Consulter le document
Transcription
Consulter le document
Point de vue de CA Technologies Résumé des orientations de l’ABE et solutions CA Technologies applicables pour leur mise en œuvre À: Émetteurs de cartes de paiement De : Équipe des produits de paiements numériques de CA Technologies Objet : Respect des orientations de l’ABE et de la directive sur les services de paiement de l’UE pour une authentification sécurisée Date : 3 février 2015 L’Autorité bancaire européenne (ABE) a récemment publié ses Orientations finales sur la sécurité des paiements sur Internet1, qui soulignent les normes de sécurité minimales à mettre en œuvre par les émetteurs de cartes de paiement dans le cadre du commerce sur Internet, d’ici le 1er août 2015. Ces orientations se basent sur les règlementations définies dans la directive de l’UE sur les services de paiement (DSP) et intégrera celles de la directive des services de paiement 2 (DSP 2) dès que celle-ci paraîtra. Le but est d’assurer la cohérence des services de paiement sur Internet dans l’ensemble des 28 membres de l’UE. Il s’agit pour les émetteurs de cartes de paiement d’adopter une approche d’authentification multifacteur avec une « défense en profondeur » pour la prise en charge de l’utilisation des cartes sur Les orientations de l’ABE se déclinent en 14 points qui peuvent être résumés comme suit : Internet, d’ici le 1er août 2015. Accusant une hausse de 21,2 % en 2012 par rapport à 2011, les fraudes liées aux achats en ligne par carte bancaire sont un fléau qu’il est impératif de combattre2. S’associant à cette lutte, l’ABE a mis en place des orientations centrées sur une authentification forte du client3 et visant à accroître la confiance du consommateur dans les services de paiement sur Internet. Les orientations de l’ABE présentent les meilleures pratiques à mettre œuvre, ainsi que des directives à appliquer pour protéger les données du consommateur, tout en assurant que le paiement est initié par un utilisateur légitime et non par un fraudeur. Les points 4, 5, 7, 8, 9, 10 et 13 insistent particulièrement sur la nécessité de la mise en œuvre d’une solution d’authentification multifacteur. Ces recommandations sont notamment les suivantes : Implémentation d’une solution d’authentification du détenteur de la carte, telle que 3D Secure (3DS), lorsque la carte est utilisée sur Internet Intégration d’une « défense en profondeur » multicouche pour garantir la sécurité Utilisation de technologies de détection et de prévention des fraudes afin d’identifier les transactions suspectes Garantie de la mise en œuvre d’une solution d’authentification forte pour les transactions sans présentation de carte (Card Not Present, CNP) à haut risque 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. Mettre en œuvre une politique de sécurité formalisée et la réexaminer régulièrement Mettre en œuvre et documenter des évaluations approfondies des risques Assurer de manière cohérente et intégrée, la supervision, le traitement et le suivi des incidents de sécurité Incorporer des processus de défense à différents niveaux pour garantir la sécurité Mettre en place des processus qui permettent de garantir la traçabilité de toutes les transactions Identifier les clients et vérifier leur volonté de procéder à des paiements sur Internet Protéger les paiements sur Internet, ainsi que l’accès aux données de paiement sensibles à l’aide d’une authentification forte du client3 Veiller à sécuriser l’inscription du client et le provisioning des outils d’authentification Limiter le nombre de tentatives de connexion ou d’authentification et la longueur des sessions Mettre en place des mécanismes de supervision des transactions pour prévenir, détecter et bloquer les paiements frauduleux, et soumettre les transactions à risque élevé à des analyses et évaluations spécifiques avant d’autoriser la transaction Protéger les données de paiement sensibles lors de leur stockage, de leur traitement ou de leur transmission Assister et guider les clients et leur confirmer l’authenticité des messages qu’ils reçoivent Définir les limites des services de paiement sur Internet et proposer aux clients des options permettant de réduire encore les risques, par exemple par le biais de services d’alertes et de gestion des profils Confirmer l’initiation du paiement et fournir au client, en temps opportun, des informations lui permettant de vérifier la légitimité du paiement Il s’agit en fait pour les émetteurs de cartes de paiement de trouver le juste équilibre entre la nécessité de sécuriser les paiements sur Internet et de protéger le détenteur de la carte, et le besoin de maintenir une expérience utilisateur fluide et conviviale. CA Technologies propose des solutions logicielles globales qui permettent aux émetteurs de cartes d’une part d’adhérer aux directives de l’ABE, voire d’aller au-delà, tout en offrant une expérience sécurisée et conviviale, d’autre part d’être prêts pour les réglementations de la DSP 2 qui pourraient être plus contraignantes. Reportez-vous à l’annexe A pour plus d’informations. Les produits de sécurité des paiements de CA Technologies pour le respect des exigences de l’ABE En tant que principal fournisseur de solutions de sécurité pour les paiements sur Internet, CA Technologies est un partenaire idéal pour aider les émetteurs de cartes de paiement à être prêts pour le 1er août 2015. En implémentant un service Cloud CA Technologies personnalisable pour la sécurisation des paiements, les émetteurs de cartes peuvent poser les bases d’une solution de paiement en ligne solide, créer une expérience utilisateur fluide et répondre aux exigences de l’ABE en matière d’authentification forte. CA Transaction Manager, notre service 3DS, est utilisé par plus de 13 500 portefeuilles, avec plus de 150 millions de détenteurs de cartes actifs à travers le monde.4 De plus en plus d’émetteurs de cartes optent chaque jour pour CA Transaction Manager car il offre une Copyright © 2015 CA. Tous droits réservés. Tous les noms, marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs détenteurs respectifs. Point de vue de CA Technologies expérience d’achat en ligne dynamique et personnalisée. En outre, notre équipe de produits de sécurité des paiements étant impliquée dans le développement de la technologie 3D Secure (3DS) depuis l’avènement du protocole sécurisé, les produits CA Technologies offrent une conformité 3DS transparente avec les programmes d’authentification Verified by VISA®, MasterCard® SecureCode, JCB J/Secure™, American Express SafeKey® et Discover/Diners ProtectBuySM. CA Risk Analytics est un service Cloud d’authentification « Zero-Touch » (sans intervention) qui utilise des modèles de prévision statistiques avancés et des règles dynamiques pour évaluer le risque potentiel lié à chaque transaction, et instantanément refuser, autoriser, alerter ou demander une authentification supplémentaire, selon le résultat. Le détenteur de la carte ne subit aucune interruption au cours du processus de paiement, à moins que, sur la base des résultats, une vérification complémentaire ne soit nécessaire. CA Strong Authentication assure une authentification simple, intuitive et dynamique qui répond totalement à la définition que l’ABE donne de l’authentification forte. Proposé sur site ou en tant que service Cloud, CA Strong Authentication envoie une alerte au détenteur de la carte pour confirmer que la transaction est valide. Un mécanisme de « notification à double sens » permet au détenteur de la carte d’agir instantanément sur les transactions identifiées comme potentiellement frauduleuses, afin de les contrer ou de les valider pour poursuivre sa transaction. Cette solution d’authentification polyvalente permet d’utiliser plusieurs modes d’authentification : identification à deux facteurs, mot de passe à usage unique envoyé par SMS ou message vocal, application mobile de mot de passe à usage unique, notification à double sens et autres options multifacteurs. Qu’est que cela implique pour les clients actuels des solutions de sécurité des paiements de CA Technologies ? Désireuses de faire face aux fraudes de plus en plus sophistiquées et d’améliorer l’expérience de leurs clients, de nombreuses entreprises ont déjà opté pour les solutions de CA Technologies. Il ne fait pas de doute que les clients qui utilisent déjà nos solutions de commerce électronique pourront facilement se mettre au diapason avec la définition d’authentification forte donnée par l’ABE. Ils pourront rapidement améliorer leurs produits en travaillant avec nous, mais il conviendra de prendre d’abord en considération les éléments suivants : Nous nous engageons à travailler en étroite collaboration avec les clients et partenaires de CA Technologies pour fournir des solutions qui permettent de fidéliser les clients, d’accroître les revenus et d’assurer la conformité avec les normes de sécurité les plus élevées imposées par les règlementations actuelles et futures. Quelle est la prochaine étape ? Prenez de l’avance pour être fin prêt pour le 1er août 2015 et contactez-nous dès aujourd’hui. Nous pouvons vous conseiller sur les produits de sécurité des paiements CA Technologies les mieux adaptés à vos besoins et travailler avec vous pour implémenter les meilleures options d’authentification sécurisée afin de répondre aux nouvelles règlementations. Pour en savoir plus sur les produits de sécurité des paiements CA Technologies, rendez-vous sur le site www.ca.com/fr/payment-security ou envoyez-nous un courriel à [email protected] pour contacter un expert produits. Les clients de CA Technologies peuvent contacter leur responsable de compte pour voir de manière détaillée comment nos solutions de sécurité des paiements répondent aux orientations de l’ABE sur la sécurité des paiements et à la directive de l’UE sur les services de paiement (DSP). 1 Voir http://www.eba.europa.eu/documents/10180/1004450/EBA_2015_FR+Guidelines+on+Internet+Payments.pdf Voir http://www.ecb.europa.eu/pub/pdf/other/cardfraudreport201402en.pdf Définition par l'ABE de l'authentification forte du client: aux fins des présentes orientations, une procédure reposant sur l'utilisation de deux éléments ou plus parmi les suivants – appartenant aux catégories connaissance, possession et inhérence: i) quelque chose que seul l'utilisateur connaît, par exemple, un mot de passe fixe, un code, un numéro d'identification personnel ; ii) quelque chose que seul l'utilisateur possède, par exemple un jeton («token»), une carte à puce, un téléphone mobile ; iii) une propriété de l'utilisateur, par exemple une caractéristique biométrique, telle qu'une empreinte digitale. En outre, les éléments sélectionnés doivent être mutuellement indépendants, à savoir la compromission de l'un d'entre eux ne doit pas entraîner la compromission des autres. Au moins un des éléments doit être non réutilisable et non reproductible (excepté en ce qui concerne l'inhérence), ainsi que non susceptible d'être volé subrepticement sur internet. La procédure d'authentification forte doit être conçue de sorte à protéger la confidentialité des données de l'authentification. 4 Source : données CA Technologies du 4e trimestre de l’année civile 2004. 2 3 Copyright © 2015 CA. Tous droits réservés. Toutes les données présentées dans le présent document sont fournies à titre informatif uniquement. Aucun élément contenu dans ce document n’est et ne saurait être considéré comme des conseils de nature juridique. Les informations présentées dans ce document ne doivent pas servir de base exclusive à vos décisions. 2 Point de vue de CA Technologies Annexe A : Orientation de l’ABE 1 2 3 Mettre en œuvre une politique de sécurité formalisée et la réexaminer régulièrement Mettre en œuvre et documenter des évaluations approfondies des risques Assurer de manière cohérente et intégrée, la supervision, le traitement et le suivi des incidents de sécurité 4 Incorporer des processus de défense à différents niveaux pour garantir la sécurité 5 Mettre en place des processus qui permettent de garantir la traçabilité de toutes les transactions 6 Identifier les clients et vérifier leur volonté de procéder à des paiements sur Internet Solution Politique interne de la banque Politique interne de la banque Politique interne de la banque Solution SIEM CA Transaction Manager CA Risk Analytics CA Strong Authentication CA Transaction Manager CA Risk Analytics CA Transaction Manager CA Strong Authentication CA Privileged Identity Manag er (PIM) Protéger les paiements sur Internet, ainsi que l’accès aux données de paiement confidentielles à l’aide d’une authentification forte du client 3 Veiller à sécuriser l’inscription du client et le provisioning des outils d’authentification CA Strong Authentication 8 Limiter le nombre de tentatives de connexion ou d’authentification et la longueur des sessions Mettre en place des mécanismes de supervision des transactions pour prévenir, détecter et bloquer les paiements frauduleux, et soumettre les transactions à risque élevé à des analyses et évaluations spécifiques avant d’autoriser la transaction CA Strong Authentication CA Single Sign-on (SSO) 10 11 Protéger les données de paiement sensibles lors de leur stockage, de leur traitement ou de leur transmission 12 Assister et guider les clients et leur confirmer l’authenticité des messages qu’ils reçoivent 13 Définir les limites des services de paiement sur Internet et proposer aux clients des options permettant de réduire encore les risques, par exemple par le biais de services d’alertes et de gestion des profils 14 Confirmer l’initiation du paiement et fournir au client, en temps opportun, des informations lui permettant de vérifier la légitimité du paiement CA Risk Analytics permet aux émetteurs de cartes de paiement de personnaliser de manière dynamique les paramètres des règles en matière de fraudes et de risques selon la politique de chaque institution financière. Les émetteurs de cartes peuvent utiliser les données d’authentification de CA Risk Analytics pour étendre les évaluations des risques. La combinaison de ces produits vous permettra de répondre aux exigences en matière d’authentification forte et de supervision des transactions avec une « défense en profondeur » pour les transactions impliquant un paiement sur Internet. CA Transaction Manager intègre 3D Secure, de sorte que chaque transaction peut être authentifiée. CA Risk Analytics procure des données d’authentification supplémentaires et une piste d’audit pour chaque transaction. Des fonctionnalités de gestion des cas fournissent les « vraies » données de fraude. Politique interne de la banque 7 9 Application de la solution de sécurité des paiements de CA Technologies CA Risk Analytics Politique interne de la banque Les produits CA Technologies peuvent remplir cette fonction pour les données que nous gérons Politique interne de la banque CA Transaction Manager CA Risk Analytics CA Strong Authentication CA Transaction Manager intègre 3D Secure, de sorte que chaque transaction peut être authentifiée. CA Strong Authentication propose plusieurs options pour une authentification multifacteur : mot de passe à usage unique via SMS, application mobile de mot de passe à usage unique, notifications à double sens et mots de passe « inviolables » pour les paiements sur Internet et l’accès aux données de paiement sensibles. CA PIM propose des contrôles d’accès affinés, ainsi que des fonctions de gestion des mots de passe des comptes partagés, de transition d’authentification et de reporting de l’activité des utilisateurs, dans des environnements physiques et virtuels, pour les utilisateurs à forts privilèges. Workflows d’inscription, de mot de passe oublié et de déprovisioning sécurisés. CA Strong Authentication permet de choisir un nombre limite de tentatives d’authentification. CA SSO peut incorporer des identifiants de connexion provenant de plusieurs canaux. CA Risk Analytics permet une analyse en temps réel de chaque transaction, applique des modèles d’authentification 3D Secure avancés et génère une note qui permet d’identifier les transactions légitimes et celles à risque élevé. Des règles dynamiques vous permettent d’appliquer des politiques personnalisées. CA Technologies gère des data centers sécurisés, compatibles PCI (Payment Card Industry) et conformes à la norme SSAE 16, de sorte que les données transmises durant le processus d’authentification protègent les données du détenteur de la carte. CA Transaction Manager et CA Risk Analytics peuvent aider les responsables des services client à déterminer si une transaction potentiellement frauduleuse a eu lieu. Ceux-ci peuvent alors communiquer cette information au client. CA Risk Analytics permet d’analyser une transaction et de déterminer son niveau de risque. Il peut envoyer une alerte aux clients, demander une authentification supplémentaire ou refuser la transaction, selon les règles de la banque. CA Strong Authentication peut envoyer un mot de passe à usage unique par SMS, courriel ou messagerie vocale, ou initier une notification à double sens afin que le client puisse répondre immédiatement pour poursuivre la transaction. Politique interne de la banque Copyright © 2015 CA. Tous droits réservés. Toutes les données présentées dans le présent document sont fournies à titre informatif uniquement. Aucun élément contenu dans ce document n’est et ne saurait être considéré comme des conseils de nature juridique. Les informations présentées dans ce document ne doivent pas servir de base exclusive à vos décisions. 3 Point de vue de CA Technologies 1 L’Autorité bancaire européenne publie ses orientations finales sur la sécurité des paiements sur Internet Communiqué de presse Londres. Royaume-Uni Publié le 19/12/2014 | EBA/GL/2014/12 L’Autorité bancaire européenne (ABE) a publié aujourd’hui ses orientations finales sur la sécurité des paiements sur Internet où elle définit les exigences minimales auxquelles les prestataires de services de paiement de l’Union européenne devront se conformer d’ici le 1er août 2015. Préoccupée par l’accroissement des fraudes liées aux paiements sur Internet, l’ABE a jugé que la mise en œuvre d’un cadre mieux sécurisé dans l’Union européenne s’imposait. Ces orientations se basent sur les travaux techniques entrepris par le Forum européen sur la sécurité des moyens de paiement (SecuRe Pay). Parmi diverses mesures visant à améliorer et à sécuriser les paiements via Internet au sein de l’UE, les orientations de l’ABE imposent que les prestataires de services de paiement (PSP) appliquent une authentification forte du client de manière à vérifier l’identité de ce dernier avant de procéder au paiement en ligne. Il s’agit là d’une mesure clé pour la prévention des fraudes sur Internet, que ce soit via les services bancaires ou les paiements par carte sur Internet. Ces orientations, basées sur les travaux techniques entrepris par SecuRe Pay, le forum de coopération réunissant les banques centrales et les responsables des prestataires de services de paiement, seront applicables de manière uniforme à tous les PSP de l’UE au 1er août 2015. L’ABE a pris la décision de publier ces directives pour faire face à l’augmentation des fraudes touchant les paiements sur Internet. Selon les dernières données disponibles pour l’ensemble de l’UE, les fraudes concernant les seuls paiements par carte sur Internet ont occasionné 794 millions d’euros de pertes en 2012, soit une hausse de 21,2 % par rapport à l’année précédente. Une réponse appropriée s’imposait donc en attendant la révision de la directive des services de paiement qui vise à créer des règles pour des paiements mieux sécurisés, plus compétitifs et plus conviviaux au sein de l’UE. Selon Geoffroy Goffinet de l’unité de protection des consommateurs de l’ABE, « les directives de l’ABE sur les paiements Internet constituent une base juridique pour créer un environnement équitable pour tous les PSP au sein de l’UE. Par ce texte, l’ABE a cherché à soutenir le développement du commerce électronique à travers l’UE tout en assurant la protection des consommateurs ». Les PSP seront également tenus de fournir une assistance et des conseils aux clients concernant l’utilisation des services de paiement sécurisés sur Internet. Ils devront en particulier mettre en œuvre des programmes de sensibilisation pour assurer que leurs utilisateurs comprennent les risques et les meilleures pratiques en matière de paiements sur Internet. En ce qui concerne la protection des données des consommateurs, les directives prévoient que les PSP offrant des services de paiement par carte aux cybercommerçants, devront encourager ces derniers à ne pas stocker les données de paiement sensibles ou exiger que les mesures nécessaires soient en place pour protéger ces données. Les PSP doivent également effectuer des contrôles réguliers et, si un cybercommerçant traitant des données de paiement sensibles n’a pas mis en place toutes les mesures de sécurité requises, ils doivent intervenir en invoquant la nature contractuelle de l’obligation et en cas de manquement résilier le contrat. Toutes les autorités compétentes au sein de l’UE doivent se conformer à ces orientations en les incorporant dans leurs pratiques de surveillance et en modifiant leur cadre juridique ou leurs procédures de contrôle. Note aux éditeurs Ces orientations constituent une base juridique solide pour la sécurité des paiements sur Internet au sein de tous les États membres de l’UE, en attendant que la révision de la directive sur les services de paiement (DSP 2) soit finalisée au cours des années à venir. Une consultation sur la mise en œuvre de ces orientations a été lancée en octobre 2014. Le travail de l’ABE dans ce domaine résulte d’un effort concerté avec la Banque centrale européenne (BCE) pour accroître la sécurité des moyens de paiement et a été développé sur la base des recommandations publiées en janvier 2013 par le Forum européen sur la sécurité des moyens de paiement (SecuRe Pay). Établi en 2011, SecuRe Pay est le résultat d’une coopération volontaire entre les responsables des prestataires de services de paiement et les responsables des systèmes et des mécanismes/instruments de paiement au sein de l’UE/EEE. Son but est de faciliter le partage et la compréhension des connaissances relatives à la sécurité des services et instruments de paiement électroniques. Contacts presse : Mme Franca Rosa Congiu Courriel : [email protected] - Tél. : +44 (0) 207 382 1772 Copyright © 2015 CA. Tous droits réservés. Toutes les données présentées dans le présent document sont fournies à titre informatif uniquement. Aucun élément contenu dans ce document n’est et ne saurait être considéré comme des conseils de nature juridique. Les informations présentées dans ce document ne doivent pas servir de base exclusive à vos décisions. 4