Acceptation mobile : lignes directrices PCI pour les encaissements mobiles

• Le PCI-SSC annonce la parution des PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users, lignes directrices à l’attention des commerçants souhaitant accepter des paiements mobiles.

• Ce document à visée « éducative » les informe des impératifs et risques liés à la protection des données cartes dans le contexte de leur acceptation en situation de mobilité (entrée, stockage et traitement sécurisé).

• Le Conseil recommande notamment de chiffrer les informations clients préalablement à leur entrée dans le processus transactionnel. Sont également couvertes les mesures de sécurité physique et logique requises et les mesures de sécurité applicatives (matériel, logiciel, usage et interactions clients).

• Ces « Guidelines » s’ajoutent aux recommandations publiées en septembre 2012 à l’attention des éditeurs et développeurs d’applications de m-paiement.

Source : Communiqué de presse

• Ce document paraît alors que, sur le marché de l’acceptation mobile, de nouvelles initiatives viennent en ce début d’année compléter une offre pléthorique : arrivée de PayPal Here sur le marché européen, lecteurs conformes EMV PIN d’iZettle, etc. Juniper Research estime d’ailleurs que les transactions mobiles devraient représenter près d’1,3 milliard de dollars d’ici 2015 au niveau mondial.

• Parmi les facteurs de risque, le PCI-SSC liste par exemple la diversité des usages des outils mobiles et l’éventuelle présence d’applications tierces accédant aux données stockées ou en cours de traitement.

• A défaut de pouvoir remplir ces objectifs de sécurité, le Conseil préconise l’adoption d’outils conformes PCI Point-to-Point Encryption (PCI-P2PE).

• Enfin, parallèlement à ces recommandations, un guide complémentaire traitant du stockage sécurisé des informations sur des serveurs distants, PCI-DSS Cloud Computing Guidelines – Information Supplement, vient également d’être publié.