Post de Dr Al WUBATALA

Madame/Monsieur, Un point majeur avec la version 4.0, un marchand doit désormais s’assurer de la conformité PCI DSS de ses prestataires en leur demandant une AOC (Attestation of Compliance, document certifiant la conformité PCI DSS d’une entité). Il s’agit de TPSP (Third Party Service Provider), c’est-à-dire de prestataires portant des exigences du SAQ A. Pour les prestataires de paiement, cela ne change rien, ils sont déjà certifiés PCI DSS et ont la capacité de fournir une AOC à leurs marchands. Pour les autres prestataires en revanche, notamment les infogérants, là où il était suffisant de contrôler leur conformité pour les exigences qui les concernaient, il leur faudra désormais certifier leur service de façon complète et être en mesure de fournir une AOC. Le PCI SSC fournira plus de précisions quant à cette nouvelle formulation, et il est encore aussi possible que la formulation change dans une autre nouvelle version. Cependant, il est à noter qu’un marchand peut s’appuyer sur la conformité en version 3.2.1 de ses prestataires pour se certifier en version 4, jusqu’à l’expiration de la version 3, le 31 mars 2025. Par ailleurs, la version 4.0 apporte la notion de customized approaches, qui permet aux clients de répondre différemment à une exigence donnée tout en satisfaisant l’objectif de sécurité que l’exigence cherche à faire atteindre. Aucun SAQ ne permet l’utilisation de customized approaches à l’heure actuelle. Ce mode est donc réservé aux certifications complètes. Le chargement des ressources externes (exigence 6.4.3), tous les scripts chargés sur la page du marchand au moment du paiement ou au moment de la redirection vers la page du prestataire de paiement doivent être inventoriés, autorisés et leur intégrité contrôlée. En français facile, on ne rentre pas en relation avec n’importe qui et n’importe quoi.   Dr Al Wubatala Président du Consortium Siwubanaga Président du PCI-SSC Afrique

Le code ou valeur de vérification de carte, également appelé CAV2, CVC2, CVV2 ou CID, selon la marque de paiement, est le numéro à 3 ou 4 chiffres imprimé au recto ou au verso d’une carte de paiement. Ces valeurs sont considérées comme des SAD, données d’authentification sensibles qui, conformément à l’exigence PCI DSS 3.2, ne doivent pas être stockées après l’autorisation. Ils sont généralement utilisés pour l’autorisation des transactions sans carte, mais ne sont pas nécessaires pour les transactions par carte enregistrée ou récurrentes, et le stockage à ces fins est interdit en vertu de l’exigence PCI DSS 3.2. La norme PCI DSS n’interdit pas la collecte des codes, valeurs de vérification de carte avant l’autorisation d’un achat ou d’une transaction spécifique. Cependant, il n’est pas permis de conserver les codes, valeurs de vérification de la carte une fois que l’achat ou la transaction spécifique pour laquelle ils ont été collectés a été autorisé. La version 4.0.1 apporte des bouleversements très importants.... ________________ Dr Al Wubatala Président du PCI-SSC Afrique

Le code ou valeur de vérification de carte, également appelé CAV2, CVC2, CVV2 ou CID, selon la marque de paiement, est le numéro à 3 ou 4 chiffres imprimé au recto ou au verso d’une carte de paiement. Ces valeurs sont considérées comme des SAD, données d’authentification sensibles qui, conformément à l’exigence PCI DSS 3.2, ne doivent pas être stockées après l’autorisation. Ils sont généralement utilisés pour l’autorisation des transactions sans carte, mais ne sont pas nécessaires pour les transactions par carte enregistrée ou récurrentes, et le stockage à ces fins est interdit en vertu de l’exigence PCI DSS 3.2. La norme PCI DSS n’interdit pas la collecte des codes, valeurs de vérification de carte avant l’autorisation d’un achat ou d’une transaction spécifique. Cependant, il n’est pas permis de conserver les codes, valeurs de vérification de la carte une fois que l’achat ou la transaction spécifique pour laquelle ils ont été collectés a été autorisé. La version 4.0.1 apporte des bouleversements très importants.... ________________ Dr Al Wubatala Président du PCI-SSC Afrique

Avec la version 4.0 de la norme PCI-DSS, les intégrateurs des solutions technologiques et les cabinets d'accompagnement vont se bousculer, pour ne pas tomber dans la congestion relative au retrait définitif de la version 3.2.1, prévue pour le 31 Mars 2025. Pour aider les banques commerciales à palier au plus urgent, le groupe SIWU, expert en études d'ingénierie (des solutions  technologiques) et partenaire gold des intégrateurs  et cabinets d'accompagnement, se positionne en maîtrise d'ouvrages. C’est avec la récente sortie du nouveau standard PCI DSS , Payment Card Industry Data Security Standard, dans sa version 4.0 qu’ont été publiées les nouvelles versions des SAQ , Self Assessment Questionnaire, qui l’accompagnent. Ceux-ci, comme le référentiel complet, sont entrés en vigueur dès le 31 mars 2024. Certaines exigences ne sont toutefois qu’à l’état de bonnes pratiques, donc facultatives jusqu’au 31 mars 2025, date de retrait définitif de la version 3.2.1. Le SAQ A étant un formulaire d’auto-évaluation destiné aux marchands et centres de traitement des commandes téléphoniques ou e-mail, dont MOTO pour mail order, telephone order,  ne traitant pas directement les données de cartes bancaires de leurs clients. En effet, une société est éligible au SAQ lorsque cette dernière : * a recours à un prestataire de paiement, payment service provider ou PSP, pour traiter, à sa place, la réception, le stockage et la transmission des données de cartes bancaires; * réalise moins de 6 millions de transactions par an; Cette version très allégée du standard, avec environ 28 exigences dans le SAQ A, contre 250 dans le référentiel complet, se veut simple pour permettre aux entreprises de s’auto-certifier. Dans les faits, cela s’avère plus complexe et il est souvent nécessaire de passer par un cabinet QSA, Qualified Security Assessor, en capacité d’auditer, mais aussi d’accompagner les clients dans leur stratégie de certification. Les drafts sont transmis pour avis,  et seront  contractés en Septembre 2024 en présentiel.

Le guide de la mise en œuvre de la version 4.0 de la norme PCI-DSS, propriété du PCI-COUNCIL, Consortium des émetteurs internationaux dont JCB, American express, VISA, Mastercard,...permet de réussir l'implantation pas à pas de la norme dans les organisations. Lorsqu'elles existent, les solutions technologiques couvrent les 12 exigences. Pour le savoir, il faut un audit à blanc effectué par un auditeur certifié. L'analyse du rapport de cet audit permet de quantifier les charges ou les depenses à budgétiser. Si les technologies présentent des limites, il faut faire recours à l'optimisation, après avoir évalué les technologies devenues obsolètes pour défauts de licences ou excès de vulnérabilités. Pour une meilleure sécurité, le client doit faire appel à des attaquants externes distincts des agents du cabinet d'accompagnement. Ces derniers présentent toutes les failles du système d'information. La version 4.0 étant flexible, elle fait intervenir des contrôles innovants et efficaces, avec un accent particulier sur la personnalisation. Chaque filiale des banques commerciales est sécurisée en fonction des enjeux de sécurité et des politiques. Cette optimisation de la norme PCI-DSS se croise avec la vision du Consortium Siwub@naga, dont la vocation et la dévotion sont vouées vers l'optimisation. Ainsi est né, le partenariat PCI-COUNCIL-Siwub@naga. La formation pratique pour 2024 et prévue pour septembre, dont le thème est "Comment réussir la mise en oeuvre de la version 4.0 de la norme PCI-DSS", est la tribune par excellence pour relever les défis sécuritaires en matière de paiement électroniques.

Madame/Monsieur, Initié par VISA et destiné à protéger les informations sensibles des données des comptes et transactions de paiements, le compte AIS, Account security Information, est basé sur la norme PCI-DSS et s'applique à toute entité qui effectue le stockage, le traitement ou la transmission des données de porteurs de cartes de paiement. Il s'agit du CHD, Card Holder Datas, qui inclus les marchands, les fournisseurs de services et les processeurs. Faisant suite, un des mythes sur PCI-DSS, c'est que externaliser la monétique rend conforme à la norme, car l'outsourcing simplifie le processus de traitement des cartes bancaires, mais ne confère pas une conformité automatique à la norme. Des mesures de sécurité doivent être définies pour protéger les transactions des porteurs et le traitement des données au niveau de la banque. Les données des porteurs doivent par exemple être protégées lorsqu'elles sont reçues pour le traitement des chargebacks et des remboursements. A l'opposé, la banque doit aussi s'assurer que ses fournisseurs et prestataires sont conformes aux exigences applicables concernant les processus et infrastructures (PCI-DSS), les applications fournies (PA-DSS), les équipements -PTS, P2FE..), et exiger si nécessaire un certificat ou autre preuve de conformité de la part des concernés. In extenso, les solutions technologiques permettant d’être conforme à la norme PCI-DSS, sont commercialisables, à l'instar de l'authentification forte, la gestion des logs, la supervision, etc. Un processus qui est dévoilé au cours des formations ventilées par le PCI-Council, afin d'assurer un retour sur investissement. L(objectif des formations est de s'assurer que la sécurité des transactions financière est garantie, ou que l'entité est prête à la certification, ou encore que les entités déjà certifiées ont maintenues la conformité. Pour la version 4.0, les entités déjà certifiées se voient contraintes à un audit de certification. -------------------- Dr Al Wubatala Président du Consortium Siwubanaga Président du PCI-SSC Afrique

Protocole 3DSV2 : qu'est ce qui a changé ? 🔍   3DSV2 est l'évolution du protocole sécuritaire 3DSV1, qui permet de lutter contre la fraude, selon la directive Européenne DSP2.   Le 3DSV2 permet d’accéder aux exemptions à l’authentification forte prévues par la DSP2, et donc d’offrir des parcours d’achats fluides aux clients.   Depuis 2022, des données telles que le nom, l'adresse, le code pays, sont devenues obligatoires dans les demandes d'authentification 3DSV2, qui visent à ajouter une protection supplémentaire lors de vos achats en ligne.   En 2024, le module de paiement implémenté sur les sites internet va être mis à jour. De nouvelles données vont devenir obligatoires : le numéro de téléphone et l'indicatif pays.   Malgré son caractère obligatoire, le 3DSV2 offrent des avantages aux commerçants 👇

Vous avez pris l'habitude d'utiliser votre carte d'identité comme carte de fidélité ? Le principal opérateur permettant ceci vient d'être condamné pour non respect du RPGD. L'Autorité de protection des données - Gegevensbeschermingsautoriteit souligne entre autres ; " un manquement au principe de minimisation des données et de protection des données par défaut : Freedelity collecte des informations excessives, non nécessaires à la finalité déclarée de ses traitements de données. A titre d’exemple, Freedelity conserve le numéro de carte d’identité, la commune de délivrance et la date de validité de la carte, or ces données n’ont aucune pertinence pour Freedelity et pour la relation du client avec les enseignes. La Chambre Contentieuse estime que la centralisation massive de données issues directement de la puce de la carte eID pose un risque élevé pour la vie privée des millions de consommateurs concernés." Pour rappel, vous pouvez refuser l'usage de votre carte d'identité au profit d'un enregistrement manuel avec les données strictement nécessaires. La décision complète est ici https://lnkd.in/ehEbdky7

𝗝-𝟭 Notre application permet aux utilisateurs d'authentifier facilement les informations produit en scannant des codes à barres ou des codes QR. De plus, elle offre un accès à des informations supplémentaires sur les produits et à des services via le GS1 Digital Link, favorisant ainsi la confiance, la transparence et l'accès à des données pertinentes sur le marché. Vous pouvez vérifier l'identité et la validité de tout identifiant GS1 grâce aux informations de base fournies par le propriétaire des données, accessibles de manière ouverte et mondiale. Cela permet de répondre aux questions suivantes : Le numéro du code à barres est-il correctement structuré selon les standards GS1 ? Le numéro du code à barres a-t-il été émis par GS1 ? À quelle entreprise le numéro de code à barres est-il attribué ? ║Lien de téléchargement de l'application : https://lnkd.in/eacn4AkG #gs1ageria30

#cartes 💳 | 2025 sera aussi l'année de mise en application de la norme de sécurité des données de l'industrie des cartes de paiement, dans sa nouvelle version PCI DSS V4. Retrouvez notre rétrospective sur les enjeux, le calendrier et les sanctions de PCI DSS V4, publiée en fin 2022.Pour plus d'informations sur les impacts opérationnels et la mise en conformité de votre entreprise, n'hésitez pas à nous contacter ! 👇 #SecurePayment #PCIDSS #Retail #Alcees