Ressources

Guides et rapports

Point-to-Point Encryption ou End-to-End encryption : qu'est-ce qui convient le mieux Ă  mon entreprise ?

Afin de vous aider à prendre la bonne décision, nous allons examiner les différences entre le chiffrement de bout en bout E2EE et P2PE.

1 juillet, 2020
 ·  5 minutes
Motif abstrait avec diverses formes géométriques comme des cercles, des croix et des triangles en bleu et vert.
Guides et rapportsComprendre les paiements

Si vous avez passĂ© votre enfance dans les annĂ©es 90, vous vous souvenez sans doute que le magasin, l'Ă©picerie ou le kiosque Ă  journaux du coin n'acceptait que les paiements par chĂšque ou en espĂšces, vous remettait des reçus papier (uniquement sur demande) et utilisait des stylos spĂ©ciaux pour dĂ©tecter les faux billets.

Le monde a quelque peu changĂ© depuis l'Ă©poque oĂč la signature manuscrite Ă©tait le summum de la protection contre les risques. Aujourd'hui, les outils de gestion des risques Ă©voluent constamment pour identifier les nouveaux types de fraude et lutter contre les attaques qui comprometent l'intĂ©gritĂ© des donnĂ©es.

Le cryptage est dĂ©sormais une obligation lĂ©gale. Le chiffrement P2PE a Ă©tĂ© dĂ©veloppĂ© en 2012 : depuis, le domaine des transactions a encore Ă©voluĂ©, tout comme le fonctionnement de la chaĂźne de valeur du paiement.

Ces changements offrent aux retailers un moyen plus simple de chiffrer les données de paiement tout en respectant leurs obligations de conformité PCI. Examinons donc de plus prÚs notre chiffrement E2EE, le P2PE et ce qui les différencie.

Les bases du chiffrement E2EE et P2PE

Le chiffrement de bout en bout E2EE est un processus qui permet de crypter les donnĂ©es de paiement tout au long du processus de paiement. Adyen utilise ce systĂšme par dĂ©faut pour protĂ©ger les paiements en magasin. Avec notre chiffrement E2EE, les donnĂ©es du porteur de carte ne quittent jamais l'environnement d'Adyen, ce qui signifie qu'Ă  partir du moment oĂč la carte est insĂ©rĂ©e ou posĂ©e sur le terminal de paiement, les donnĂ©es du porteur de la carte sont chiffrĂ©es par Adyen, qui reste le seul dĂ©positaire. Puisque nous gĂ©rons l'ensemble de la chaĂźne de valeur du paiement, cela nous permet de mieux protĂ©ger vos donnĂ©es et de vous fournir un niveau de fiabilitĂ© plus Ă©levĂ© quant Ă  l'inviolabilitĂ© des donnĂ©es du porteur de carte.

Le chiffrement P2PE est un type de cryptage qui a Ă©tĂ© dĂ©veloppĂ© par le Conseil des normes de sĂ©curitĂ© PCI. Il protĂšge les terminaux et les transactions par carte contre la falsification des appareils et la violation des donnĂ©es. Nous vous en disons davantage sur le chiffrement P2PE dans cet article

Adyen propose ces deux types de cryptage.

Quelles sont les différences ?

Il existe trois éléments clés qui distinguent notre chiffrement E2EE du chiffrement P2PE :

Un seul interlocuteur

L'utilisation du chiffrement E2EE signifie que nous sommes votre seul partenaire de paiement. Adyen est à la fois votre gateway, votre processeur et votre acquéreur. Avec le chiffrement P2PE, le cryptage est souvent pris en charge par différents fournisseurs.

Le retailer doit prouver à son acquéreur qu'il traite les paiements en ligne et en magasin de maniÚre sécurisée. Comme nous endossons le rÎle d'acquéreur pour le compte de nos retailers, ces derniers sont tenus de nous transmettre un rapport sur leur conformité PCI par le biais d'un questionnaire d'auto-évaluation (en anglais, Self-Assessment Questionnaire, ou SAQ).

Le questionnaire d'auto-Ă©valuation (SAQ)

Pour assurer leur conformité PCI, les entreprises doivent remplir un questionnaire d'auto-évaluation, ou SAQ.

Pour le chiffrement E2EE

En utilisant notre chiffrement E2EE, il vous suffit de renseigner le questionnaire B-IP, ce qui est relativement simple. En tant qu'acquéreur, nous vous demandons de remplir uniquement deux conditions et de répondre à 22 questions simples.

Voici quelques exemples de questions :

  1. La marque et le modĂšle du terminal
  2. L'emplacement du terminal (par exemple, l'adresse du site ou des magasins oĂč se situe le terminal)
  3. Le numéro de série du terminal ou tout autre identifiant unique

Pour le chiffrement P2PE

Les entreprises doivent remplir un questionnaire différent. Il comporte trois conditions et 35 questions.

Voici quelques exemples de questions :

  1. La quantité de données stockées et le délai de conservation des données sont-ils limités aux obligations légales, réglementaires et/ou commerciales ? (Examiner les politiques et procédures de conservation et d'élimination des données. Interroger le personnel (b) Existe-t-il des processus définis pour la sécurité)
  2. Un processus trimestriel est-il en place pour l'identification et la suppression sécurisée des données de titulaires de carte stockées excédant les conditions de conservation définies ?
  3. Tous les supports sont-ils physiquement sécurisés (entre autres, ordinateurs, supports électroniques amovibles, réseaux, reçus et rapports sur papier et fax) ?

La sécurité physique des terminaux de paiement

Le chiffrement P2PE exige de suivre les Ă©tapes de vĂ©rification indiquĂ©es dans le Manuel d'instructions P2PE (aussi connu sous le nom de PIM). Ce manuel est fourni aux retailers par leur prestataire de solution P2PE, pour les aider Ă  respecter la conformitĂ© PCI :

La prise en charge des terminaux par Adyen offre le mĂȘme niveau de sĂ©curitĂ©, que le retailer choisisse ou non d'utiliser le chiffrement P2PE. Avec le chiffrement E2EE, vous pouvez ignorer les exigences dĂ©crites prĂ©cĂ©demment. Vous n'aurez qu'Ă  rĂ©ceptionner la boĂźte scellĂ©e et inviolable dans laquelle nous envoyons nos terminaux.

Avec le chiffrement P2PE, le personnel doit enregistrer ces actions avec précision, conformément au manuel d'instructions PIM. Ensuite, le PCI SSC exige de l'acquéreur qu'il procÚde à l'audit annuel de ces registres. Les entreprises passent parfois à cÎté de ces critÚres lorsqu'elles cherchent à respecter la norme PCI.

Pour aller plus loin...

RĂ©gulations

Qu'est-ce que le chiffrement bout en bout P2PE (Point-to-Point Encryption) ?

6 Minutes

Quelle solution convient Ă  mon entreprise ?

Cela dépend du niveau de sécurité dont vous avez besoin et de la maniÚre dont votre entreprise gÚre vos ressources.

E2EE

Nous pensons qu'une bonne sĂ©curitĂ© des donnĂ©es est possible sans aucun travail supplĂ©mentaire. C'est pourquoi nous avons conçu une solution de paiement E2EE qui permet de garantir une sĂ©curitĂ© optimale des donnĂ©es.

Pour les entreprises plus agiles et décentralisées, notre chiffrement E2EE pourrait s'avérer plus pratique et efficace, notamment en cas de franchises ou d'expansion avec des équipes réduites et des désirs de développement rapide.

P2PE

Les grandes entreprises qui disposent de ressources plus importantes et qui souhaitent à tout prix éviter les risques préfÚrent la solution P2PE, car elle ajoute un niveau de contrÎle supplémentaire lors de la manipulation physique des terminaux.

Ces entreprises sont plus disposĂ©es Ă  payer ce niveau de sĂ©curitĂ© complĂ©mentaire (coĂ»t par terminal). Elles consacreront Ă©galement plus de temps et de ressources humaines au maintien des instructions du PIM.

Si vous disposez du chiffrement E2EE, pourquoi Adyen propose-t-il le P2PE ?

Nous dĂ©veloppons des solutions pour tous nos clients (et non pas pour un seul). S'il existe une solution sĂ»re, validĂ©e et digne de confiance, nous voulons ĂȘtre en mesure de vous la proposer. En utilisant le chiffrement P2PE avec Adyen, vous continuez Ă  collaborer avec un seul partenaire.

Si vous avez des questions sur le chiffrement E2EE ou P2PE, ou au sujet desrisques, n'hésitez pas à nous contacter.

Envie d'en savoir plus ?

Contactez-nous !

Nous contacter
Guides et rapportsComprendre les paiements

Inscrivez-vous Ă  la newsletter d'Adyen

Recevez nos actualités par mail