Sécuriser les flux monétiques est une priorité absolue pour tout commerçant. Les données bancaires sont un atout stratégique fort, dont la compromission peut avoir des répercussions graves.

Cet article vous explique les concepts globaux d’une solution P2PE d’un point de vue commerçant.

Qu’est ce que P2PE :

P2PE, Point to Point Encryption, est un référentiel développé par PCI SSC afin de sécuriser, de bout en bout, les données cartes en paiement de proximité.

Il permet de sécuriser les données carte par chiffrement au point d’interaction, c.à.d au moment de la lecture de la carte dans le TPE, et ce jusqu’au déchiffrement dans un environnement sécurisé.

Il s’appuit sur un ensemble d’éxigences de sécurité qui couvrent principalement la cryptographie, la sécurisation physique des TPE et leur logistique.

Il existe deux types de solutions de sécurisation des flux de bout en bout, les solutions dites end to end encruption (E2EE) qui s’appuient sur les mêmes principes cryptographiques que P2PE mais qui ne sont pas en lien avec les normes PCI.

Avantage d’une solution homologuée P2PE :

Les solutions P2PE homologuées et reconnues par PCI SSC et requièrent de suivre les éxigences de certification PCI imposées au fournisseurs de service.

Parmi les avantages d’une solution P2PE :

  • La réduction du périmètre de conformité PCI DSS

Seule une solution P2PE certifiée par PCI permet garantir les niveau de sécurité nécessaires qui permettent de réduire le périmètre de conformité PCI DSS.

Cette réduciton de périmètre permet de passer d’une obligation d’un audit complet par un QSA PCI DSS à un questionnaire SAQ P2PE.

  • Engendrer des économies

Etre “PCI DSS” Compliant est un exercice fastidieux et couteux. Il requiert de répondre un nombre d’éxigences important. Implémenter une solution P2PE, ne dispense pas de la conformité PCI DSS mais permet d’en réduire drastiquement le périmètre

Environ 90% des exigences se retourvent hors de votre pérmètre, ce qui réduit la compléxité de la tache et donc le temps de mise en oeuvre, l’effort et les coûts de mise en conformité et d’évaluation.

En réduisant le risque de compromission des données carte au point d’acceptation, Il est évident que le risque et les conséquences de la fraude se retrouvent amoindris, ce qui peut constituer un argument lors de la négotations de vos coûts d’acquisition.

  • Protéger l’image de marque de l’enseigne

vu les derniers scandales ultra médiatisé, tel que walmart ou sony, ce point parait assez évident. Perdre les données client et surtout les données de paiement peut altérer sérieusement l’image de marque et la confiance des clients en votre commerce.

à un moment ou les commerçants fournissent des efforts considérables pour attirer les clients au points de vente physique, créer de nouvelles experiences, capter les clients et lutter contre l’abandon dû à la VAD, de telles nouvelles ne pourront que compliquer la tâche.

  • Protéger les données des clients porteurs

La perte des données clients, peuvent aboutir à des situations désatreuses pour les victimes.

Le problème le plus évident, est de se faire voler son argent. Cette situation peut durer malgré l’opposition et la réclamation à la banque. Voir son compte bancaire saigner est une situation vraiment traumatisante.

Outre le délestage du compte bancaire, un vol de données de paiement peut conduire au vol d’identité. Cette situation est bien plus dangereuse et traumatisante pour les victimes.

Malgré les implications pécunières, la responsabilité ethique du commerçant est importante face au clients qui font confiance à la marque.

  • Réduire les pertes liées à la fraude

Le plus important impact est sans doute la perte de chiffre d’affaire dû à l’abandon des points de ventes.

Outre la perte du chiffre d’affaire, l’entreprise risque une perte de ressources importantes et stratégiques. Le plus souvent, Suite à une intrusion majeures, l’entreprise se retourve contrainte de se séparer de son CISO, CIO, CEO, etc..

Aussi, selon le préjudice, l’entreprise peut faire face à des frais de justice conséquents et être contrainte de dédomager les personnes ayant subit un préjudice. sans oublier que faire face à un procès n’est jamais positif pour l’image de l’entreprise et conforte sa position négative au regard des clients.

être responsable d’une fraude, étant le maillon faible de la chaîne, expose le commerçant à des amendes sévères par les banques et card Schemes. Les banques peuvent aussi demander le remboursement des frais de ré-emission des cartes potentiellement compromises sur le point de vente.

Quelles limites

Mettre en place une solution P2PE permet de chiffrer les données carte et les empèches de circuler en clair dans l’environnement du marchand. Pour certains commerçants, ne plus avoir accès à ces données limite les capacité du marchand dans l’analyse de ces données à des fins marketing essentiellement.

Cela crée aussi une certaine dépendance au fournisseur de solution et lui donne une certaine ampleur dans la gestion des paiement. Il faudra s’assurer que ce fournisseur est capable de fournir les moyens nécessaires à l’accompagnement et l’assistance tout au long du processus de mise en conformité, et qu’il est capable de répondre à vos besoins actuels et futurs.

Lors de vos appels d’offres liés à la maintenance de vos TPE, s’assurer d’inclure l’éxigence de conformité P2PE, Cela limite aussi le choix de certains fournisseurs, qui doivent être compliant P2PE.

P2PE est une solution entière, il ne s’agit pas simplement de chiffrer les donner au POI mais de mettre en place des procesus et une organisation bien spécifique dans les points de vente. Conduire le changement et assuruer le bon respect des règles est un défis à prendre en compte dès le début du projet.

Que prendre en considération lors de l’implémentation

P2PE n’est pas lié la Tokenisation, Les deux spécifications sont distinctes et contrôlées par des entités différentes, PCI SSC pour P2PE et EMVco pour la tokenisation. Il servent des objectifs différents, P2PE protège les données en transit, alors que la tokenisation protège les données stockées.

La partie operationnelle de P2PE est conséquente, mais il faudra aussi faire attention aux problématiques techiques tel que l’injection des clés, l’intégration dans le logiciel d’encaissement si applicable, etc.

Il est important de travailler avec tous les acteurs de votre organisation et les intégrer dans la démarche au plus tôt pour assurer la réussite de la mise en conformité.

Votre matériel est aussi impacté, s’assurer d’avoir un parc de TPE capable d’assurer le service (PCI PTS, SRED, etc..). Normalement votre fournisseur de solution vous accompagnera dans cette démarche.

Comme pour toute certification, il ne suffit pas d’être compliant P2PE, mais de le prouver. Assurez-vous de bien documenter votre démarche, vos processus et d’avoir les éléments et les preuvens nécessaires.

Le suivi du parc est une tâche ardue. Un outil informatique qui permet de répertorier et suivre le cycle de vie des terminaux est nécessaire, surtout pour les grandes enseignes. S’assurer de mettre en place les outils nécessaires ou que le fournisseur de service les propose pour aider les enseignes est important.

Conclusion

Il est primordial aujourd’hui de mettre en place des solutions robustes de protection des données cartes, étant l’un des moyens de paiement les plus prometteurs, et qui attire l’attention des fraudeurs qui eux deviennent de plus en plus spécialisés.

P2PE est une solution viable pour décharger le commerçant du lourd fardau du transport de ces données et limiter sa responsabilité.

Pour cela, il faudra qu’il respecte un certains nombre de règles strictes et surtout de pouvoir prouver à tout moment qu’il est en conformité.

Leave a Reply

Your email address will not be published. Required fields are marked *