Post de Dr Al WUBATALA

Le guide de la mise en œuvre de la version 4.0 de la norme PCI-DSS, propriété du PCI-COUNCIL, Consortium des émetteurs internationaux dont JCB, American express, VISA, Mastercard,...permet de réussir l'implantation pas à pas de la norme dans les organisations. Lorsqu'elles existent, les solutions technologiques couvrent les 12 exigences. Pour le savoir, il faut un audit à blanc effectué par un auditeur certifié. L'analyse du rapport de cet audit permet de quantifier les charges ou les depenses à budgétiser. Si les technologies présentent des limites, il faut faire recours à l'optimisation, après avoir évalué les technologies devenues obsolètes pour défauts de licences ou excès de vulnérabilités. Pour une meilleure sécurité, le client doit faire appel à des attaquants externes distincts des agents du cabinet d'accompagnement. Ces derniers présentent toutes les failles du système d'information. La version 4.0 étant flexible, elle fait intervenir des contrôles innovants et efficaces, avec un accent particulier sur la personnalisation. Chaque filiale des banques commerciales est sécurisée en fonction des enjeux de sécurité et des politiques. Cette optimisation de la norme PCI-DSS se croise avec la vision du Consortium Siwub@naga, dont la vocation et la dévotion sont vouées vers l'optimisation. Ainsi est né, le partenariat PCI-COUNCIL-Siwub@naga. La formation pratique pour 2024 et prévue pour septembre, dont le thème est "Comment réussir la mise en oeuvre de la version 4.0 de la norme PCI-DSS", est la tribune par excellence pour relever les défis sécuritaires en matière de paiement électroniques.

L'industrie des cartes de paiement (PCI) définit des normes de conformité spécifiques pour la protection des informations des banques commerciales qui acceptent les cartes de crédit ou de débit. La banque commerciale qui traite ou stocke des données confidentielles, et cela inclut à peu près toutes les entités impliquées dans la monnaie électronique, peut utiliser les exigences de sécurité PCI comme guide pour établir ses politiques et procédures de protection des données. La norme de sécurité des données PCI est un standard sécuritaire complet qui comprend des exigences que les banques commerciales qui traitent les paiements par carte et stockent ou transmettent des informations de carte de crédit, de débit ou prépayée doivent respecter pour assurer des transactions sécurisées. La norme PCI DSS couvre les politiques de gestion de la sécurité, les procédures, l'architecture réseau, la conception de logiciels et d'autres mesures de protection essentielles pour protéger les informations sensibles liées aux cartes de paiement, le tout dans le but de réduire le risque de perte de données de carte de paiement.

💳 Découvrez la grille de Cardan brevetée de CCS12 : une solution innovante pour sécuriser vos transactions. Comment ça fonctionne ? L’un des piliers de CCS12 repose sur une grille de Cardan brevetée. ➡️ Le principe : lors de chaque transaction, l'utilisateur utilise une grille transparente et pré-perforée, placée sur un tableau de chiffres aléatoires générés par la carte. Seules les cases alignées avec les perforations révèlent un code unique, indispensable pour valider l’achat. Ce procédé rend toute tentative de phishing ou de piratage bien plus complexe. 💡 Pourquoi est-ce une avancée majeure ? ✅ Sécurité renforcée : Les données statiques de la carte ne sont jamais directement exploitables, ce qui réduit considérablement les risques liés à leur reproduction frauduleuse. ✅ Simplicité d’utilisation : Une technologie qui allie ingénierie avancée et accessibilité, pensée pour un usage quotidien sans matériel supplémentaire. ✅ Écoresponsabilité : Une alternative durable, conçue pour réduire l’empreinte écologique des solutions bancaires actuelles. Chez CCS12, nous croyons en une sécurité bancaire où chaque transaction est protégée, unique et respectueuse de l’environnement. Cette vision est validée par des acteurs majeurs du secteur comme Visa et Mastercard. Et vous, connaissiez-vous le procédé de la grille de Cardan ? Pensez-vous qu’il pourrait transformer notre manière d’interagir avec les banques ? 🤔

Madame/Monsieur, Initié par VISA et destiné à protéger les informations sensibles des données des comptes et transactions de paiements, le compte AIS, Account security Information, est basé sur la norme PCI-DSS et s'applique à toute entité qui effectue le stockage, le traitement ou la transmission des données de porteurs de cartes de paiement. Il s'agit du CHD, Card Holder Datas, qui inclus les marchands, les fournisseurs de services et les processeurs. Faisant suite, un des mythes sur PCI-DSS, c'est que externaliser la monétique rend conforme à la norme, car l'outsourcing simplifie le processus de traitement des cartes bancaires, mais ne confère pas une conformité automatique à la norme. Des mesures de sécurité doivent être définies pour protéger les transactions des porteurs et le traitement des données au niveau de la banque. Les données des porteurs doivent par exemple être protégées lorsqu'elles sont reçues pour le traitement des chargebacks et des remboursements. A l'opposé, la banque doit aussi s'assurer que ses fournisseurs et prestataires sont conformes aux exigences applicables concernant les processus et infrastructures (PCI-DSS), les applications fournies (PA-DSS), les équipements -PTS, P2FE..), et exiger si nécessaire un certificat ou autre preuve de conformité de la part des concernés. In extenso, les solutions technologiques permettant d’être conforme à la norme PCI-DSS, sont commercialisables, à l'instar de l'authentification forte, la gestion des logs, la supervision, etc. Un processus qui est dévoilé au cours des formations ventilées par le PCI-Council, afin d'assurer un retour sur investissement. L(objectif des formations est de s'assurer que la sécurité des transactions financière est garantie, ou que l'entité est prête à la certification, ou encore que les entités déjà certifiées ont maintenues la conformité. Pour la version 4.0, les entités déjà certifiées se voient contraintes à un audit de certification. -------------------- Dr Al Wubatala Président du Consortium Siwubanaga Président du PCI-SSC Afrique

Des échanges sur la conformité PCI-DSS, notamment la version 4.0, en vue de sa mise en oeuvre dans les établissements traitant et stockant des données des cartes bancaires se sont soldés sur l'interrogation portant sur la matérialisation de la confiance témoignée réciproquement, pour garantir et sécuriser toute relation d'affaire. Le changement de la version 3.2.1 en 4.0, répond à la volonté de changer de paradigme. Une nouvelle vision d'affaire, qui répond à plusieurs problématiques, autrefois objets de désaccord. Les technologies obsolètes se voient innovées en accord avec les parties prenantes, et en tenant compte des réalités budgétaires . La sécurisation des données liées aux transactions financières électroniques, utilisant les canaux et les bases de données des opérateurs de téléphonie mobile, est renforcée par l'approche pro-active. Une normalisation qui vaut distinction honorifique et prolifique, certifiant que la sécurité est garantie, et que les usagers peuvent leur faire confiance. Cette exigence contraint les opérateurs de téléphonie mobile à se conformer aux standards, pour une meilleure sécurisation des données des transactions financières électroniques qu'ils traitent et stockent, afin de  mieux gérer toute sorte de menace. Une ouverture interne et externe à mettre sous très haute sécurité. Les cabinets d'accompagnement à la certification, sont les intermédiaires privilégiés entre les organisations normatives et les établissements financiers, les opérateurs de téléphonie mobile. Ils sont formés pour mieux conseiller dans le choix des solutions technologiques, et négocier avec les intégrateurs. Les cabinets dédiés aux recettes opérationnelles, sont des acteurs de la chaîne d'intégration confortant et confirmant que les travaux d'intégration sont effectués avec succès. Ils permettent également d'apporter des correctifs en cas de d'insatisfaction. Les cahiers de recette doivent avoir l'approbation de l'intégrateur ou de l'accompagnateur et du client.

Des échanges sur la conformité PCI-DSS, notamment la version 4.0, en vue de sa mise en oeuvre dans les établissements traitant et stockant des données des cartes bancaires se sont soldés sur l'interrogation portant sur la matérialisation de la confiance témoignée réciproquement, pour garantir et sécuriser toute relation d'affaire. Le changement de la version 3.2.1 en 4.0, répond à la volonté de changer de paradigme. Une nouvelle vision d'affaire, qui répond à plusieurs problématiques, autrefois objets de désaccord. Les technologies obsolètes se voient innovées en accord avec les parties prenantes, et en tenant compte des réalités budgétaires . La sécurisation des données liées aux transactions financières électroniques, utilisant les canaux et les bases de données des opérateurs de téléphonie mobile, est renforcée par l'approche pro-active. Une normalisation qui vaut distinction honorifique et prolifique, certifiant que la sécurité est garantie, et que les usagers peuvent leur faire confiance. Cette exigence contraint les opérateurs de téléphonie mobile à se conformer aux standards, pour une meilleure sécurisation des données des transactions financières électroniques qu'ils traitent et stockent, afin de  mieux gérer toute sorte de menace. Une ouverture interne et externe à mettre sous très haute sécurité. Les cabinets d'accompagnement à la certification, sont les intermédiaires privilégiés entre les organisations normatives et les établissements financiers, les opérateurs de téléphonie mobile. Ils sont formés pour mieux conseiller dans le choix des solutions technologiques, et négocier avec les intégrateurs. Les cabinets dédiés aux recettes opérationnelles, sont des acteurs de la chaîne d'intégration confortant et confirmant que les travaux d'intégration sont effectués avec succès. Ils permettent également d'apporter des correctifs en cas de d'insatisfaction. Les cahiers de recette doivent avoir l'approbation de l'intégrateur ou de l'accompagnateur et du client.

Des échanges sur la conformité PCI-DSS, notamment la version 4.0, en vue de sa mise en oeuvre dans les établissements traitant et stockant des données des cartes bancaires se sont soldés sur l'interrogation portant sur la matérialisation de la confiance témoignée réciproquement, pour garantir et sécuriser toute relation d'affaire. Le changement de la version 3.2.1 en 4.0, répond à la volonté de changer de paradigme. Une nouvelle vision d'affaire, qui répond à plusieurs problématiques, autrefois objets de désaccord. Les technologies obsolètes se voient innovées en accord avec les parties prenantes, et en tenant compte des réalités budgétaires . La sécurisation des données liées aux transactions financières électroniques, utilisant les canaux et les bases de données des opérateurs de téléphonie mobile, est renforcée par l'approche pro-active. Une normalisation qui vaut distinction honorifique et prolifique, certifiant que la sécurité est garantie, et que les usagers peuvent leur faire confiance. Cette exigence contraint les opérateurs de téléphonie mobile à se conformer aux standards, pour une meilleure sécurisation des données des transactions financières électroniques qu'ils traitent et stockent, afin de  mieux gérer toute sorte de menace. Une ouverture interne et externe à mettre sous très haute sécurité. Les cabinets d'accompagnement à la certification, sont les intermédiaires privilégiés entre les organisations normatives et les établissements financiers, les opérateurs de téléphonie mobile. Ils sont formés pour mieux conseiller dans le choix des solutions technologiques, et négocier avec les intégrateurs. Les cabinets dédiés aux recettes opérationnelles, sont des acteurs de la chaîne d'intégration confortant et confirmant que les travaux d'intégration sont effectués avec succès. Ils permettent également d'apporter des correctifs en cas de d'insatisfaction. Les cahiers de recette doivent avoir l'approbation de l'intégrateur ou de l'accompagnateur et du client.

PCI DSS v4.0.1 inclut des corrections de formatage et d'erreurs typographiques ainsi qu'il clarifie l'objectif et l'intention de certaines exigences et directives. Comme il s'agissait d'une révision limitée de la norme, il n'y a eu aucune modification nouvelle ou supprimée. En mai 2024, Mastercard a annoncé plusieurs modifications de ses standards pour les SDP, Site Data Protection (SDP) Program afin de soutenir les dernières mises à jour PCI DSS v4.x, annoncées par le PCI SSC, ajoutant ainsi de la flexibilité pour les clients et leurs commerçants, et clarifiant les SDP existants des exigences du programme, et s'alignant sur les exigences de validation de sécurité dans l’industrie. Ces changements comprenaient l'expansion des critères de qualification à la norme PCI DSS, qui est un programme d'exemption de validation qui exige la validation PCI DSS pour Mastercard envers les commerçants de niveau 3 d’un acquéreur. Si le montant de la commande fourni dans la demande autorisée, payée ou vérifiée diffère du montant de la commande de l'authentification, les données de niveau II/III ne sont pas copiées depuis l'authentification. Dans ce cas, il faut fournir des données de niveau II/III sur la transaction financière, car celles-ci ne peuvent pas être déduites de la commande. Les données de niveau II/III ne sont envoyées à l'acquéreur que pour les transactions collectées/capturées et remboursées, mais non pour les transactions autorisées ou vérifiées uniquement. Les critères du programme d'exemption de validation permettent de reconnaitre les avantages du commerçant, l'adoption de technologies de paiement sécurisées. ________________ Dr Al Wubatala Président du PCI-SSC Afrique

Retrouvons-nous, ces prochaines semaines, pour un focus régulier sur l’implémentation de la réglementation relative au #virementinstantané 📊 𝗘𝗣𝗜𝗦𝗢𝗗𝗘 𝟮 : 𝗟𝗜𝗠𝗜𝗧𝗘𝗦 𝗘𝗧 𝗚𝗘𝗦𝗧𝗜𝗢𝗡 𝗗𝗨 𝗥𝗜𝗦𝗤𝗨𝗘 Implémentation du règlement (EUR 2024/886) prévoit de gérer plusieurs limites de montant, ce qui induit d’optimiser la gestion du risque client. 📢𝗩𝗼𝗶𝗰𝗶 𝗾𝘂𝗲𝗹𝗾𝘂𝗲𝘀 𝗲́𝘁𝗮𝗽𝗲𝘀 𝗰𝗹𝗲́𝘀 : ▶️ 𝗘́𝘃𝗮𝗹𝘂𝗮𝘁𝗶𝗼𝗻 𝗱𝘂 𝗿𝗶𝘀𝗾𝘂𝗲 𝗱𝗮𝗻𝘀 𝘂𝗻 𝗰𝗼𝗻𝘁𝗲𝘅𝘁𝗲 𝗱𝗲 𝘁𝗲𝗺𝗽𝘀 𝗿𝗲́𝗲𝗹 : Utiliser des outils d'analyse pour évaluer la solvabilité et la fiabilité des clients dans un contexte 24/7 quand le client demandera à changer sa limite de paiement SCTinst. ▶️ 𝗦𝗲𝗴𝗺𝗲𝗻𝘁𝗮𝘁𝗶𝗼𝗻 𝗱𝗲𝘀 𝗰𝗹𝗶𝗲𝗻𝘁𝘀 : Classer les clients en différentes catégories de risque (faible, moyen, élevé) pour adapter les stratégies de gestion en conséquence. Les plafonds cartes peuvent être une référence de calcul. ▶️ 𝗦𝘂𝗿𝘃𝗲𝗶𝗹𝗹𝗮𝗻𝗰𝗲 𝗰𝗼𝗻𝘁𝗶𝗻𝘂𝗲 : Mettre en place un système de surveillance continue pour détecter les signes avant-coureurs de problèmes financiers chez les clients ou des cas de fraude. ▶️ 𝗜𝗻𝗳𝗿𝗮𝘀𝘁𝗿𝘂𝗰𝘁𝘂𝗿𝗲 𝗱𝗲 𝘁𝗿𝗮𝗶𝘁𝗲𝗺𝗲𝗻𝘁 𝗱𝗲𝘀 𝗱𝗼𝗻𝗻𝗲́𝗲𝘀 : Mettre en place une infrastructure capable de traiter et d'analyser les données paiement en temps réel, comme des plateformes de streaming de données. ▶️ 𝗠𝗼𝗱𝗲̀𝗹𝗲𝘀 𝗱'𝗮𝗽𝗽𝗿𝗲𝗻𝘁𝗶𝘀𝘀𝗮𝗴𝗲 𝗮𝘂𝘁𝗼𝗺𝗮𝘁𝗶𝗾𝘂𝗲 : Développer et entraîner des modèles d'#IA pour détecter les anomalies. Ce nouvel environnement basé sur l’instantanéité est l’occasion d’introduire de nouveaux process basés sur l’IA. ▶️ 𝗧𝗮𝗯𝗹𝗲𝗮𝘂𝘅 𝗱𝗲 𝗯𝗼𝗿𝗱 𝗲𝘁 𝘃𝗶𝘀𝘂𝗮𝗹𝗶𝘀𝗮𝘁𝗶𝗼𝗻 : Créer des tableaux de bord interactifs pour visualiser les données en temps réel et suivre la bonne exécution des paiements et les limites impactées. ⏩ 𝗢𝗻𝗲𝗽𝗼𝗶𝗻𝘁 𝗱𝗶𝘀𝗽𝗼𝘀𝗲 𝗱𝗲 𝗹’𝗲𝘅𝗽𝗲́𝗿𝗶𝗲𝗻𝗰𝗲 𝗲𝘁 𝗱𝗲𝘀 𝗼𝘂𝘁𝗶𝗹𝘀 𝗽𝗼𝘂𝗿 𝗰𝗼𝗺𝗯𝗶𝗻𝗲𝗿 𝗰𝗲𝘀 𝗲́𝗹𝗲́𝗺𝗲𝗻𝘁𝘀 𝗲𝘁 𝘀𝘂𝗿𝘃𝗲𝗶𝗹𝗹𝗲𝗿 𝗮𝗶𝗻𝘀𝗶 𝗹𝗲𝘀 𝗹𝗶𝗺𝗶𝘁𝗲𝘀 𝗿𝗲́𝗴𝗹𝗲𝗺𝗲𝗻𝘁𝗮𝗶𝗿𝗲𝘀 𝗲𝗻 𝘁𝗲𝗺𝗽𝘀 𝗿𝗲́𝗲𝗹. Contacter-nous pour en parler ! Corina Fontaine Sylvie CALSACY Ludovic VATHELOT AFTE FBF FRANCE PAYMENTS FORUM MERCATEL numeum FEVAD OCBF AFEPAME - Association Française des Etablissements de Paiement CNIL ALLDC LEO LAGRANGE webmaster CNAFC Mouvement des Entreprises de France European Commission Onepoint #paiement #virement #IP

Intéressant vraiment le Protocole ISO 8583.