EMVCo prône les mérites de la tokenisation
EMVCo, organisme de normalisation détenu par American Express, Discover, JCB, MasterCard, CUP et Visa, s’attache aujourd’hui à étendre le spectre de ses travaux pour inclure la question de la tokenisation. De nouvelles spécifications englobant divers équipements (mobiles, tablettes, ordinateurs, etc.) seraient en cours de préparation.
Première version attendue dès juin 2014. Dans cet effort, EMVCo peut déjà se reposer sur les travaux menés conjointement par MasterCard, Visa et American Express pour adresser cette même question de tokenisation.
Ce processus vise à protéger les numéros de carte en les remplaçant par des tokens uniques. Ce procédé évite notamment aux commerces de stocker les PAN.
EMVCo souhaite aussi que de nouveaux champs soient ajoutés pour mieux qualifier les transactions
Notre Analyse : Conformité EMV, une urgence
Ces spécifications n’ont pas vocation à se substituer à la documentation DAB*, mais bien à la compléter. La prise en compte des supports mobiles et des transactions à distance illustre les enjeux posés par un écosystème en pleine mutation que les sociétés de normalisation se doivent de qualifier. Les futures spécifications porteront sur les transactions CP et CNP.
Cette annonce intervient peu après la mise au jour de plusieurs affaires de compromissions : cas Target, Neiman Marcus, etc. (Observatoire de décembre 2013). Toujours aux Etats-Unis, une autre attaque s’est d’ailleurs récemment ajoutée à cette liste : les données cartes des clients de plusieurs hôtels (Marriott, Sheraton, Westin, etc.) ont été récupérées entre mars et décembre 2013 du fait de l’exploitation d’une faille chez le mainteneur White Lodging : autant d’incidents qui boostent aujourd’hui les travaux des réseaux de cartes, entre autres. Ils insistent sur la nécessité et l’urgence de la mise en place d’EMV et la tokenisation fait aussi partie de leurs priorités.
Target, pour sa part, investit aussi lourdement dans son programme de mise en conformité EMV et compte sur une migration rapide de tous ses terminaux (et de ses cartes REDcards). Ces changements, attendus d’ici début 2015, représenteraient 100 millions de dollars.