Support
Transcription
Support
01/02/2010 Antonio DA CUNHA Caisse d’Épargne Aquitaine Poitou Charente CCI de Bordeaux – Echangeur 28 janvier 2010 Vendre en ligne en toute sécurité Objectifs Bien comprendre Le contexte technique dd’une une transaction CB en ligne - évolution du contexte technique depuis le début de l’internet marchand - circulation des données sensibles - stockage des données sensibles - identité et authentification de l’acheteur - protection contre l’interception des données CB / protection contre l’utilisation frauduleuse des données CB Le contexte règlementaire d’une transaction CB en ligne - différence entre paiement de proximité et paiement à distance - problématique du commerçant, problématique de tout détenteur de carte - process de paiement en ligne sans 3D Secure et avec 3D Secure 1 01/02/2010 Contexte technique d’une transaction CB en ligne Evolution du contexte technique : début de l’internet marchand Le commerçant collecte lui-même les données bancaires et les stocke sur son propre serveur Stockage Internet Internaute e-Commerçant Points de vulnérabilité : - risque d’interception des données sensibles - risque de vol des données sensibles sur le serveur du commerçant Contexte technique d’une transaction CB en ligne Evolution du contexte technique : début de l’internet marchand Cryptage SSL Stockage Internaute e-Commerçant Le p protocole SSL élimine le risque q d’interception p des données CB grâce g à ces 2 fonctions 1) Authentifier le serveur sur lequel est connecté l’internaute, c’est-à-dire lui prouver que www.fnac.com est bien le serveur web de la Fnac. 2) Crypter les informations sensibles, c’est-à-dire assurer la confidentialité des informations transmises grâce à l’utilisation d’algorithmes de chiffrement. La force de ces algorithmes est déterminée par la longueur de clé utilisée pour effectuer ce chiffrement, exprimée en bits. 2 01/02/2010 Contexte technique d’une transaction CB en ligne Evolution du contexte technique : internet marchand actuellement Prise en charge des paiements et du stockage des données CB par un prestataire 1 Commerçant / site marchand vente paiement commande Banque paiement Internaute Contexte technique d’une transaction CB en ligne Toutes les mesures sécuritaires ont été prises mais… 1 vente Commerçant / site marchand paiement Banque commande ? paiement Qui est l’internaute ? Est-il le véritable détenteur de la CB ? Le paiement est-il garanti ? 3 01/02/2010 Contexte technique d’une transaction CB en ligne Usurpation des données CB : que dit la loi ? Loi du 15 novembre 2001 (art. L. 132-2 du Code monétaire et financier) L'ordre ou l'engagement de payer donné au moyen d'une carte de paiement est irrévocable. Il ne peut être fait opposition au paiement qu'en cas de perte, de vol ou d'utilisation frauduleuse de la carte ou des données liées à son utilisation. La responsabilité du titulaire dd'une une carte nn'est est pas engagée si le paiement contesté a été effectué frauduleusement, frauduleusement à distance, distance sans utilisation physique de sa carte. Si le titulaire de la carte conteste par écrit avoir effectué un paiement ou un retrait, les sommes contestées lui sont recréditées sur son compte par l'émetteur de la carte ou restituées sans frais, au plus tard un mois à compter de la réception de la contestation. Bien distinguer La protection contre l’interception des données CB = contexte technique La protection contre l’utilisation frauduleuse des données CB = contexte règlementaire (en réalité les données CB sont interceptées dans le monde physique et utilisées sur Internet) Contexte règlementaire d’une transaction CB en ligne Proximité / Vente A Distance : différences fondamentales Le paiement de proximité Contrôles d’usages de la CB Le porteur tape son code secret : il signe son paiement Pas de fraude de type usurpation des données CB : répudiation impossible Garantie de paiement pour le commerçant La VAD Internet Contrôles d’usages de la CB Le client ne signe pas son paiement Contestation possible par le véritable titulaire de la CB si CB usurpée Fraude supportée par le commerçant : il supporte l’impayé La VAD avec 3D Secure : apporter les mêmes garanties en VAD qu’en proximité Contrôles d’usages de la CB Le client est authentifié, il est le véritable titulaire de la carte Si CB usurpée : impayé assumé par la banque émettrice de la CB Garantie de paiement pour le commerçant 4 01/02/2010 Contexte règlementaire d’une transaction CB en ligne Problématique de tout titulaire de carte bancaire Le contexte technique de paiement CB via internet permet à tout individu détenteur de données CB valides de réaliser des paiements sans avoir à prouver qu’il est le véritable titulaire de la carte. Toute carte de carte de paiement présentée peut avoir été compromise et usurpée, c'est-à-dire utilisée f d l frauduleusement t à l’insu l’i d véritable du é it bl titulaire. tit l i 3D Secure 3D Secure est une architecture technique conçue par les émetteurs Visa (Verified By Visa) et Mastercard (Mastercard Secure Code) qui vise à renforcer la sécurité des paiements en ligne. Protection contre l’utilisation frauduleuse d’une carte bancaire Mise en place d'un contrôle supplémentaire lors de la présentation d’une carte : en plus des données bancaires (n°, date de validité, cryptogramme visuel), l’acheteur devra s’authentifier en saisissant une information secrète ou personnelle (mot de passe, date de naissance,…). Un paiement ne pourra plus être réalisé par la seule détention des données bancaires. Contexte règlementaire d’une transaction CB en ligne Problématique de tout e-commerçant Le contexte juridique permet à tout porteur de carte bancaire de contester un paiement à distance effectué frauduleusement. La banque émettrice rembourse le véritable titulaire de la carte et recouvre le montant fraudé auprès de la banque acquéreuse, qui débite le commerçant. Crédité le lendemain du paiement, le commerçantt s’expose ’ à un risque i d contestation de t t ti ett donc d d’i d’impayé. é 3D Secure 3D Secure est une architecture technique conçue par les émetteurs Visa (Verified By Visa) et Mastercard (Mastercard Secure Code) qui vise à renforcer la sécurité des paiements en ligne. Transfert de responsabilité du commerçant vers la banque émettrice Mise en place d'une évolution réglementaire appelée "Liability Shift" ou "Transfert de Responsabilité" dont le principe est de faire supporter l’impayé émis pour contestation du porteur (utilisation frauduleuse) à sa banque et non plus au commerçant. 5 01/02/2010 Contexte règlementaire d’une transaction CB en ligne Process de paiement sans 3D Secure paiement Commerçant Banque commerçant ? Banque commerçant Internaute Contexte règlementaire d’une transaction CB en ligne Process de paiement avec 3D Secure paiement Commerçant Banque commerçant OK ? Internaute OK ? Banque du porteur 6 01/02/2010 Contexte règlementaire d’une transaction CB en ligne Modalités d’authentification 3D Secure Selon la banque émettrice de la carte, les modalités varient : Crédit Agricole : question secrète (paramétrage questions/réponses définies à l'avance sur le site) Crédit Mutuel : id + mot de passe de connexion banque en ligne + code inscrit sur "carte de clés personnelles" (grille de 64 codes en 8 lignes 8 colonnes dans laquelle il faut piocher le bon code en personnelles fonction de la ligne et de la colonne indiquée par la page). Axa Banque, BNP, Caisse d’Epargne, Société Générale : date de naissance LCL : code à créer lors du 1er achat 3D Secure Contexte règlementaire d’une transaction CB en ligne Adopté par les banques françaises et les e-commerçants français…et le reste ? Depuis octobre 2008, toutes les banques françaises sont 3D Secure. Au niveau européen : 329 banques émettrices et 209 000 marchands avaient adopté 3D Secure. Attention donc aux cartes étrangères non 3D Secure (émises par des banques non 3D Secure) La protection 3D Secure ne s’applique pas pour les cas suivants : - paiements récurrents autres que le premier paiement (ex. paiement X fois) - paiements validés manuellement à un moment ultérieur à celui du paiement - paiements effectués en mode "TPE virtuel". En effet, l'authentification des porteurs n'étant pas faite simultanément au déclenchement du paiement, i t celui-ci l i i ne peutt pas bé bénéficier éfi i dde lla protection t ti 3D 3D-Secure. S 7 01/02/2010 L’offre de la Caisse d’Épargne SPPLUS SPPLUS offre standard Module de paiement sécurisé Back Office SPPLUS 3D Secure Service Assistance / Service Intégration 8 01/02/2010 SPPLUS services étendus TPE virtuel URL sécurisée permettant au commerçant la saisie des coordonnées bancaires de son client et de valider. Solution permettant la multiplicité des points de ventes. OffreMail Le commerçant propose via e-mail le paiement d’une prestation : proactivité, rapidité et rentabilité. En cliquant sur le bouton « payer », l’internaute est redirigé vers les serveurs sécurisés de la Caisse d‘Épargne où il paie. Paiement récurent, par abonnement, en 3X sans frais Ces facilités de paiement représentent un avantage pour le client. SP PLUS prend en charge la totalité de la transaction bancaire. Vous n'avez pas à gérer les échéances, SP PLUS le fait pour vous Autres fonctionnalités Saisonnalité, relevé quotidien au format .csv, acceptation de devises étrangères, acceptation des cartes privatives, remboursement CB,… SPPLUS Site SPPLUS Site est composé de : Page de paiement personnalisé et hébergé par la Caisse d’Épargne + module de paiement SPPLUS www.jepaieenligne.fr/nomducommerçant 9 01/02/2010 Une équipe à votre service [email protected] hili tit@ i f 05 56 69 59 28 [email protected] 05 56 69 59 15 j jean-franç[email protected] f i @ i f 05 56 69 59 14 10