Consulter le document

Point de vue de CA Technologies
Résumé des orientations de l’ABE et solutions CA Technologies
applicables pour leur mise en œuvre
À:
Émetteurs de cartes de paiement
De :
Équipe des produits de paiements numériques de CA Technologies
Objet : Respect des orientations de l’ABE et de la directive sur les services de paiement de l’UE pour une authentification
sécurisée
Date : 3 février 2015
L’Autorité bancaire européenne (ABE) a récemment publié ses Orientations finales sur la sécurité des paiements sur Internet1, qui
soulignent les normes de sécurité minimales à mettre en œuvre par les émetteurs de cartes de paiement dans le cadre du commerce
sur Internet, d’ici le 1er août 2015. Ces orientations se basent sur les règlementations définies dans la directive de l’UE sur les services
de paiement (DSP) et intégrera celles de la directive des services de paiement 2 (DSP 2) dès que celle-ci paraîtra. Le but est d’assurer
la cohérence des services de paiement sur Internet dans l’ensemble des 28 membres de l’UE. Il s’agit pour les émetteurs de cartes
de paiement d’adopter une approche d’authentification multifacteur avec une
« défense en profondeur » pour la prise en charge de l’utilisation des cartes sur
Les orientations de l’ABE se déclinent en 14 points qui peuvent être
résumés comme suit :
Internet, d’ici le 1er août 2015.
Accusant une hausse de 21,2 % en 2012 par rapport à 2011, les fraudes liées aux
achats en ligne par carte bancaire sont un fléau qu’il est impératif de
combattre2. S’associant à cette lutte, l’ABE a mis en place des orientations
centrées sur une authentification forte du client3 et visant à accroître la
confiance du consommateur dans les services de paiement sur Internet. Les
orientations de l’ABE présentent les meilleures pratiques à mettre œuvre, ainsi
que des directives à appliquer pour protéger les données du consommateur,
tout en assurant que le paiement est initié par un utilisateur légitime et non par
un fraudeur. Les points 4, 5, 7, 8, 9, 10 et 13 insistent particulièrement sur la
nécessité de la mise en œuvre d’une solution d’authentification multifacteur.
Ces recommandations sont notamment les suivantes :
Implémentation d’une solution d’authentification du détenteur de la
carte, telle que 3D Secure (3DS), lorsque la carte est utilisée sur
Internet
Intégration d’une « défense en profondeur » multicouche pour
garantir la sécurité
Utilisation de technologies de détection et de prévention des fraudes
afin d’identifier les transactions suspectes
Garantie de la mise en œuvre d’une solution d’authentification forte
pour les transactions sans présentation de carte (Card Not Present,
CNP) à haut risque
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
Mettre en œuvre une politique de sécurité formalisée et la réexaminer
régulièrement
Mettre en œuvre et documenter des évaluations approfondies des
risques
Assurer de manière cohérente et intégrée, la supervision, le traitement
et le suivi des incidents de sécurité
Incorporer des processus de défense à différents niveaux pour garantir
la sécurité
Mettre en place des processus qui permettent de garantir la traçabilité
de toutes les transactions
Identifier les clients et vérifier leur volonté de procéder à des
paiements sur Internet
Protéger les paiements sur Internet, ainsi que l’accès aux données de
paiement sensibles à l’aide d’une authentification forte du client3
Veiller à sécuriser l’inscription du client et le provisioning des outils
d’authentification
Limiter le nombre de tentatives de connexion ou d’authentification et
la longueur des sessions
Mettre en place des mécanismes de supervision des transactions pour
prévenir, détecter et bloquer les paiements frauduleux, et soumettre
les transactions à risque élevé à des analyses et évaluations spécifiques
avant d’autoriser la transaction
Protéger les données de paiement sensibles lors de leur stockage, de
leur traitement ou de leur transmission
Assister et guider les clients et leur confirmer l’authenticité des
messages qu’ils reçoivent
Définir les limites des services de paiement sur Internet et proposer
aux clients des options permettant de réduire encore les risques, par
exemple par le biais de services d’alertes et de gestion des profils
Confirmer l’initiation du paiement et fournir au client, en temps
opportun, des informations lui permettant de vérifier la légitimité du
paiement
Il s’agit en fait pour les émetteurs de cartes de paiement de trouver le juste
équilibre entre la nécessité de sécuriser les paiements sur Internet et de
protéger le détenteur de la carte, et le besoin de maintenir une expérience
utilisateur fluide et conviviale. CA Technologies propose des solutions logicielles globales qui permettent aux émetteurs de cartes d’une
part d’adhérer aux directives de l’ABE, voire d’aller au-delà, tout en offrant une expérience sécurisée et conviviale, d’autre part d’être
prêts pour les réglementations de la DSP 2 qui pourraient être plus contraignantes. Reportez-vous à l’annexe A pour plus d’informations.
Les produits de sécurité des paiements de CA Technologies pour le respect des exigences de l’ABE
En tant que principal fournisseur de solutions de sécurité pour les paiements sur Internet, CA Technologies est un partenaire idéal pour
aider les émetteurs de cartes de paiement à être prêts pour le 1er août 2015. En implémentant un service Cloud CA Technologies
personnalisable pour la sécurisation des paiements, les émetteurs de cartes peuvent poser les bases d’une solution de paiement en ligne
solide, créer une expérience utilisateur fluide et répondre aux exigences de l’ABE en matière d’authentification forte.
CA Transaction Manager, notre service 3DS, est utilisé par plus de 13 500 portefeuilles, avec plus de 150 millions de détenteurs de cartes
actifs à travers le monde.4 De plus en plus d’émetteurs de cartes optent chaque jour pour CA Transaction Manager car il offre une
Copyright © 2015 CA. Tous droits réservés. Tous les noms, marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la
propriété de leurs détenteurs respectifs.
Point de vue de CA Technologies
expérience d’achat en ligne dynamique et personnalisée. En outre, notre équipe de produits de sécurité des paiements étant impliquée
dans le développement de la technologie 3D Secure (3DS) depuis l’avènement du protocole sécurisé, les produits CA Technologies offrent
une conformité 3DS transparente avec les programmes d’authentification Verified by VISA®, MasterCard® SecureCode, JCB J/Secure™,
American Express SafeKey® et Discover/Diners ProtectBuySM.
CA Risk Analytics est un service Cloud d’authentification « Zero-Touch » (sans intervention) qui utilise des modèles de prévision
statistiques avancés et des règles dynamiques pour évaluer le risque potentiel lié à chaque transaction, et instantanément refuser,
autoriser, alerter ou demander une authentification supplémentaire, selon le résultat. Le détenteur de la carte ne subit aucune
interruption au cours du processus de paiement, à moins que, sur la base des résultats, une vérification complémentaire ne soit
nécessaire.
CA Strong Authentication assure une authentification simple, intuitive et dynamique qui répond totalement à la définition que l’ABE
donne de l’authentification forte. Proposé sur site ou en tant que service Cloud, CA Strong Authentication envoie une alerte au détenteur
de la carte pour confirmer que la transaction est valide. Un mécanisme de « notification à double sens » permet au détenteur de la carte
d’agir instantanément sur les transactions identifiées comme potentiellement frauduleuses, afin de les contrer ou de les valider pour
poursuivre sa transaction. Cette solution d’authentification polyvalente permet d’utiliser plusieurs modes d’authentification :
identification à deux facteurs, mot de passe à usage unique envoyé par SMS ou message vocal, application mobile de mot de passe
à usage unique, notification à double sens et autres options multifacteurs.
Qu’est que cela implique pour les clients actuels des solutions de sécurité des paiements de
CA Technologies ?
Désireuses de faire face aux fraudes de plus en plus sophistiquées et d’améliorer l’expérience de leurs clients, de nombreuses entreprises ont
déjà opté pour les solutions de CA Technologies. Il ne fait pas de doute que les clients qui utilisent déjà nos solutions de commerce
électronique pourront facilement se mettre au diapason avec la définition d’authentification forte donnée par l’ABE. Ils pourront rapidement
améliorer leurs produits en travaillant avec nous, mais il conviendra de prendre d’abord en considération les éléments suivants :
Nous nous engageons à travailler en étroite collaboration avec les clients et partenaires de CA Technologies pour fournir des solutions qui
permettent de fidéliser les clients, d’accroître les revenus et d’assurer la conformité avec les normes de sécurité les plus élevées imposées
par les règlementations actuelles et futures.
Quelle est la prochaine étape ?
Prenez de l’avance pour être fin prêt pour le 1er août 2015 et contactez-nous dès aujourd’hui. Nous pouvons vous conseiller sur les
produits de sécurité des paiements CA Technologies les mieux adaptés à vos besoins et travailler avec vous pour implémenter les
meilleures options d’authentification sécurisée afin de répondre aux nouvelles règlementations.
Pour en savoir plus sur les produits de sécurité des paiements CA Technologies, rendez-vous sur le site www.ca.com/fr/payment-security
ou envoyez-nous un courriel à [email protected] pour contacter un expert produits. Les clients de CA Technologies peuvent
contacter leur responsable de compte pour voir de manière détaillée comment nos solutions de sécurité des paiements répondent aux
orientations de l’ABE sur la sécurité des paiements et à la directive de l’UE sur les services de paiement (DSP).
1
Voir http://www.eba.europa.eu/documents/10180/1004450/EBA_2015_FR+Guidelines+on+Internet+Payments.pdf
Voir http://www.ecb.europa.eu/pub/pdf/other/cardfraudreport201402en.pdf
Définition par l'ABE de l'authentification forte du client: aux fins des présentes orientations, une procédure reposant sur l'utilisation de deux éléments ou plus parmi les suivants –
appartenant aux catégories connaissance, possession et inhérence: i) quelque chose que seul l'utilisateur connaît, par exemple, un mot de passe fixe, un code, un numéro d'identification
personnel ; ii) quelque chose que seul l'utilisateur possède, par exemple un jeton («token»), une carte à puce, un téléphone mobile ; iii) une propriété de l'utilisateur, par exemple une
caractéristique biométrique, telle qu'une empreinte digitale. En outre, les éléments sélectionnés doivent être mutuellement indépendants, à savoir la compromission de l'un d'entre eux ne
doit pas entraîner la compromission des autres. Au moins un des éléments doit être non réutilisable et non reproductible (excepté en ce qui concerne l'inhérence), ainsi que non susceptible
d'être volé subrepticement sur internet. La procédure d'authentification forte doit être conçue de sorte à protéger la confidentialité des données de l'authentification.
4 Source : données CA Technologies du 4e trimestre de l’année civile 2004.
2
3
Copyright © 2015 CA. Tous droits réservés. Toutes les données présentées dans le présent document sont fournies à titre informatif uniquement. Aucun élément contenu dans ce document
n’est et ne saurait être considéré comme des conseils de nature juridique. Les informations présentées dans ce document ne doivent pas servir de base exclusive à vos décisions.
2
Point de vue de CA Technologies
Annexe A :
Orientation de l’ABE
1
2
3
Mettre en œuvre une politique de sécurité
formalisée et la réexaminer régulièrement
Mettre en œuvre et documenter des
évaluations approfondies des risques
Assurer de manière cohérente et intégrée,
la supervision, le traitement et le suivi des
incidents de sécurité
4
Incorporer des processus de défense à
différents niveaux pour garantir la sécurité
5
Mettre en place des processus qui
permettent de garantir la traçabilité de toutes
les transactions
6
Identifier les clients et vérifier leur volonté
de procéder à des paiements sur Internet
Solution
Politique interne
de la banque
Politique interne
de la banque
Politique interne
de la banque
Solution SIEM
CA Transaction Manager
CA Risk Analytics
CA Strong Authentication
CA Transaction Manager
CA Risk Analytics
CA Transaction Manager
CA Strong Authentication
CA Privileged Identity Manag
er (PIM)
Protéger les paiements sur Internet, ainsi que
l’accès aux données de paiement
confidentielles à l’aide d’une authentification
forte du client 3
Veiller à sécuriser l’inscription du client et
le provisioning des outils d’authentification
CA Strong Authentication
8
Limiter le nombre de tentatives de connexion
ou d’authentification et la longueur des
sessions
Mettre en place des mécanismes de
supervision des transactions pour prévenir,
détecter et bloquer les paiements frauduleux,
et soumettre les transactions à risque élevé à
des analyses et évaluations spécifiques avant
d’autoriser la transaction
CA Strong Authentication
CA Single Sign-on (SSO)
10
11
Protéger les données de paiement sensibles
lors de leur stockage, de leur traitement ou
de leur transmission
12
Assister et guider les clients et leur confirmer
l’authenticité des messages qu’ils reçoivent
13
Définir les limites des services de paiement
sur Internet et proposer aux clients des
options permettant de réduire encore les
risques, par exemple par le biais de services
d’alertes et de gestion des profils
14
Confirmer l’initiation du paiement et fournir
au client, en temps opportun, des
informations lui permettant de vérifier la
légitimité du paiement
CA Risk Analytics permet aux émetteurs de cartes de paiement de
personnaliser de manière dynamique les paramètres des règles en matière
de fraudes et de risques selon la politique de chaque institution financière.
Les émetteurs de cartes peuvent utiliser les données d’authentification de
CA Risk Analytics pour étendre les évaluations des risques.
La combinaison de ces produits vous permettra de répondre aux exigences
en matière d’authentification forte et de supervision des transactions avec
une « défense en profondeur » pour les transactions impliquant un paiement
sur Internet.
CA Transaction Manager intègre 3D Secure, de sorte que chaque transaction
peut être authentifiée. CA Risk Analytics procure des données
d’authentification supplémentaires et une piste d’audit pour chaque
transaction. Des fonctionnalités de gestion des cas fournissent les « vraies »
données de fraude.
Politique interne
de la banque
7
9
Application de la solution de sécurité des paiements de
CA Technologies
CA Risk Analytics
Politique interne
de la banque
Les produits CA Technologies
peuvent remplir cette
fonction pour les données
que nous gérons
Politique interne
de la banque
CA Transaction Manager
CA Risk Analytics
CA Strong Authentication
CA Transaction Manager intègre 3D Secure, de sorte que chaque transaction
peut être authentifiée. CA Strong Authentication propose plusieurs options
pour une authentification multifacteur : mot de passe à usage unique via SMS,
application mobile de mot de passe à usage unique, notifications à double
sens et mots de passe « inviolables » pour les paiements sur Internet et
l’accès aux données de paiement sensibles. CA PIM propose des contrôles
d’accès affinés, ainsi que des fonctions de gestion des mots de passe des
comptes partagés, de transition d’authentification et de reporting de l’activité
des utilisateurs, dans des environnements physiques et virtuels, pour les
utilisateurs à forts privilèges.
Workflows d’inscription, de mot de passe oublié et de déprovisioning
sécurisés.
CA Strong Authentication permet de choisir un nombre limite de tentatives
d’authentification. CA SSO peut incorporer des identifiants de connexion
provenant de plusieurs canaux.
CA Risk Analytics permet une analyse en temps réel de chaque transaction,
applique des modèles d’authentification 3D Secure avancés et génère une
note qui permet d’identifier les transactions légitimes et celles à risque élevé.
Des règles dynamiques vous permettent d’appliquer des politiques
personnalisées.
CA Technologies gère des data centers sécurisés, compatibles PCI (Payment
Card Industry) et conformes à la norme SSAE 16, de sorte que les données
transmises durant le processus d’authentification protègent les données du
détenteur de la carte.
CA Transaction Manager et CA Risk Analytics peuvent aider les responsables
des services client à déterminer si une transaction potentiellement
frauduleuse a eu lieu. Ceux-ci peuvent alors communiquer cette information
au client.
CA Risk Analytics permet d’analyser une transaction et de déterminer son
niveau de risque. Il peut envoyer une alerte aux clients, demander une
authentification supplémentaire ou refuser la transaction, selon les règles de
la banque. CA Strong Authentication peut envoyer un mot de passe à usage
unique par SMS, courriel ou messagerie vocale, ou initier une notification à
double sens afin que le client puisse répondre immédiatement pour
poursuivre la transaction.
Politique interne
de la banque
Copyright © 2015 CA. Tous droits réservés. Toutes les données présentées dans le présent document sont fournies à titre informatif uniquement. Aucun élément contenu dans ce document
n’est et ne saurait être considéré comme des conseils de nature juridique. Les informations présentées dans ce document ne doivent pas servir de base exclusive à vos décisions.
3
Point de vue de CA Technologies
1
L’Autorité bancaire européenne publie ses orientations finales sur la sécurité
des paiements sur Internet
Communiqué de presse
Londres. Royaume-Uni
Publié le 19/12/2014 | EBA/GL/2014/12
L’Autorité bancaire européenne (ABE) a publié aujourd’hui ses orientations finales sur la sécurité des paiements sur Internet où elle définit
les exigences minimales auxquelles les prestataires de services de paiement de l’Union européenne devront se conformer d’ici le 1er août 2015.
Préoccupée par l’accroissement des fraudes liées aux paiements sur Internet, l’ABE a jugé que la mise en œuvre d’un cadre mieux sécurisé dans
l’Union européenne s’imposait. Ces orientations se basent sur les travaux techniques entrepris par le Forum européen sur la sécurité des moyens
de paiement (SecuRe Pay).
Parmi diverses mesures visant à améliorer et à sécuriser les paiements via Internet au sein de l’UE, les orientations de l’ABE imposent que les prestataires
de services de paiement (PSP) appliquent une authentification forte du client de manière à vérifier l’identité de ce dernier avant de procéder au paiement
en ligne. Il s’agit là d’une mesure clé pour la prévention des fraudes sur Internet, que ce soit via les services bancaires ou les paiements par carte sur
Internet. Ces orientations, basées sur les travaux techniques entrepris par SecuRe Pay, le forum de coopération réunissant les banques centrales et les
responsables des prestataires de services de paiement, seront applicables de manière uniforme à tous les PSP de l’UE au 1er août 2015.
L’ABE a pris la décision de publier ces directives pour faire face à l’augmentation des fraudes touchant les paiements sur Internet. Selon les dernières
données disponibles pour l’ensemble de l’UE, les fraudes concernant les seuls paiements par carte sur Internet ont occasionné 794 millions d’euros de
pertes en 2012, soit une hausse de 21,2 % par rapport à l’année précédente. Une réponse appropriée s’imposait donc en attendant la révision de la directive
des services de paiement qui vise à créer des règles pour des paiements mieux sécurisés, plus compétitifs et plus conviviaux au sein de l’UE.
Selon Geoffroy Goffinet de l’unité de protection des consommateurs de l’ABE, « les directives de l’ABE sur les paiements Internet constituent une base
juridique pour créer un environnement équitable pour tous les PSP au sein de l’UE. Par ce texte, l’ABE a cherché à soutenir le développement du commerce
électronique à travers l’UE tout en assurant la protection des consommateurs ».
Les PSP seront également tenus de fournir une assistance et des conseils aux clients concernant l’utilisation des services de paiement sécurisés sur Internet.
Ils devront en particulier mettre en œuvre des programmes de sensibilisation pour assurer que leurs utilisateurs comprennent les risques et les meilleures
pratiques en matière de paiements sur Internet.
En ce qui concerne la protection des données des consommateurs, les directives prévoient que les PSP offrant des services de paiement par carte aux
cybercommerçants, devront encourager ces derniers à ne pas stocker les données de paiement sensibles ou exiger que les mesures nécessaires soient
en place pour protéger ces données. Les PSP doivent également effectuer des contrôles réguliers et, si un cybercommerçant traitant des données de
paiement sensibles n’a pas mis en place toutes les mesures de sécurité requises, ils doivent intervenir en invoquant la nature contractuelle de l’obligation
et en cas de manquement résilier le contrat.
Toutes les autorités compétentes au sein de l’UE doivent se conformer à ces orientations en les incorporant dans leurs pratiques de surveillance et en
modifiant leur cadre juridique ou leurs procédures de contrôle.
Note aux éditeurs
Ces orientations constituent une base juridique solide pour la sécurité des paiements sur Internet au sein de tous les États membres de l’UE, en attendant
que la révision de la directive sur les services de paiement (DSP 2) soit finalisée au cours des années à venir. Une consultation sur la mise en œuvre de ces
orientations a été lancée en octobre 2014.
Le travail de l’ABE dans ce domaine résulte d’un effort concerté avec la Banque centrale européenne (BCE) pour accroître la sécurité des moyens de
paiement et a été développé sur la base des recommandations publiées en janvier 2013 par le Forum européen sur la sécurité des moyens de paiement
(SecuRe Pay). Établi en 2011, SecuRe Pay est le résultat d’une coopération volontaire entre les responsables des prestataires de services de paiement et les
responsables des systèmes et des mécanismes/instruments de paiement au sein de l’UE/EEE. Son but est de faciliter le partage et la compréhension des
connaissances relatives à la sécurité des services et instruments de paiement électroniques.
Contacts presse :
Mme Franca Rosa Congiu
Courriel : [email protected] - Tél. : +44 (0) 207 382 1772
Copyright © 2015 CA. Tous droits réservés. Toutes les données présentées dans le présent document sont fournies à titre informatif uniquement. Aucun élément contenu dans ce document
n’est et ne saurait être considéré comme des conseils de nature juridique. Les informations présentées dans ce document ne doivent pas servir de base exclusive à vos décisions.
4