Sécurité cartes de crédit en bref Renoncer à l`usage d`une carte de
Transcription
Sécurité cartes de crédit en bref Renoncer à l`usage d`une carte de
Sécurité cartes de crédit en bref Renoncer à l’usage d'une carte de crédit: une situation impensable de nos jours Risques de cyberagressions PCI DSS: la norme de sécurité standard pour combattre les risques Des conséquences désastreuses en cas de sinistre Umbrella offre une alternative optimale à la fastidieuse certification PCI DSS Traitement sécurisé et conforme aux normes PCI DSS grâce à une toute nouvelle technologie Les rapports concernant les vols de cartes de crédit et le piratage informatique sont à la une de nos médias. De nombreuses agences de voyages sont tenues d'accepter les cartes de crédit et d'en conserver les données. Qu'il s'agisse d'un service-client lors des paiements périodiques ou d’une garantie pour les prestations réservées. Mais les données de cartes de crédit souvent mémorisées localement en texte clair sont largement menacées. Où sont les risques? La certification PCI DSS Le danger se situe au niveau des attaques provenant de l'extérieur. Il s'agit en premier lieu des serveurs insuffisamment entretenus en combinaison avec des cartes de crédit mémorisées localement, qui constituent des cibles intéressantes. Mais la légèreté avec laquelle nous traitons nos mots de passe ou la perte d'appareils mobiles contribuent aussi au déficit de sécurité. Les pirates agissent de manière de plus en plus experte et apparaissent toujours en plus grand nombre. C'est pourquoi même les applications les mieux programmées ne sont pas épargnées par ce danger. Exemples d'exigences PCI DSS Les configurations minimales s'adressent aux réseaux informatiques des entreprises. C'est ainsi que des mises à jour régulières des logiciels anti-virus doivent être assurées. Les exigences comprennent aussi des consignes strictes en matière de changement des mots de passe ou de transfert des données sensibles de cartes de crédit. En règle générale: si des cartes de crédit doivent être mémorisées dans l'agence de voyages, une certification PCI DSS est nécessaire. La certification est très onéreuse en raison du grand nombre de mesures nécessaires. La solution parfaite pour tous les cas de figure Conséquences d'un "non respect" Ensemble contre les dangers PCI DSS – La norme de sécurité Pour combattre les abus, certaines institutions comme VISA et MasterCard ont conjointement développé des standards de sécurité. Ces standards de sécurité ont pour objectif d'harmoniser les procédures afin de mettre en pratique les exigences de sécurité (PCI DSS = Payment Card Industry Data Security Standard). PCI DSS définit les exigences minimales pour la protection des cartes de crédit pendant le traitement, le transfert et la mémorisation. En tant que commerçant, vous vous engagez envers vos clients à respecter le règlement PCI DSS. Dans le cas contraire et particulièrement en cas de sinistre, de fortes amendes peuvent être infligées, des restrictions peuvent être mises en place ou l'acceptation des cartes de crédit peut vous être interdite. L'image de votre entreprise peut en être considérablement ternie. Umbrella Organisation AG Binzstrasse 33 | CH-8620 Wetzikon Phone: +41 (0)44 933 53 90 E-mail: [email protected] Alternative à la certification Une solution pour tous les cas de figure Faibles coûts – grands effets Vous pouvez travailler en conformité avec la norme PCI DSS sans devoir supporter les coûts importants de la certification. À cet effet, il faut bannir de vos systèmes toutes les données de carte de crédit saisies en clair (langage non crypté). Pour chaque type de procédure, Umbrella vous propose la solution adéquate: L'utilisation du PCI Proxy entraîne les frais suivants: Paiements par carte de crédit (module Datatrans) Paiements par carte de crédit (module Datatrans): Les cartes de crédit nouvellement saisies sont immédiatement cryptées en alias et peuvent directement servir aux paiements. Ca fonctionne aussi pour les paiements par l’option „Pay-by-Mail“. Coûts mensuels E-paiements Frais uniques d'installation Mise en service Pay-by-Mail Si vous travaillez avec les systèmes Umbrella, vous ne devez néanmoins pas renoncer à l'utilisation des cartes de crédit comme moyen de paiement. En collaboration avec Datatrans, nous avons développé pour vous la solution optimale. Paiement direct BSP avec ou sans interface Airplus/Amex BTA En tant qu'agence IATA, aucun changement n’intervient pour vous. Notre solution reprend l'aliasing (lors de la reprise de billets) resp. le de-aliasing (lors du décompte Airplus/Amex BTA). Voir illustration. Paiements des fournisseurs BSP (Hot File) Traitement des cartes de crédit conforme aux normes PCI DSS Comme à l'accoutumée, vous pouvez utiliser le BSP Hot File pour le contrôle des décomptes BSP. Fonctionnement: Cartes de crédit dans Umbrella Tenzing Faces (administration des profils) Les numéros de carte de crédit en clair sont externalisés de manière sûre, cryptés et mémorisés par le „PCI-Proxy*“. Exemple: 490115ABCDEF1234. Les alias sont visibles pour vous et vos clients, mais les données nécessaires à l'émission des billets sont sauvegardées conformément aux normes PCI DSS. Ces alias sont compatibles avec toutes les procédures, qui utilisaient jusqu'à maintenant les détails de cartes de crédit non cryptés. *en anglais, proxy = intermédiaire CRS Système d‘agence Air Plus/BTA Autres scénarios? transactions*0.35 transactions*0.32 transactions*0.29 transactions*0.26 transactions*0.23 transactions*0.20 transactions*0.17 * frais par transaction Non compris dans les frais: frais éventuels pour les contrats d'acceptation avec les instituts financiers et commissions (env. 2.5% du montant facturé, indication sans garantie) Aliasing de carte de crédit seul: Les frais pour de pures transactions alias PCI Proxy varient en fonction des volumes: jusqu'à 5‘000 transactions*0.12 à partir de 5‘000 transactions*0.11 à partir de 10‘000 transactions*0.10 à partir de 15‘000 transactions*0.09 * frais par transaction Frais en CHF, hors TVA. Sur demande, nous mettons aussi en place des solutions personnalisées pour par ex. des systèmes en ligne ou des procédures fulfilment. Communication avec le système de l'agence de voyages = transmission cryptée/sécurisée DatatransUmbrella PCI-Proxy Frais de transaction jusqu'à 2‘000 à partir de 2‘000 à partir de 3'000 à partir de 5'000 à partir de 7'500 à partir de 10‘000 à partir de 12’500 0.00 975.00 200.00 Umbrella Organisation AG Binzstrasse 33 CH-8620 Wetzikon Phone: E-mail: Web: +41 (0)44 933 53 90 [email protected] www.umbrella.ch Aliasing/de-aliasing des numéros de carte de crédit Avant: sans PCI DSS Après: avec PCI DSS Flux des données d'un paiement BSP (y compris interface Airplus/BTA) incorporant la norme PCI DSS Umbrella Organisation AG Binzstrasse 33 | CH-8620 Wetzikon Phone: +41 (0)44 933 53 90 E-mail: [email protected]