Partager
Si vous avez passé votre enfance dans les années 90, vous vous souvenez sans doute que le magasin, l'épicerie ou le kiosque à journaux du coin n'acceptait que les paiements par chèque ou en espèces, vous remettait des reçus papier (uniquement sur demande) et utilisait des stylos spéciaux pour détecter les faux billets.
Le monde a quelque peu changé depuis l'époque où la signature manuscrite était le summum de la protection contre les risques. Aujourd'hui, les outils de gestion des risques évoluent constamment pour identifier les nouveaux types de fraude et lutter contre les attaques qui comprometent l'intégrité des données.
Le cryptage est désormais une obligation légale. Le chiffrement P2PE a été développé en 2012 : depuis, le domaine des transactions a encore évolué, tout comme le fonctionnement de la chaîne de valeur du paiement.
Ces changements offrent aux retailers un moyen plus simple de chiffrer les données de paiement tout en respectant leurs obligations de conformité PCI. Examinons donc de plus près notre chiffrement E2EE, le P2PE et ce qui les différencie.
Les bases du chiffrement E2EE et P2PE
Le chiffrement de bout en bout E2EE est un processus qui permet de crypter les données de paiement tout au long du processus de paiement. Adyen utilise ce système par défaut pour protéger les paiements en magasin. Avec notre chiffrement E2EE, les données du porteur de carte ne quittent jamais l'environnement d'Adyen, ce qui signifie qu'à partir du moment où la carte est insérée ou posée sur le terminal de paiement, les données du porteur de la carte sont chiffrées par Adyen, qui reste le seul dépositaire. Puisque nous gérons l'ensemble de la chaîne de valeur du paiement, cela nous permet de mieux protéger vos données et de vous fournir un niveau de fiabilité plus élevé quant à l'inviolabilité des données du porteur de carte.
Le chiffrement P2PE est un type de cryptage qui a été développé par le Conseil des normes de sécurité PCI. Il protège les terminaux et les transactions par carte contre la falsification des appareils et la violation des données. Nous vous en disons davantage sur le chiffrement P2PE dans cet article
Adyen propose ces deux types de cryptage.
Quelles sont les différences ?
Il existe trois éléments clés qui distinguent notre chiffrement E2EE du chiffrement P2PE :
Un seul interlocuteur
L'utilisation du chiffrement E2EE signifie que nous sommes votre seul partenaire de paiement. Adyen est à la fois votre gateway, votre processeur et votre acquéreur. Avec le chiffrement P2PE, le cryptage est souvent pris en charge par différents fournisseurs.
Le retailer doit prouver à son acquéreur qu'il traite les paiements en ligne et en magasin de manière sécurisée. Comme nous endossons le rôle d'acquéreur pour le compte de nos retailers, ces derniers sont tenus de nous transmettre un rapport sur leur conformité PCI par le biais d'un questionnaire d'auto-évaluation (en anglais, Self-Assessment Questionnaire, ou SAQ).
Le questionnaire d'auto-évaluation (SAQ)
Pour assurer leur conformité PCI, les entreprises doivent remplir un questionnaire d'auto-évaluation, ou SAQ.
Pour le chiffrement E2EE
En utilisant notre chiffrement E2EE, il vous suffit de renseigner le questionnaire B-IP, ce qui est relativement simple. En tant qu'acquéreur, nous vous demandons de remplir uniquement deux conditions et de répondre à 22 questions simples.
Voici quelques exemples de questions :
- La marque et le modèle du terminal
- L'emplacement du terminal (par exemple, l'adresse du site ou des magasins où se situe le terminal)
- Le numéro de série du terminal ou tout autre identifiant unique
Pour le chiffrement P2PE
Les entreprises doivent remplir un questionnaire différent. Il comporte trois conditions et 35 questions.
Voici quelques exemples de questions :
- La quantité de données stockées et le délai de conservation des données sont-ils limités aux obligations légales, réglementaires et/ou commerciales ? (Examiner les politiques et procédures de conservation et d'élimination des données. Interroger le personnel (b) Existe-t-il des processus définis pour la sécurité)
- Un processus trimestriel est-il en place pour l'identification et la suppression sécurisée des données de titulaires de carte stockées excédant les conditions de conservation définies ?
- Tous les supports sont-ils physiquement sécurisés (entre autres, ordinateurs, supports électroniques amovibles, réseaux, reçus et rapports sur papier et fax) ?
La sécurité physique des terminaux de paiement
Le chiffrement P2PE exige de suivre les étapes de vérification indiquées dans le Manuel d'instructions P2PE (aussi connu sous le nom de PIM). Ce manuel est fourni aux retailers par leur prestataire de solution P2PE, pour les aider à respecter la conformité PCI :
La prise en charge des terminaux par Adyen offre le même niveau de sécurité, que le retailer choisisse ou non d'utiliser le chiffrement P2PE. Avec le chiffrement E2EE, vous pouvez ignorer les exigences décrites précédemment. Vous n'aurez qu'à réceptionner la boîte scellée et inviolable dans laquelle nous envoyons nos terminaux.
Avec le chiffrement P2PE, le personnel doit enregistrer ces actions avec précision, conformément au manuel d'instructions PIM. Ensuite, le PCI SSC exige de l'acquéreur qu'il procède à l'audit annuel de ces registres. Les entreprises passent parfois à côté de ces critères lorsqu'elles cherchent à respecter la norme PCI.
Quelle solution convient à mon entreprise ?
Cela dépend du niveau de sécurité dont vous avez besoin et de la manière dont votre entreprise gère vos ressources.
E2EE
Nous pensons qu'une bonne sécurité des données est possible sans aucun travail supplémentaire. C'est pourquoi nous avons conçu une solution de paiement E2EE qui permet de garantir une sécurité optimale des données.
Pour les entreprises plus agiles et décentralisées, notre chiffrement E2EE pourrait s'avérer plus pratique et efficace, notamment en cas de franchises ou d'expansion avec des équipes réduites et des désirs de développement rapide.
P2PE
Les grandes entreprises qui disposent de ressources plus importantes et qui souhaitent à tout prix éviter les risques préfèrent la solution P2PE, car elle ajoute un niveau de contrôle supplémentaire lors de la manipulation physique des terminaux.
Ces entreprises sont plus disposées à payer ce niveau de sécurité complémentaire (coût par terminal). Elles consacreront également plus de temps et de ressources humaines au maintien des instructions du PIM.
Si vous disposez du chiffrement E2EE, pourquoi Adyen propose-t-il le P2PE ?
Nous développons des solutions pour tous nos clients (et non pas pour un seul). S'il existe une solution sûre, validée et digne de confiance, nous voulons être en mesure de vous la proposer. En utilisant le chiffrement P2PE avec Adyen, vous continuez à collaborer avec un seul partenaire.
Si vous avez des questions sur le chiffrement E2EE ou P2PE, ou au sujet desrisques, n'hésitez pas à nous contacter.
Articles connexes
Inscrivez-vous à la newsletter d'Adyen
Recevez nos actualités par mail
Je confirme avoir bien pris connaissance de la Politique de Confidentialité d'Adyen et accepte que mes données soient utilisées conformément à celle-ci.