Post de GS1 Algeria

Madame/Monsieur, Un point majeur avec la version 4.0, un marchand doit désormais s’assurer de la conformité PCI DSS de ses prestataires en leur demandant une AOC (Attestation of Compliance, document certifiant la conformité PCI DSS d’une entité). Il s’agit de TPSP (Third Party Service Provider), c’est-à-dire de prestataires portant des exigences du SAQ A. Pour les prestataires de paiement, cela ne change rien, ils sont déjà certifiés PCI DSS et ont la capacité de fournir une AOC à leurs marchands. Pour les autres prestataires en revanche, notamment les infogérants, là où il était suffisant de contrôler leur conformité pour les exigences qui les concernaient, il leur faudra désormais certifier leur service de façon complète et être en mesure de fournir une AOC. Le PCI SSC fournira plus de précisions quant à cette nouvelle formulation, et il est encore aussi possible que la formulation change dans une autre nouvelle version. Cependant, il est à noter qu’un marchand peut s’appuyer sur la conformité en version 3.2.1 de ses prestataires pour se certifier en version 4, jusqu’à l’expiration de la version 3, le 31 mars 2025. Par ailleurs, la version 4.0 apporte la notion de customized approaches, qui permet aux clients de répondre différemment à une exigence donnée tout en satisfaisant l’objectif de sécurité que l’exigence cherche à faire atteindre. Aucun SAQ ne permet l’utilisation de customized approaches à l’heure actuelle. Ce mode est donc réservé aux certifications complètes. Le chargement des ressources externes (exigence 6.4.3), tous les scripts chargés sur la page du marchand au moment du paiement ou au moment de la redirection vers la page du prestataire de paiement doivent être inventoriés, autorisés et leur intégrité contrôlée. En français facile, on ne rentre pas en relation avec n’importe qui et n’importe quoi.   Dr Al Wubatala Président du Consortium Siwubanaga Président du PCI-SSC Afrique

Protocole 3DSV2 : qu'est ce qui a changé ? 🔍   3DSV2 est l'évolution du protocole sécuritaire 3DSV1, qui permet de lutter contre la fraude, selon la directive Européenne DSP2.   Le 3DSV2 permet d’accéder aux exemptions à l’authentification forte prévues par la DSP2, et donc d’offrir des parcours d’achats fluides aux clients.   Depuis 2022, des données telles que le nom, l'adresse, le code pays, sont devenues obligatoires dans les demandes d'authentification 3DSV2, qui visent à ajouter une protection supplémentaire lors de vos achats en ligne.   En 2024, le module de paiement implémenté sur les sites internet va être mis à jour. De nouvelles données vont devenir obligatoires : le numéro de téléphone et l'indicatif pays.   Malgré son caractère obligatoire, le 3DSV2 offrent des avantages aux commerçants 👇

La mise en œuvre des modifications induites par la version 4.0 se justifie par quatre raisons clés :  * veiller à ce que la norme respecte les exigences relatives aux paiements numériques sécurisés; * promouvoir la sécurité en tant que processus dynamique continu; * rendre les procédures de validation plus robustes; * soutenir toute méthodologie supplémentaire qui tend vers les mêmes objectifs de sécurité. Environ 08 mois pour se conformer à la version 4.0, avant que les émetteurs internationaux débranchent tous les VAP..

Le guide de la mise en œuvre de la version 4.0 de la norme PCI-DSS, propriété du PCI-COUNCIL, Consortium des émetteurs internationaux dont JCB, American express, VISA, Mastercard,...permet de réussir l'implantation pas à pas de la norme dans les organisations. Lorsqu'elles existent, les solutions technologiques couvrent les 12 exigences. Pour le savoir, il faut un audit à blanc effectué par un auditeur certifié. L'analyse du rapport de cet audit permet de quantifier les charges ou les depenses à budgétiser. Si les technologies présentent des limites, il faut faire recours à l'optimisation, après avoir évalué les technologies devenues obsolètes pour défauts de licences ou excès de vulnérabilités. Pour une meilleure sécurité, le client doit faire appel à des attaquants externes distincts des agents du cabinet d'accompagnement. Ces derniers présentent toutes les failles du système d'information. La version 4.0 étant flexible, elle fait intervenir des contrôles innovants et efficaces, avec un accent particulier sur la personnalisation. Chaque filiale des banques commerciales est sécurisée en fonction des enjeux de sécurité et des politiques. Cette optimisation de la norme PCI-DSS se croise avec la vision du Consortium Siwub@naga, dont la vocation et la dévotion sont vouées vers l'optimisation. Ainsi est né, le partenariat PCI-COUNCIL-Siwub@naga. La formation pratique pour 2024 et prévue pour septembre, dont le thème est "Comment réussir la mise en oeuvre de la version 4.0 de la norme PCI-DSS", est la tribune par excellence pour relever les défis sécuritaires en matière de paiement électroniques.

Madame/Monsieur, Alors que de nombreuses organisations complétant un SAQ D auront besoin de valider leur conformité à toutes les conditions PCI DSS, certaines ayant des modèles commerciaux très particuliers ne seront pas concernées par certaines conditions. En effet, externalisent les opérations de paiement ou la gestion de leur CDE0F1. Les entités qui sous-traitent leurs environnements de paiement ou leurs opérations de paiement à des tiers restent responsables de la protection par ledit tiers des données de carte conformément aux exigences applicables du standard PCI DSS. Le numéro de compte primaire (PAN) est le facteur déterminant pour les données des titulaires de cartes. Le terme « données de carte » couvre donc les éléments suivants : le PAN complet, tout autre élément de données du titulaire de carte présent avec le PAN et tout élément de données d'authentification sensibles. Si le nom du titulaire de la carte, le code de service et/ou la date d'expiration sont stockés, traités ou transmis avec le PAN, ou sont autrement présents dans le CDE, ils doivent être protégés conformément aux exigences du standard PCI DSS applicables aux données du titulaire de carte. Si une entité stocke, traite ou transmet le PAN, il existe alors un CDE auquel les exigences du standard PCI DSS s'appliqueront. Il se peut que certaines exigences ne puissent pas être applicables ; par exemple, si l'entité ne stocke pas le PAN, alors les exigences relatives à la protection du PAN stocké, dans l'exigence 3, ne seront pas applicables à l'entité. Même si une entité ne stocke, ne traite ou ne transmet pas de PAN, certaines exigences du standard PCI DSS peuvent toujours s'appliquer. La session de formation du 16 au 20 Septembre 2024 à l’hôtel Radisson Blu à Libreville au Gabon, est l'occasion de bien comprendre la norme et les solutions technologiques qui l'accompagnent. Une démarche réservée aux cabinets consulting, l'entreprise SIWU ne œuvrant que pour la maîtrise d'ouvrage, pour l'ingénierie. -------------------- Dr Al Wubatala Président du Consortium Siwubanaga Président du PCI-SSC

Le code ou valeur de vérification de carte, également appelé CAV2, CVC2, CVV2 ou CID, selon la marque de paiement, est le numéro à 3 ou 4 chiffres imprimé au recto ou au verso d’une carte de paiement. Ces valeurs sont considérées comme des SAD, données d’authentification sensibles qui, conformément à l’exigence PCI DSS 3.2, ne doivent pas être stockées après l’autorisation. Ils sont généralement utilisés pour l’autorisation des transactions sans carte, mais ne sont pas nécessaires pour les transactions par carte enregistrée ou récurrentes, et le stockage à ces fins est interdit en vertu de l’exigence PCI DSS 3.2. La norme PCI DSS n’interdit pas la collecte des codes, valeurs de vérification de carte avant l’autorisation d’un achat ou d’une transaction spécifique. Cependant, il n’est pas permis de conserver les codes, valeurs de vérification de la carte une fois que l’achat ou la transaction spécifique pour laquelle ils ont été collectés a été autorisé. La version 4.0.1 apporte des bouleversements très importants.... ________________ Dr Al Wubatala Président du PCI-SSC Afrique

Le code ou valeur de vérification de carte, également appelé CAV2, CVC2, CVV2 ou CID, selon la marque de paiement, est le numéro à 3 ou 4 chiffres imprimé au recto ou au verso d’une carte de paiement. Ces valeurs sont considérées comme des SAD, données d’authentification sensibles qui, conformément à l’exigence PCI DSS 3.2, ne doivent pas être stockées après l’autorisation. Ils sont généralement utilisés pour l’autorisation des transactions sans carte, mais ne sont pas nécessaires pour les transactions par carte enregistrée ou récurrentes, et le stockage à ces fins est interdit en vertu de l’exigence PCI DSS 3.2. La norme PCI DSS n’interdit pas la collecte des codes, valeurs de vérification de carte avant l’autorisation d’un achat ou d’une transaction spécifique. Cependant, il n’est pas permis de conserver les codes, valeurs de vérification de la carte une fois que l’achat ou la transaction spécifique pour laquelle ils ont été collectés a été autorisé. La version 4.0.1 apporte des bouleversements très importants.... ________________ Dr Al Wubatala Président du PCI-SSC Afrique

PCI DSS v4.0.1 inclut des corrections de formatage et d'erreurs typographiques ainsi qu'il clarifie l'objectif et l'intention de certaines exigences et directives. Comme il s'agissait d'une révision limitée de la norme, il n'y a eu aucune modification nouvelle ou supprimée. En mai 2024, Mastercard a annoncé plusieurs modifications de ses standards pour les SDP, Site Data Protection (SDP) Program afin de soutenir les dernières mises à jour PCI DSS v4.x, annoncées par le PCI SSC, ajoutant ainsi de la flexibilité pour les clients et leurs commerçants, et clarifiant les SDP existants des exigences du programme, et s'alignant sur les exigences de validation de sécurité dans l’industrie. Ces changements comprenaient l'expansion des critères de qualification à la norme PCI DSS, qui est un programme d'exemption de validation qui exige la validation PCI DSS pour Mastercard envers les commerçants de niveau 3 d’un acquéreur. Si le montant de la commande fourni dans la demande autorisée, payée ou vérifiée diffère du montant de la commande de l'authentification, les données de niveau II/III ne sont pas copiées depuis l'authentification. Dans ce cas, il faut fournir des données de niveau II/III sur la transaction financière, car celles-ci ne peuvent pas être déduites de la commande. Les données de niveau II/III ne sont envoyées à l'acquéreur que pour les transactions collectées/capturées et remboursées, mais non pour les transactions autorisées ou vérifiées uniquement. Les critères du programme d'exemption de validation permettent de reconnaitre les avantages du commerçant, l'adoption de technologies de paiement sécurisées. ________________ Dr Al Wubatala Président du PCI-SSC Afrique

𝑵𝒐𝒖𝒗𝒆𝒂𝒖 𝒔𝒆𝒓𝒗𝒊𝒄𝒆 ! I 𝑪𝒆𝒓𝒕𝒊𝒇𝒊𝒄𝒂𝒕𝒊𝒐𝒏 𝒅'𝒊𝒅𝒆𝒏𝒕𝒊𝒕𝒆́ 𝒏𝒖𝒎𝒆́𝒓𝒊𝒒𝒖𝒆 ℹ 👉 Si vous êtes muni d’une carte nationale d’identité électronique (𝐝𝐞́𝐥𝐢𝐯𝐫𝐞́𝐞 𝐝𝐞𝐩𝐮𝐢𝐬 𝐣𝐮𝐢𝐧 𝟐𝟎𝟐𝟏) et que vous êtes majeur(e), vous pouvez disposer d’une identité numérique certifiée 100% dématérialisée. 👉 Depuis le 14 février 2024, l'application France Identité est disponible pour tous. Elle vous permet de créer une version dématérialisée de votre carte d’identité et de votre permis de conduire. Cependant, pour certaines démarches à niveau de sécurité élevé, il est 𝗻𝗲́𝗰𝗲𝘀𝘀𝗮𝗶𝗿𝗲 𝗱𝗲 𝗳𝗮𝗶𝗿𝗲 𝗰𝗲𝗿𝘁𝗶𝗳𝗶𝗲𝗿 𝗰𝗲𝘁𝘁𝗲 𝗶𝗱𝗲𝗻𝘁𝗶𝘁𝗲́ 𝗻𝘂𝗺𝗲́𝗿𝗶𝗾𝘂𝗲. Dès lors, il vous faut : 🔸télécharger l’application France Identité et créer votre compte 🔸demander la certification de votre identité numérique dans l’application France Identité 🔸vous rendre en mairie, muni du QR code généré par l’application, de votre téléphone et de votre CNI. Pour rappel, la mairie de Gerzat est ouverte du lundi au vendredi de 8h à12h et de 13h à 17h.

Actif aujourd'hui, PCI-DSS 4.0.1 qui apporte des clarifications au PCI DSS 4.0, et non de nouvelles exigences, est le seul ensemble existant de directives PCI et de normes de sécurité conçues pour protéger les données des cartes des consommateurs et réduire l'exposition et le risque de fraude des commerçants, et les violations de données. Pour le Conseil de sécurité des normes PCI, la combinaison EMV et PCI constitue une combinaison puissante pour accroître la sécurité des données de carte en réduisant la fraude. PCI obligeant les détaillants à accepter les cartes à puce, tout en étant une norme mondiale conçue pour protéger les données des titulaires de cartes. Les cartes à puce EMV étant conçues pour protéger contre la fraude par contrefaçon. Mastercard, par exemple, a une feuille de route pour l’élimination totale de l’utilisation de la bande magnétique. D'ici 2033, aucune carte de crédit et de débit Mastercard n'aura de bande magnétique, ce qui laisse un long chemin à parcourir aux partenaires restants qui s'appuient encore sur la technologie pour mettre en place progressivement le traitement des cartes à puce. Pour Visa, il n’existe pas de projet spécifique visant à éliminer les cartes à bande magnétique. ________________ Dr Al Wubatala Président du PCI-DSS Afrique