hce et tokenisation

Transcription

hce et tokenisation

HCE ET TOKENISATION
16 Mars 2016
P RO G RAM ME H C E E T TO K É N I SAT I ON

Benoît BARRE, Groupement des Cartes Bancaires
•

Thierry KOEBERLE, Gemalto
•

La tokénisation Emetteurs: un choix stratégique bien au-delà du HCE
Jean-Pierre PERON, TNS
•

Roadmap CB sur le HCE et la tokénisation
Expérience/perspectives de la tokénisation : vision d’un leader mondial
Sébastien SLIM, HPS
•
La tokénisation au service des produits bancaires mobiles de demain
2
M O BI L E PAY M EN TS : L E S J E UX N E S O N T PAS FAI TS

Objet de toutes les convoitises et promesses, parfois excessives

Succès avéré dans les pays émergents ou semi-développés, mais pas encore
dans les pays matures, en particulier en paiement de proximité.

Pourquoi ?
•
•

Pléthore de modèles et de combinatoires qui cohabitent et vont continuer à
cohabiter (technologies, contenus, partenariats, vocation…)
Nous ne sommes pas démunis de modes de paiement efficients…
Disposer d’une force de frappe colossale et/ou d’une grande ingéniosité pour
faciliter l’adoption généralisée des services de mobile payment et résoudre le
sempiternel casse-tête de l’œuf et de la poule (base de porteurs vs réseau
d’acceptation)
 Mais les choses ne peuvent que s’améliorer : parc de téléphones et TPE NFC,
ApplePay, Androïd Pay, Samsung Pay, offres des MNO, nouvelles technologies
comme HCE, nombre d’acteurs croissant, vertus de la tokénisation
(désensibilisation des données de paiement)…
3
H C E + TO K É N I SAT I ON , N O U V EAUX BO O ST E RS D U PAI E M E N T M O BI L E

MasterCard et Visa sponsorisent de nombreux projets à travers le monde
•
•
•
•

Visa Europe en France : BPCE, BNPP, LBP, SG
Visa Europe en Pologne : ING Bank Śląski, mBank, Bank Millennium, Raiffeisen,
Eurobank, Getin Bank, Bank Polskiej Spółdzielczości, Bank SMART, Zachodni WBK
Visa Inc. avec BBVA, Cuscal, Banco do Brazil, PNC Bank USA, U.S. Bank
MasterCard supporte plus de 25 projets HCE dans 15 pays avec notamment
Sabadell, Santander, Unicredit, …
Autres initiatives
•
•
•
•
•
•
•
•
•
VTB Bank en Georgie
Barclaycard UK
CaixaBank, Bankinter, BBVA en Espagne
American Express avec Intesa en Croatie
Commonwealth Bank of Australia
ANZ en Nouvelle Zélande
TEB en Turquie
ICICI en Inde
Postbank en Allemagne…
4
ROADMAP CB SUR
LE HCE ET LA
TOKENISATION
Benoît BARRE
Chef de projet transverse
Cartes Bancaires CB
CB en 2015
 11 milliards d’opérations
 570 milliards d’€(*)
64,5 millions de cartes CB
+ 6%
comparé à
2014
dont:
- 95 % France / 5 % cross-border
- 12 % e-commerce
* Représente 40 % de la consommation des ménages
1,5 million de commerçants
(pour 2 millions de points de vente)
Introduction CB
Communication, diffusion, reproduction, utilisation, exécution ou représentation de ce document interdites, quel qu’en soit le support, sans l’accord de Cartes Bancaires CB
2
AGENDA
1
LE PROJET HCE CB
2
L’OFFRE DE TOKENISATION CB/STET
 Objectif
 Principes généraux
 Roadmap
 Caractéristiques de l’offre
 Principales fonctionnalités
 Roadmap
Roadmap CB sur le HCE et la tokenisation – PayFORUM 2016
3
LE PROJET HCE CB
4
Le projet HCE CB – Objectif
 L’objectif poursuivi par CB : Mettre en place d’un cadre de fonctionnement du
paiement mobile HCE dans le système CB pour les déploiements commerciaux
des banques CB en 2016
 3 Business Requirements incontournables :
1. Interopérabilité : compatibilité avec le parc d’acceptation contactless en place et les
plateformes de tokenisation du marché
2. Universalité : cobadgeage possible avec les ICS
3. Confiance client : par l’atteinte d’un niveau de sécurité suffisant
5
Le projet HCE CB – Cadre de fonctionnement
 Le cadre de fonctionnement CB permet aux émetteurs et aux éditeurs de développer et
déployer des solutions de paiement mobile HCE avec une garantie d’intéropérabilité et
de robustesse.
 Ce cadre de fonctionnement comprend différents volets :
 Un référentiel fonctionnel composé d’exigences fonctionnelles, de spécifications de
personnalisation et de spécifications de tests exploitables par un laboratoire d’évaluation
fonctionnelle habilité
 Un référentiel sécuritaire composé d’exigences d’ordre sécuritaire et d’une méthodologie
d’évaluation sécuritaire d’application mobile HCE à destination de laboratoires certifiés par
l’ANSSI
 Un corps de règles opérationnelles (contrats-type, règlementation interbancaire du paiement
par carte, règlementation interbancaire des impayés…)
 Un schéma d’agrément des solutions de paiement mobile HCE
6
Le projet HCE CB – Principes généraux
 Le HCE nécessite de repenser la gestion du risque
Il est fondamental de désensibiliser les informations sensibles exposés dans le smartphone, c’està-dire de les rendre moins intéressantes voire inintéressantes pour un attaquant par rapport à
l’effort consenti (argent et temps).
 Les principes fonctionnels et sécuritaires retenus par CB :




Tokenisation du PAN obligatoire
Clés cryptographiques à usage unique
Autorisation systématique demandée par l’application et le TPE
Authentification du porteur
 Type « Mobile PIN » : systématique pour les transactions > 20€, encore l’objet de discussions
pour les transactions <= 20€
 Type « Vérification d’empreinte » : systématique
7
Le projet HCE CB – Roadmap
2015
• Accompagnement
de pilotes et POC
banques
• Définition des
grands principes
fonctionnels
Déc
2015
• Publication
des
référentiels
fonctionnels
et sécuritaires
en version
préliminaire
Fév
2016
• Référentiel
fonctionnel
V1
Avril
2016
• Exigences
sécuritaires V1
• Base
applicative
qualifiée par CB
Q2
2016
• Méthodologie
d’évaluation
sécuritaire
générique
Sep
2016
• Schéma
d’agrément
opérationnel
8
L’OFFRE DE
TOKENISATION CB/STET
9
Tokenisation CB/STET – Caractéristiques de l’offre
 Construction d’un service de tokenisation décidée collectivement par les Membres CB
en avril 2015




CB assure la maîtrise d’ouvrage
STET assure la maîtrise d’œuvre, la commercialisation et l’exploitation
Pas d’obligation pour un Membre CB d’utiliser le TSP CB/STET
Proposé aux émetteurs et également à d’autres acteurs du paiement mobile
(fournisseurs de solution, acquéreurs, accepteurs…)
 Le service de tokenisation est basé sur la mise en œuvre d’un TSP (Token Service
Provider) au sens du framework EMVCo


couvre le « paiement mobile NFC HCE » car priorité fixée par les clients du TSP
CB/STET
d’autres cas d’usage dans la roadmap  xxPay, SIM-centric, carte sans-contact, e/mcommerce
 Le service se veut agnostique du « scheme » et peut ainsi gérer des tokens CB, Visa ou
MasterCard.
 Le TSP est adressable via le réseau e-RSB (protocole CBAE) et via webservices
10
Tokenisation CB/STET – Principales fonctions du TSP
 Enrôler des Token Requestor (TR)
 Gérer les paramètres de configuration du TR : TR Id, plages de BIN Token, Token
Domain Restrictions, Token Location (HCE, SE…), Token Assurance Level, délégation
de contrôle cryptographique
 Tokeniser / Détokeniser
 Stocker de façon sécurisée les couples PAN-Token au sein d’un Token Vault
 Effectuer le token check : plage de BIN, statut du token, date de validité du token, token
domain restrictions (ERT, MCC, code pays, SIRET…)
 Gérer le cycle de vie des tokens : activation, désactivation, suspension, …
 Contrôler les cryptogrammes d’application (si délégation de l’émetteur)
11
Tokenisation CB/STET – Schéma de flux simplifié
12
Tokenisation CB/STET – Roadmap
Q2
2015
Q4
2015
• Début des
développ
ements
• Début des
tests sur
le cas
d’usage
HCE
Q1
2016
• Démarrage
cas d’usage
HCE en
production
Q2
2016
Q3
2016
• Cas d’usage
xxPay n°1
• Cas d’usage
xxPay n°2
Q1
2017
• Cas d’usage
SIM-centric
Q2
2018
• Cas d’usage
cartes duales
13
MERCI DE VOTRE ATTENTION
La Tokenization Emetteur
un choix stratégique bien
au delà du HCE
T. Koeberlé, Directeur Business Development
La Défense, le 16 Mars 2016
Four main trends driving change for banks
and retailers today
1
MOBILE
AT THE HEART
OF DIGITAL
INTERACTIONS
2
2
DEMANDING &
SELF-DRIVEN
CONSUMERS
3
SPEED
OF OTT
& FINTECH
4
PAYMENT
REGULATION
Digital Payment: not a technology choice any more
These initiatives will have to be supported
A strategic choice for Issuers to keep control…
Customer data
Business Model
Risk management
… now & in the coming years
3
“Digital cards” on all devices
Consumer devices, Internet of things
CARD MANAGEMENT SYSTEM
PAN
TOKEN MANAGEMENT SYSTEM
Token 1
Smart Phone
4
Token 2
Payment card
Token 3
TV Boxes
Token 4
Token 5
Token 6
Cars
Wearables
Consumer Devices
Issuers need to be visible on all channels
PARTNER
WALLET
MNO
WALLET
Tokenization
&
Provisionning
RETAILER
App
HCE
WEARABLES
WALLET
BANK
WALLET
BLE
HCE
Digital Payment & HCE technology: Where do we stand ?
All major International Card schemes have issued HCE specifications
Two third of HCE projects are in Europe
Slow down of Bank led HCE projects due to OEMPay arrival
Many HCE project were still in pilot or experiment mode
HCE technology also selected by OEM/OTT for their wallet
HCE Projects launched by banks by Quarter
Q1-2014
Q2-2014
Q3-2014
Q4-2014
Q1-2015
Q2-2015
Q3-2015
Q4-2015
Source: Gemalto Market analysis
6
Digital Payment & HCE technology: what is coming next ?
Need for Industrialization & Massification
Go to Market: mBanking or mWallet
Consistent & fluid User Experience
• Enrolment
• Authentication for Payment
Support multiple Payment brands
Domestic Payment solution
Security & functional certification
7
Gemalto Trusted Service Hub
Multi-Purpose Wallet Onboarding and Card Digitization
PROCESSOR
PARTNER
WALLETS
ENROLLMENT
ISSUER
PROVISIONING
ISSUER
WALLETS
NETWORK
TOKENIZATION
HCE
*
8
(*) by partner processor with Gemalto or thrid party technology
Strengthening Local Players as Aggregators
Aggregators facilitate onboarding & provide tokenization as needed
PROCESSOR
NETWORK
ENROLLMENT
PROVISIONING
TOKENIZATION
9
PURETM a widely deployed white label EMV-CCD Technology
Now available on all
mobile technologies
including HCE for
issuers and domestic
schemes
Embedded SE
Closed Loop
Local Card Assocation
App (HCE)
ATM Network
NFC SIM
60 M cards
worldwide
Gemalto – Prosa partnership
Practical example of Tokenization for multi payment technology & channel
Prosa provides card and payment processing services to 132 banks and financial
institutions across Mexico and Latin America
Prosa will onboard banks, operate Gemalto Tokenization module on their behalf,
provision Tokens via the Gemalto Trusted Service Hub
Prosa issued Tokens will be used for proximity payment (NFC HCE & OEMPay)
& e-Commerce (DCVV)
E-commerce / DCVV
11
TSH for HCE & OEM Pay
Merchants (card on file)
Gemalto TSH in partnership with DNP in Japan
340+ credit card
issuers
•
•
Market reach
Strong relation with
local customer
DNP customers represents
market share in transaction
12
~50%
1400+ banks
30,000 clients
Gemalto TSH – 1st to launch SamsungPay en Europe
13
Takeaway
HCE industrialization & deployment fits into a broader
strategic choices issuer face to control their data,
business model and Payment infrastructure
Third party wallet choice & reach
Tokenization model
Issuing Technology roadmap
Domestic Payment
Gemalto Trusted Service Hub
Connect once, deploy anywhere (unique Issuer API )
Issuer-controlled tokenization with support
for 3rd party tokenization and alternate PANs
Wide & future proof technology reach (HCE, eSE, SIM, TEE)
Supports all major International Card Schemes
Also includes Gemalto white label EMV with mobile PURE
14
Merci !
Questions ?...
15 Gemalto Trusted Service Hub | Gemalto Confidential
Trusted Partner of Banks in Europe
ISSUANCE
AUTHENTICATION
16 Gemalto Trusted Service Hub | Gemalto Confidential
MOBILE
PAYMENT
ENCRYPTION
ECOMMERCE
SECURITY
WHITE LABEL
EMV
One Connection - A World of Opportunities
TNS Expérience et
perspectives de la tokenisation
Jean Pierre PERON
Mars 2016
©2015 TNS Inc. All Rights Reserved.
Perspectives

Les systèmes de paiement électronique connaissent une rapide évolution
o
Paiement sans contact - Communication en champ proche (CCP), les codes QR …
•
o
Commerce électronique et systèmes de paiement virtuels (sans carte).
•
o

Accélérer l'enregistrement des transactions tout en garantissant un haut niveau de sécurité.
Effectuer une transaction en ligne en garantissant les données critiques du porteur de carte.
Paiement Mobile (m-commerce) - HCE
Contrairement au paiement de proximité les données sont plus accessibles
o
De nombreux dangers sont présents lors d’un paiement - Installation d’un malware, utilisation d’un sniffer
pour décoder le trafic et récupérer les données du porteur.
informations contenues dans le « Wallet »

Plus simplement vol / détournement hacking
PCI-DSS et EMVCo accélérèrent l’adoption de mesures
o
Apporter un vrai plus en matière de sécurité – Non réversibilité et réduction considérablement du risque de
data-blooming et d'exposition des données sensibles

Conformité aux Directives, éviter toute infraction aux réglementations
o
o
Pour le commerçant, réduire le risque associé aux données stockées dans son système d’information.
Pour la banque du porteur (émetteur), réduire la fraude.
2
Bilan du e-commerce

Bilan 2015 : les Français ont dépensé 65 milliards € sur internet
o 49% des utilisateurs de smartphones (Fr) ont visité une boutique en ligne
•

E-commerce et m-commerce
o
T1 2015 (France) : Achat principalement sur desktop - Le mobile étant à la 2ème place
•
o
Desktop 61% du trafic et 77% des achats - Mobile 29% et 11% achats - Tablette 11% et 12% achats
T3 2015 (France) : 1 achat sur 4 à partir d'un mobile soit augmentation de 26% depuis le 1er trimestre
•

Moyenne européenne (46%) Etats Unis (74%)
Les ventes sur mobile représentent 35% du e-commerce mondial
Projection et perspectives
o
o
2016 (France) : le m-commerce devrait représenter 16 milliards € (+40% vs 2015)
2019, les dépenses en ligne sur mobile en Europe avoisineront les 45 milliards € (+89% vs 2015)
Sources RetailMeNot avril 2015 et Criteo T3 2015
3
Choix de la “Tokenisation”

Quelle réponse face à la problématique ?
o
Format sécurisé – Longueur et format des données sont préservés sous une forme chiffrée et placés
dans un coffre-fort centralisé dédié
o
«Token» (jeton) utilisé comme substitut– En cas d’utilisation du service (paiement mobile, paiement
sur Internet, …), les données bancaires propres à la carte du porteur sont remplacées (numéro de carte ou
PAN, date d’expiration, crypto et autres champs suivant les solutions)

Comment la «tokenisation» est-elle devenue une solution applicable aux
paiements électroniques?
o
Règlementation du service – La banque du porteur (émetteur), le réseau bancaire et le fournisseur
peuvent intervenir sur le cycle de vie (activation, désactivation, suspension, …) des « tokens »
o
Fourniture du service
 Une demande d’autorisation est envoyée au Serveur d’Autorisation de la banque Acquéreur au travers
du fournisseur de service
 Le fournisseur génère un « token » et stocke les correspondances dans le coffre-fort. Dès lors
l’émetteur effectue ses contrôles de manière classique, puis la réponse suit le sens inverse jusqu’au
point accepteur
 Une fois les données acquises par l’accepteur – le réseau du fournisseur recopiera le « token » dans
les champs spécifiques ou inversement (« dé-tokenisation ») en toute transparence pour le réseau.
 Par la suite, l’émetteur effectue ses contrôles de manière classique
4
Solution de “Tokenisation”


Sur réception du PAN
o
TNS utilise une table de hachage puis lance
une recherche dans le coffre-fort
•
•
Sur réception du « Token »
o
•
S’il est trouvé, le « Token » correspondant est
renvoyé au marchand (accepteur)
Sinon, une nouvelle instance est générée, le
PAN est chiffré puis sauvegardé et le « Token »
(unique) renvoyé
TNS
Environnement
TNS recherche dans le coffre-fort
•
Si l’instance est trouvée, le PAN chiffré est
déchiffré via HSM puis retourné au marchand
Une erreur est retournée dans le cas contraire
Tokenisation
Appliance
Load
Balancer
Token
Manager
Acquéreurs et Processeurs
Solution redondées dans chaque
Data Center TNS.
Disponibilité et évolutivité
Coffre-fort Stockage
sécurisé accès rapide
HSMs
Demande Auto cryptée
Demande Auto en clair
Réponse Auto normale
Réponse Auto avec “Token”
5
Etude de cas: Grand Détaillant

Dans le cadre d’une stratégie globale de protection des données
o
Conformité PCI-DSS - Les informations sensibles (PAN) sont déplacées vers un seul emplacement.
Marketing et Finance continuent d’accéder aux données : Analyse et Fraude principalement
o
o
o
o
Compensation : Solution compatible avec les services existants auprès des acquéreurs
Globalité - Consolidation des transactions autour d’un « token » unique – Campagne Marketing et suivi client
Sécurité – Clés RSA pour contrôler et gérer les accès aux données
Haute disponibilité et évolutivité. Plusieurs instances se partagent un même coffre-fort. Les serveurs
matériels déployés varient en fonction du nombre de transactions
TNS
Environnement
autorisation
autorisation
Réseau
WAN
autorisation
réponse
TNS
réponse
Acquéreurs et
Processeurs
PIN Pad
avec P2PE
Serveur Monétique
Marchand (DC)
Portail
« tokenisation »
Données Chiffrées
Données avec « token »
Données en clair
Données non monétiques
Vault
HSM
P2PE
Des-encryption
« Tokenisation » et
« De-tokenisation »
6
Conclusion

Stratégie de protection des données efficace et temporaire
o
o
o
Transparence - Systèmes non modifiés pour gérer le texte chiffré, la protection est transparente
Immédiate – Solution « Tout ou rien » par opposition à la protection progressive par phases
Neutre – Pas de dépendance avec un processeur de paiement particulier. Permet le recours à des
processeurs multiples (crédit, débit, fidélité, Amex …)
o
o

Palliative - Moderniser les environnements dans l'objectif de protéger l'entreprise
Sécurisation - Déplace les données de la carte " claires " hors du contrôle du marchand
Pas de miracle
o
o
Approche valide – Solution pertinente pour protéger les données ou respecter les réglementations.
Composant clé – Au même titre que le contrôle d’accès, la gestion sécurisée des données et le
chiffrement quand cela est nécessaire

Critères de décision
o
Réduire les risques – Perte de données du porteur - Sanctions , poursuites , dommages à la réputation.
Couverture médiatique négative – Prémunir contre une violation des données
o
Réduire les coûts – Utilisation des solutions existantes, inclues en marque blanche
7
La tokenisation au service des produits
bancaires mobile de demain
Paris, 16 mars 2016
Sebastien Slim
HPS Confidential -
Confidential 1
Tokenisation
Remplace la valeur du PAN par
un Token
Contrôle de l’usage du Token
Gestion de risque
Ou,
Et
?
Multiplier et contrôler
les usages
Source: EMVCo Payment_Tokenisation Specification Technical Framework
Confidential
2
Contrôler l’usage du Token
Token
Plateforme de
Tokenisation
PAN
Au moment de
l’autorisation
Token Domain
Token Limits
Confidential
3
La tokenisation, une urgence pour les émetteurs
In-app purchase
Avant….
Wallet
Maintenant….
e/m-Commerce
Compte
Carte
Compte
Agrégateur Transactions
Transactions
Mobile Payment
HCE
(
(
Transaction
Wearables
Géré par la même entité
Pay
IoT
Perte de contrôle
Banks need to think in terms of secure credentials
management to accommodate all the payment scenarios
“Consumers are not aware that they are growing their
portfolio of payment solutions”
Confidential
4
La tokenisation, un potentiel non exploité
1 PAN
1 PAN
=
1 Token
VS.
n
La carte physique est « associée » au token
=
n Token
=
cas d’usage
Le token est associé à un usage (Token Domain)
Confidential
5
Support des différents
instruments de
paiement
Gestion des nouveaux
produits mobile
Donner de
l’autonomie et du
contrôle au porteur
Confidential
6
Wallet
Minimiser les risques
e/m-Commerce
In-app purchase
HCE
Contrôle du montant
(cumulé ou pas)
Wearables
NFC / Tokenisation
(
(
Support des différents
instruments de paiement
Pay
Contrôle du canal
Autorisation /
Interdiction certains
commerçants
IoT
Contrôle du type de
commerçant
Contrôle type de
transactions
Confidential
7
Gestion des nouveaux
produits mobile
Maximiser le potentiel de la tokenisation
Contrôler ses droits
Donner des droits à autrui
Limiter les sources de transaction
Carte Corporate « virtuelle »
Limiter les montants
Argent de poche pour les enfants
Transaction e-commerce (mono / multi)
Etre garant d’un tiers (Non-bancarisé,…)
Multiple token (domestic vs international)
Extension vers les comptes prépayés
Etc…
Etc…
Confidential
8
Donner de l’autonomie et du
contrôle au porteur
Maitriser encore plus les risques
Gestion dynamique des statuts
et des cas d’usage des Token
• Lien avec la carte physique a
complètement disparu
• Le porteur au cœur de la gestion de
risque
• Meilleure maitrise de la fraude pour
l’émetteur
Confidential
9
HCE + tokenisation
Bénéfices pour un émetteur
 Visibilité
A son propre wallet (« Top of wallet »)
Sa marque est visible (pas dilué dans un wallet tiers)
Le porteur paie « avec sa banque »
 Autonomie
Sur la stratégie de digitalisation
Sur la mise en œuvre et la gestion des cas d’usage
 Evolutivité
Décide seul de l’évolutivité de son wallet (et donc de ses cas d’usage)
Adaptable en fonction de ses clients, du marché, de la compétition
Confidential
10
HPS est un éditeur de solutions de paiement
Plus de 20 ans d’expérience
dans les solutions de
paiement
Plus de 350 utilisateurs
dans plus de 85 pays
Supporte les activités d’émission,
d’acquisition et de routage de
toute institution financière
Activités sur les 5 continents,
compréhension globale du
marché des cartes & paiements
Bureaux en France, au
Maroc et à Dubai
Confidential
11
Thank you
Confidential

hce et tokenisation

Transcription

Documents pareils

3SKey - Guide d`installation du logiciel du token

April 2010 - Ottawa Numismatic Society

Guide de dépannage 3SKey

Fiche-prix-services-bancaires-04012016

Résumé de - FINNEGANS WAKE de James Joyce

Communiqué de presse - Quest for Growth NV