoyées à l'acquéreur que pour les transactions collectées/capturées et remboursées, mais non pour les transactions autorisées ou vérifiées uniquement. Les critères du programme d'exemption de validation permettent de reconnaitre les avantages du commerçant, l'adoption de technologies de paiement sécurisées. ________________ Dr Al Wubatala Président du PCI-SSC Afrique

L'industrie des cartes de paiement (PCI) définit des normes de conformité spécifiques pour la protection des informations des banques commerciales qui acceptent les cartes de crédit ou de débit. La banque commerciale qui traite ou stocke des données confidentielles, et cela inclut à peu près toutes les entités impliquées dans la monnaie électronique, peut utiliser les exigences de sécurité PCI comme guide pour établir ses politiques et procédures de protection des données. La norme de sécurité des données PCI est un standard sécuritaire complet qui comprend des exigences que les banques commerciales qui traitent les paiements par carte et stockent ou transmettent des informations de carte de crédit, de débit ou prépayée doivent respecter pour assurer des transactions sécurisées. La norme PCI DSS couvre les politiques de gestion de la sécurité, les procédures, l'architecture réseau, la conception de logiciels et d'autres mesures de protection essentielles pour protéger les informations sensibles liées aux cartes de paiement, le tout dans le but de réduire le risque de perte de données de carte de paiement.

Pour protéger les informations sensibles des comptes et transactions de paiement , VISA initie le programme account  security information, basé sur la norme PCI-DSS, et qui s'applique à toute entité effectuant le stockage, le traitement ou la transmission des données des porteurs de cartes de paiement, card holder data. Celui-ci inclus les marchands, les fournisseurs de services et les processeurs. Un accompagnement au programme AIS, ou au PCI-DSS disponible dès la manifestation de la volonté d'être accompagné. AIS comprend cinq avantages et trois approches pratiques, pro-actives. Les travaux d'adoption de la norme SW91 dans le VAP VISA, permettent de consolider la promotion de l'intégrité et booster la confiance des clients et des activités, ainsi que celle des partenaires. Tout en réduisant le risque de compromission des données, et les incidents liés aux cartes et coûts associés. Les données de porteurs doivent être protégées lorsqu'elles sont reçues pour le traitement des chargebacks et des remboursements. Il faut s'assurer que les fournisseurs et prestataires sont conformes aux exigences applicables concernant les processus et les infrastructures, les applications fournies, les équipements, et il faut exiger si nécessaire un certificat ou autre preuve de conformité de la part des concernés. En cas d'incident de paiement, la responsabilité juridique de la conformité PCI-DSS reste celle de la banque. Externaliser les services monetiques rend conforme à PCI-DSS. L'externalisation de l'activité monétique simplifie la conformité lorsque le prestataire est certifié.

💳 Découvrez la grille de Cardan brevetée de CCS12 : une solution innovante pour sécuriser vos transactions. Comment ça fonctionne ? L’un des piliers de CCS12 repose sur une grille de Cardan brevetée. ➡️ Le principe : lors de chaque transaction, l'utilisateur utilise une grille transparente et pré-perforée, placée sur un tableau de chiffres aléatoires générés par la carte. Seules les cases alignées avec les perforations révèlent un code unique, indispensable pour valider l’achat. Ce procédé rend toute tentative de phishing ou de piratage bien plus complexe. 💡 Pourquoi est-ce une avancée majeure ? ✅ Sécurité renforcée : Les données statiques de la carte ne sont jamais directement exploitables, ce qui réduit considérablement les risques liés à leur reproduction frauduleuse. ✅ Simplicité d’utilisation : Une technologie qui allie ingénierie avancée et accessibilité, pensée pour un usage quotidien sans matériel supplémentaire. ✅ Écoresponsabilité : Une alternative durable, conçue pour réduire l’empreinte écologique des solutions bancaires actuelles. Chez CCS12, nous croyons en une sécurité bancaire où chaque transaction est protégée, unique et respectueuse de l’environnement. Cette vision est validée par des acteurs majeurs du secteur comme Visa et Mastercard. Et vous, connaissiez-vous le procédé de la grille de Cardan ? Pensez-vous qu’il pourrait transformer notre manière d’interagir avec les banques ? 🤔

Avec la version 4.0 de la norme PCI-DSS, les intégrateurs des solutions technologiques et les cabinets d'accompagnement vont se bousculer, pour ne pas tomber dans la congestion relative au retrait définitif de la version 3.2.1, prévue pour le 31 Mars 2025. Pour aider les banques commerciales à palier au plus urgent, le groupe SIWU, expert en études d'ingénierie (des solutions  technologiques) et partenaire gold des intégrateurs  et cabinets d'accompagnement, se positionne en maîtrise d'ouvrages. C’est avec la récente sortie du nouveau standard PCI DSS , Payment Card Industry Data Security Standard, dans sa version 4.0 qu’ont été publiées les nouvelles versions des SAQ , Self Assessment Questionnaire, qui l’accompagnent. Ceux-ci, comme le référentiel complet, sont entrés en vigueur dès le 31 mars 2024. Certaines exigences ne sont toutefois qu’à l’état de bonnes pratiques, donc facultatives jusqu’au 31 mars 2025, date de retrait définitif de la version 3.2.1. Le SAQ A étant un formulaire d’auto-évaluation destiné aux marchands et centres de traitement des commandes téléphoniques ou e-mail, dont MOTO pour mail order, telephone order,  ne traitant pas directement les données de cartes bancaires de leurs clients. En effet, une société est éligible au SAQ lorsque cette dernière : * a recours à un prestataire de paiement, payment service provider ou PSP, pour traiter, à sa place, la réception, le stockage et la transmission des données de cartes bancaires; * réalise moins de 6 millions de transactions par an; Cette version très allégée du standard, avec environ 28 exigences dans le SAQ A, contre 250 dans le référentiel complet, se veut simple pour permettre aux entreprises de s’auto-certifier. Dans les faits, cela s’avère plus complexe et il est souvent nécessaire de passer par un cabinet QSA, Qualified Security Assessor, en capacité d’auditer, mais aussi d’accompagner les clients dans leur stratégie de certification. Les drafts sont transmis pour avis,  et seront  contractés en Septembre 2024 en présentiel.

Le code ou valeur de vérification de carte, également appelé CAV2, CVC2, CVV2 ou CID, selon la marque de paiement, est le numéro à 3 ou 4 chiffres imprimé au recto ou au verso d’une carte de paiement. Ces valeurs sont considérées comme des SAD, données d’authentification sensibles qui, conformément à l’exigence PCI DSS 3.2, ne doivent pas être stockées après l’autorisation. Ils sont généralement utilisés pour l’autorisation des transactions sans carte, mais ne sont pas nécessaires pour les transactions par carte enregistrée ou récurrentes, et le stockage à ces fins est interdit en vertu de l’exigence PCI DSS 3.2. La norme PCI DSS n’interdit pas la collecte des codes, valeurs de vérification de carte avant l’autorisation d’un achat ou d’une transaction spécifique. Cependant, il n’est pas permis de conserver les codes, valeurs de vérification de la carte une fois que l’achat ou la transaction spécifique pour laquelle ils ont été collectés a été autorisé. La version 4.0.1 apporte des bouleversements très importants.... ________________ Dr Al Wubatala Président du PCI-SSC Afrique

Le code ou valeur de vérification de carte, également appelé CAV2, CVC2, CVV2 ou CID, selon la marque de paiement, est le numéro à 3 ou 4 chiffres imprimé au recto ou au verso d’une carte de paiement. Ces valeurs sont considérées comme des SAD, données d’authentification sensibles qui, conformément à l’exigence PCI DSS 3.2, ne doivent pas être stockées après l’autorisation. Ils sont généralement utilisés pour l’autorisation des transactions sans carte, mais ne sont pas nécessaires pour les transactions par carte enregistrée ou récurrentes, et le stockage à ces fins est interdit en vertu de l’exigence PCI DSS 3.2. La norme PCI DSS n’interdit pas la collecte des codes, valeurs de vérification de carte avant l’autorisation d’un achat ou d’une transaction spécifique. Cependant, il n’est pas permis de conserver les codes, valeurs de vérification de la carte une fois que l’achat ou la transaction spécifique pour laquelle ils ont été collectés a été autorisé. La version 4.0.1 apporte des bouleversements très importants.... ________________ Dr Al Wubatala Président du PCI-SSC Afrique