Support

01/02/2010
Antonio DA CUNHA
Caisse d’Épargne Aquitaine Poitou Charente
CCI de Bordeaux – Echangeur 28 janvier 2010
Vendre en ligne en toute sécurité
Objectifs
Bien comprendre
Le contexte technique dd’une
une transaction CB en ligne
- évolution du contexte technique depuis le début de l’internet marchand
- circulation des données sensibles
- stockage des données sensibles
- identité et authentification de l’acheteur
- protection contre l’interception des données CB / protection contre l’utilisation
frauduleuse des données CB
Le contexte règlementaire d’une transaction CB en ligne
- différence entre paiement de proximité et paiement à distance
- problématique du commerçant, problématique de tout détenteur de carte
- process de paiement en ligne sans 3D Secure et avec 3D Secure
1
01/02/2010
Contexte technique d’une transaction CB en ligne
Evolution du contexte technique : début de l’internet marchand
Le commerçant collecte lui-même les données bancaires et les stocke
sur son propre serveur
Stockage
Internet
Internaute
e-Commerçant
Points de vulnérabilité :
- risque d’interception des données sensibles
- risque de vol des données sensibles sur le serveur du commerçant
Contexte technique d’une transaction CB en ligne
Evolution du contexte technique : début de l’internet marchand
Cryptage SSL
Stockage
Internaute
e-Commerçant
Le p
protocole SSL élimine le risque
q d’interception
p
des données CB grâce
g
à ces 2 fonctions
1) Authentifier le serveur sur lequel est connecté l’internaute, c’est-à-dire lui prouver que
www.fnac.com est bien le serveur web de la Fnac.
2) Crypter les informations sensibles, c’est-à-dire assurer la confidentialité des informations
transmises grâce à l’utilisation d’algorithmes de chiffrement. La force de ces algorithmes est
déterminée par la longueur de clé utilisée pour effectuer ce chiffrement, exprimée en bits.
2
01/02/2010
Contexte technique d’une transaction CB en ligne
Evolution du contexte technique : internet marchand actuellement
Prise en charge des paiements et du stockage des données CB par un prestataire
1
Commerçant / site marchand
vente
paiement
commande
Banque
paiement
Internaute
Contexte technique d’une transaction CB en ligne
Toutes les mesures sécuritaires ont été prises mais…
1
vente
Commerçant / site marchand
paiement
Banque
commande
?
paiement
Qui est l’internaute ? Est-il le véritable détenteur de la CB ?
Le paiement est-il garanti ?
3
01/02/2010
Contexte technique d’une transaction CB en ligne
Usurpation des données CB : que dit la loi ?
Loi du 15 novembre 2001 (art. L. 132-2 du Code monétaire et financier)
L'ordre ou l'engagement de payer donné au moyen d'une carte de paiement est irrévocable. Il ne peut être fait opposition au
paiement qu'en cas de perte, de vol ou d'utilisation frauduleuse de la carte ou des données liées à son utilisation. La responsabilité
du titulaire dd'une
une carte nn'est
est pas engagée si le paiement contesté a été effectué frauduleusement,
frauduleusement à distance,
distance sans utilisation
physique de sa carte. Si le titulaire de la carte conteste par écrit avoir effectué un paiement ou un retrait, les sommes contestées lui
sont recréditées sur son compte par l'émetteur de la carte ou restituées sans frais, au plus tard un mois à compter de la réception
de la contestation.
Bien distinguer
La protection contre l’interception des données CB
= contexte technique
La protection contre l’utilisation frauduleuse des données CB
= contexte règlementaire
(en réalité les données CB sont interceptées dans le monde physique et utilisées sur Internet)
Contexte règlementaire d’une transaction CB en ligne
Proximité / Vente A Distance : différences fondamentales
Le paiement de proximité
Contrôles d’usages de la CB
Le porteur tape son code secret : il signe son paiement
Pas de fraude de type usurpation des données CB : répudiation impossible
Garantie de paiement pour le commerçant
La VAD Internet
Contrôles d’usages de la CB
Le client ne signe pas son paiement
Contestation possible par le véritable titulaire de la CB si CB usurpée
Fraude supportée par le commerçant : il supporte l’impayé
La VAD avec 3D Secure : apporter les mêmes garanties en VAD qu’en proximité
Contrôles d’usages de la CB
Le client est authentifié, il est le véritable titulaire de la carte
Si CB usurpée : impayé assumé par la banque émettrice de la CB
Garantie de paiement pour le commerçant
4
01/02/2010
Contexte règlementaire d’une transaction CB en ligne
Problématique de tout titulaire de carte bancaire
Le contexte technique de paiement CB via internet permet à tout individu détenteur de données CB
valides de réaliser des paiements sans avoir à prouver qu’il est le véritable titulaire de la carte. Toute carte
de carte de paiement présentée peut avoir été compromise et usurpée, c'est-à-dire utilisée
f d l
frauduleusement
t à l’insu
l’i
d véritable
du
é it bl titulaire.
tit l i
3D Secure
3D Secure est une architecture technique conçue par les émetteurs Visa (Verified By Visa) et Mastercard
(Mastercard Secure Code) qui vise à renforcer la sécurité des paiements en ligne.
Protection contre l’utilisation frauduleuse d’une carte bancaire
Mise en place d'un contrôle supplémentaire lors de la présentation d’une carte : en plus des données
bancaires (n°, date de validité, cryptogramme visuel), l’acheteur devra s’authentifier en saisissant une
information secrète ou personnelle (mot de passe, date de naissance,…). Un paiement ne pourra plus
être réalisé par la seule détention des données bancaires.
Contexte règlementaire d’une transaction CB en ligne
Problématique de tout e-commerçant
Le contexte juridique permet à tout porteur de carte bancaire de contester un paiement à distance effectué
frauduleusement. La banque émettrice rembourse le véritable titulaire de la carte et recouvre le montant
fraudé auprès de la banque acquéreuse, qui débite le commerçant. Crédité le lendemain du paiement, le
commerçantt s’expose
’
à un risque
i
d contestation
de
t t ti ett donc
d
d’i
d’impayé.
é
3D Secure
3D Secure est une architecture technique conçue par les émetteurs Visa (Verified By Visa) et Mastercard
(Mastercard Secure Code) qui vise à renforcer la sécurité des paiements en ligne.
Transfert de responsabilité du commerçant vers la banque émettrice
Mise en place d'une évolution réglementaire appelée "Liability Shift" ou "Transfert de Responsabilité" dont
le principe est de faire supporter l’impayé émis pour contestation du porteur (utilisation frauduleuse) à sa
banque et non plus au commerçant.
5
01/02/2010
Contexte règlementaire d’une transaction CB en ligne
Process de paiement sans 3D Secure
paiement
Commerçant
Banque commerçant
?
Banque commerçant
Internaute
Contexte règlementaire d’une transaction CB en ligne
Process de paiement avec 3D Secure
paiement
Commerçant
Banque commerçant
OK
?
Internaute
OK
?
Banque du porteur
6
01/02/2010
Contexte règlementaire d’une transaction CB en ligne
Modalités d’authentification 3D Secure
Selon la banque émettrice de la carte, les modalités varient :
Crédit Agricole : question secrète (paramétrage questions/réponses définies à l'avance sur le site)
Crédit Mutuel : id + mot de passe de connexion banque en ligne + code inscrit sur "carte de clés
personnelles" (grille de 64 codes en 8 lignes 8 colonnes dans laquelle il faut piocher le bon code en
personnelles
fonction de la ligne et de la colonne indiquée par la page).
Axa Banque, BNP, Caisse d’Epargne, Société Générale : date de naissance
LCL : code à créer lors du 1er achat 3D Secure
Contexte règlementaire d’une transaction CB en ligne
Adopté par les banques françaises et les e-commerçants français…et le reste ?
Depuis octobre 2008, toutes les banques françaises sont 3D Secure.
Au niveau européen : 329 banques émettrices et 209 000 marchands avaient adopté 3D Secure.
Attention donc aux cartes étrangères non 3D Secure (émises par des banques non 3D Secure)
La protection 3D Secure ne s’applique pas pour les cas suivants :
- paiements récurrents autres que le premier paiement (ex. paiement X fois)
- paiements validés manuellement à un moment ultérieur à celui du paiement
- paiements effectués en mode "TPE virtuel".
En effet, l'authentification des porteurs n'étant pas faite simultanément au déclenchement du
paiement,
i
t celui-ci
l i i ne peutt pas bé
bénéficier
éfi i dde lla protection
t ti 3D
3D-Secure.
S
7
01/02/2010
L’offre de la Caisse d’Épargne
SPPLUS
SPPLUS offre standard
Module de paiement sécurisé
Back Office SPPLUS
3D Secure
Service Assistance / Service Intégration
8
01/02/2010
SPPLUS services étendus
TPE virtuel
URL sécurisée permettant au commerçant la saisie des coordonnées bancaires de son
client et de valider. Solution permettant la multiplicité des points de ventes.
OffreMail
Le commerçant propose via e-mail le paiement d’une prestation : proactivité, rapidité et
rentabilité. En cliquant sur le bouton « payer », l’internaute est redirigé vers les serveurs
sécurisés de la Caisse d‘Épargne où il paie.
Paiement récurent, par abonnement, en 3X sans frais
Ces facilités de paiement représentent un avantage pour le client. SP PLUS prend en charge
la totalité de la transaction bancaire. Vous n'avez pas à gérer les échéances, SP PLUS le fait
pour vous
Autres fonctionnalités
Saisonnalité, relevé quotidien au format .csv, acceptation de devises étrangères, acceptation
des cartes privatives, remboursement CB,…
SPPLUS Site
SPPLUS Site est composé de :
Page de paiement personnalisé et hébergé par la Caisse d’Épargne + module de paiement SPPLUS
www.jepaieenligne.fr/nomducommerçant
9
01/02/2010
Une équipe à votre service
[email protected]
hili
tit@
i
f
05 56 69 59 28
[email protected]
05 56 69 59 15
j
jean-franç[email protected]
f
i
@
i
f
05 56 69 59 14
10