Logo

Site non disponible sur ce navigateur

Afin de bénéficier d'une expérience optimale nous vous invitons à consulter le site sur Chrome, Edge, Safari ou Mozilla Firefox.

adnews

Données cartes : Visa plébiscite le chiffrement

  • Visa prévoit le lancement de Visa Merchant Data Secure with Point-to-Point Encryption, service visant à aider les acquéreurs et commerçants à garantir la sécurité des données cartes de leurs clients. La suite devrait être rendue disponible début 2013. Visa travaille actuellement à la mise en place de spécifications propres à son intégration dans les systèmes existants aux points de vente comme chez les processeurs.
  • Chiffrées dès leur entrée, les informations (dont le PAN, le CVx – qu’il est interdit de stocker – et la date d’expiration) ne pourraient être compromises sur leurs lieux de stockage et seraient inutilisable si récupérées au cours de leur acheminement.
  • Côté commerçants, l’impact sur l’existant serait minime (si conforme PCI). Cet outil de chiffrement de point à point se base sur des normes d’usage chez Visa pour le chiffrement des PIN (Triple Data Encryption Standard et Derived Unique Key per Transaction).
  • Visa devrait publier des spécifications ainsi qu’un guide de mise en œuvre dédiés dans les prochains mois.
Source : Communiqué de presse de Visa
  • Cet outil participe d’une stratégie globale portée par le réseau de cartes qui souhaite limiter la collecte des données bancaires dans les environnements de paiement (et proscrire leur stockage en clair) ; il s’ajoute aux efforts fournis pour promouvoir et mettre en œuvre la norme EMV outre-Atlantique.
  • En 2009, Visa publiait un ensemble de Bonnes Pratiques, auxquelles cette suite répond. Le réseau explique par ailleurs que les exigences du PCI-SCC listées dans ses Point-to-Point Encryption Solution Requirements (version 1.1, mars 2012) sont bien sûr prises en compte et susceptibles de réduire les efforts (et le coût) de mise en conformité PCI-DSS. Rappelons que le PCI-SCC P2PE Solution Requirements précise qu’une solution validée contient a minima : un TPE conforme PCI PTS intégré dans une solution P2PE, un environnement P2PE dans lequel toutes les données sont chiffrées dès leur entrée et la gestion par un fournisseur de solution approuvé de toutes les opérations liées à ces données.
  • Visa explique aussi que les commerçants pourront opter soit pour l’intégralité de la solution soit pour certaines options, en complément des produits souscrits chez leur processeur habituel.