Partager
En 2011, une entreprise de référence dans l’univers du gaming a été victime d'une attaque de grande ampleur. Les noms, les adresses et les données de paiement de 77 millions d'utilisateurs ont été compromises. Cette attaque a eu des conséquences désastreuses sur la réputation de l'entreprise et a ébranlé la confiance des joueurs du monde entier. Elle a également incité le secteur à se pencher sérieusement sur le domaine des paiements, non seulement sur les transactions en ligne, mais aussi sur la protection des paiements par carte en magasin.
Cette réflexion a abouti à l'introduction d'une norme PCI P2PE par le Conseil des normes de sécurité PCI.
Les entreprises ont tardé à adopter la nouvelle solution P2PE, et, en 2013, un géant américain du retail a été victime d'une fraude gigantesque en boutique. Cette attaque a entraîné le vol des données de 70 millions de clients.
Aujourd'hui, de plus en plus d'enseignes et de prestataires de paiement (PSP) adoptent volontiers le chiffrement P2PE pour protéger les données des porteurs de carte et rassurer aussi bien les entreprises que les clients. C'est également la raison pour laquelle nous avons développé notre propre solution de chiffrement de bout en bout (E2EE).
Nous profitons de cet article pour vous rappeler que nous sommes bien certifiés P2PE, vous expliquer ce que cela signifie et vous présenter les avantages et les enjeux de cette solution. Cet article est truffé d'acronymes, alors accrochez-vous !
Qu'est-ce que le chiffrement bout en bout P2PE (Point-to-Point Encryption) ?
Le chiffrement P2PE protège les données du porteur de carte lors d'une transaction. Il suffit de quelques millisecondes pour que les informations circulent entre le terminal de paiement et l'acquéreur. Dans ce laps de temps, cette solution identifie les informations sensibles de la carte avant de les chiffrer. Ces dernières incluent les données du compte de l'acheteur, telles que le numéro de compte, et les données de suivi. Grâce au chiffrement P2PE, les informations sensibles sont chiffrées dès qu'elles sont reçues par le terminal certifié P2PE.
La solution P2PE offre aux retailers un moyen de réduire la complexité de la conformité PCI. Le PCI est un organisme indépendant qui veille à la sécurité des paiements en ligne et en magasin. De son côté, Adyen offre une solution P2PE certifiée. Penchons-nous maintenant sur les raisons qui pourraient mener les entreprises à adopter cette solution.
Pourquoi les entreprises utilisent-elles le chiffrement bout en bout P2PE ?
Examinons quelques-unes des raisons pour lesquelles de nombreuses entreprises choisissent cette solution :
Les questions de sécurité
En anglais, « P2P » signifie « point-to-point » (« de bout en bout »). Les données sensibles du compte sont protégées dès que la carte de paiement est présentée au terminal de paiement, et ce jusqu'à ce qu'elles parviennent à l'acquéreur. Le « E » de P2PE se réfère à « encryption » (ou « chiffrement » en français), ce qui signifie qu'en cas de tentative de fraude lors la transaction, il n'y aura aucun impact sur le client ni sur ses données.
Répondre plus facilement aux exigences de conformité
Pour assurer leur conformité PCI, les entreprises doivent remplir un questionnaire d'auto-évaluation, ou SAQ (Self Assessment Questionnaire). Un SAQ est une sorte de check-list qui indique à votre acquéreur que vous prenez les mesures de sécurité appropriées pour assurer la sécurité des données et répondre aux exigences de conformité.
Il existe deux types de questionnaire : celui destiné aux entreprises qui ont mis en place le chiffrement P2PE, et celui destiné aux entreprises qui n'ont pas encore adopté cette solution. Cela nous mène à l'un des principaux avantages du chiffrement P2PE.
Vous n'êtes pas client Adyen et n'utilisez pas non plus le chiffrement bout en bout P2PE ?
Le questionnaire destiné aux retailers qui n'ont pas recours à Adyen et n'utilisent pas le chiffrement P2PE peut contenir jusqu'à 12 conditions et comporter jusqu'à 329 questions. Voici quelques exemples de la terminologie que vous trouverez dans ce questionnaire :
- Les fichiers de configuration du routeur sont-ils protégés contre les accès non autorisés et synchronisés ?
- Un inventaire est-il conservé pour les composants du système qui entrent dans le champ d'application de la norme PCI DSS, y compris une liste des composants logiciels et matériels, et une description du fonctionnement/de l’utilisation de chacun ?
- Existe-t-il une politique écrite de contrôle d'accès qui définit les besoins d'accès et les attributions pour chaque individu, y compris la restriction d'accès en fonction des responsabilités, avec une approbation documentée et une description de ce pour quoi ils ont besoin d'accéder ?
Imaginez maintenant que vous deviez répondre à 326 autres questions similaires, et ce tous les 12 mois. Il ne s'agit pas d'une simple tâche que vous pouvez accomplir en prenant un café.
Vous utilisez le chiffrement bout en bout P2PE ?
Si votre entreprise utilise le chiffrement P2PE, il vous suffit de répondre à 35 questions.Vous serez ainsi mieux protégé contre les tentatives de fraude portant sur les cartes de paiement. De même, vos exigences en matière de conformité vous demanderont beaucoup moins de temps.
Le sceau de conformité PCI DSS
Les prestataires de solutions P2PE doivent être validés par le Conseil des normes de sécurité PCI afin de garantir que les normes universelles sont bien respectées. Cela signifie qu'un organisme tiers indépendant certifie que la solution de votre prestataire de paiement est sécurisée.
Voici les types d'entreprises qui, selon nous, bénéficieront immédiatement des effets du chiffrement P2PE
Les entreprises qui se tournent vers une solution P2PE font généralement face aux mêmes difficultés :
Les défis actuels | Les avantages d'une solution P2PE |
|---|---|
Dans les entreprises dont la structure est plus centralisée, les efforts pour conserver la certification P2PE reposent principalement sur les équipes opérationnelles. | Le champ d'application de la conformité PCI étant réduit, vous aurez davantage de temps à consacrer au développement de votre activité. |
Face aux menaces de fraude, les entreprises qui ont besoin d'un contrôle opérationnel total peuvent avoir du mal à former constamment leurs nouveaux employés et à leur faire suivre les procédures de traitement des données appropriées. | En limitant l'exposition des données grâce à des procédures appropriées et à la centralisation des process, cette solution permet de structurer davantage la manière dont le personnel en magasin est censé manipuler les terminaux. |
Les entreprises peu enclines à prendre des risques sont constamment préoccupées par le non-respect des règles et les risques de responsabilité financière. | La solution P2PE est vérifiée de manière indépendante, ce qui réduit le risque de violation des données. |
Les entreprises disposant de systèmes anciens et compliqués ont tendance à moins se concentrer sur la sécurité. | Le chiffrement P2PE introduit une technologie conforme et consolide l'exposition des données. |
Est-ce que la solution P2PE présente des inconvénients ?
Avec tous les avantages que cette solution apporte en matière de sécurité des données, les entreprises doivent également être conscientes de la charge opérationnelle qu'elle peut impliquer. S'il y a bien moins de conditions à remplir en matière de SAQ, à l'inverse, le nombre d'exigences augmente lorsqu'il s'agit de s'assurer que les terminaux de paiement en magasin sont physiquement sécurisés. Cette procédure suit les étapes du manuel d'instructions P2PE, aussi connu sous le nom de PIM. Ce manuel est fourni aux entreprises par leur prestataire de solution P2PE, et ses instructions doivent être suivies à la lettre et correctement mises en place pour répondre aux exigences de conformité PCI.
Le PIM guide les entreprises pour les aider à sécuriser les terminaux de paiement en magasin, et comprend des tâches comme :
- Un contrôle régulier de l'inventaire pour vérifier si les appareils doivent être retirés ou remplacés
- L'installation de caméras de surveillance aux angles adéquats afin de voir les terminaux et avoir la possibilité d'alerter le personnel du magasin en cas d'action frauduleuse
- Des contrôles mensuels sur place effectués par le personnel du magasin pour examiner les appareils et déceler une quelconque trace d'altération
- Veiller à ce que les terminaux soient livrés en magasin dans des boîtes scellées et inviolables, avec un numéro de série envoyé séparément par e-mail
Le retailer doit fournir un dossier entièrement documenté de toutes ces activités. L'acquéreur est alors tenu de procéder à plusieurs audits annuels pour veiller au respect des normes du PIM. À titre d'acquéreur, nous nous en chargeons également pour le compte de nos clients.
Il n'y a pas de bon ou de mauvais choix, mais il appartient à votre entreprise de considérer les avantages du P2PE tout en tenant compte du temps et des ressources qu'elle devra consacrer au suivi du PIM.
Prochaines étapes
De plus en plus, la tokenisation et le cryptage des données sont au centre des conversations. Cet article nous donne donc l'occasion de vous confirmer qu'Adyen est un prestataire de solutions certifiées P2PE, et ce afin de compléter notre solution E2EE.
Si vous souhaitez en savoir plus sur notre solution, n'hésitez pas à nous contacter.
Articles connexes
Inscrivez-vous à la newsletter d'Adyen
Recevez nos actualités par mail
Je confirme avoir bien pris connaissance de la Politique de Confidentialité d'Adyen et accepte que mes données soient utilisées conformément à celle-ci.