Logo

Site non disponible sur ce navigateur

Afin de bénéficier d'une expérience optimale nous vous invitons à consulter le site sur Chrome, Edge, Safari ou Mozilla Firefox.

adnews

Stockage de données cartes

  • First Data vient de permettre aux commerçants américains de disposer d’une nouvelle solution de sécurisation des données cartes, TransArmor. Selon First Data, cette solution combine tokenisation et chiffrement, et permet donc aux commerçants de mieux sécuriser et gérer les données cartes. First Data s’attend à ce qu’environ 100 000 commerçants se tournent vers ce nouveau produit d’ici la fin de l’année.
  • La sécurisation des données bancaires chez les commerçants fait aujourd’hui débat. Cette solution devrait contribuer au respect des prérequis en matière de stockage de données sensibles qui doivent en effet bénéficier d’un traitement particulier conformément aux recommandations de la norme PCI-DSS. Par exemple, si elles sont stockées avec le PAN les informations telles que le nom du titulaire ou la date d’expiration de la carte doivent être protégées.
  • Cependant, il faut préciser que l’application de la norme PCI-DSS est moins contraignante sur un token que sur les données cartes chiffrées, ce qui peut expliquer que son usage est de plus en plus répandu. Cet usage est critiqué par certains acteurs qui considèrent qu’une clé de chiffrement correctement utilisée est plus facile à protéger et moins vulnérable qu’un alias (token).
  • First Data a réalisé des tests en juin 2010 de manière à évaluer la solution TransArmor sur différents TPE. Au cours de ce pilote, plus de 150 commerçants ont procédé à des transactions par carte, afin de pouvoir évaluer le temps de latence (moins d’un dixième de seconde par transaction en moyenne), et la facilité de mise en œuvre du point de vue du commerçant (tous se servaient de terminaux de paiements pour les besoins du test).
  • Rappelons que le token ne laisse paraître que les quatre derniers chiffres du PAN. Le reste du token est constitué de caractères alphanumériques représentatifs du porteur ou des données propres à la transaction en cours. Le numéro de carte n’est utilisé que lorsque le processus d’autorisation de la transaction est initié. Le token est alors retourné au demandeur en lieu et place du numéro de carte accompagné d’une notification de rejet ou d’autorisation.