« Je suis un client régulier de plusieurs boutiques en ligne et je veux m’assurer que les informations de ma carte bancaire ne seront pas volées ou dupliquées. »

Votre numéro de compte (PAN) et les autres informations sensibles de vos cartes doivent être protégés.

« Évidemment, et comment je fais ça? »

  • Et bien, cela doit être pris en charge par le commerçant lui-même grâce à un outil de tokénisation des cartes. Ce système vous permet de remplacer les données sensibles par des données non sensibles, appelées tokens.
  • « Et comment cela fonctionne? »
  • Le système de tokénisation reçoit les données sensibles. Ces données sont stockées de manière centralisées et protégées par un cryptage renforcé. Ensuite, le système de tokénisation génère un token unique et l’associe avec les données précédemment stockées. Enfin, le token est placé dans le flux opérationnel de l’application et remplace les données sensibles dans toutes les opérations.

« Intéressant! »

Continuez votre lecture pour comprendre comment les entreprises sécurisent au maximum leurs transactions par carte. On y va?

Le token sur des cartes – qu’est-ce que c’est?

Dans l’écosystème des paiements, un token est une ressource numérique qui remplace les données sensibles. Il est synonyme de confiance et de sécurité. Il s’agit d’une sorte de substitut à vos données sensibles pour garantir leur protection pendant les transactions.

Il fait partie du processus de tokénisation des cartes, qui consiste à convertir les données des cartes de vos clients en jetons cryptés. Il s’applique à la sécurité des données et remplace un élément de données sensible avec un équivalent non sensible, appelé token. Il n’a aucune signification ou valeur extrinsèque.

La procédure est la suivante:

  • Le système reçoit les données confidentielles. Selon les interfaces, les données sont extraites, importées ou saisies par un utilisateur.
  • Les données sensibles sont remplacées par un token ou un code à cryptage renforcé. Autrement dit, le numéro de compte, ou toute autre donnée, n’est pas stocké, mais remplacé par celui-ci. Les données réelles du client sont uniquement disponibles pour la banque; ce que nous recevons de la part de la banque est un token. Nous le stockons et il nous permet de rendre l’expérience de paiement du client plus rapide et plus sécurisée.
  • Les token est unique et associé avec les données sensibles précédemment stockées. Il servira d’alias aux données réelles.
  • Le token est placé dans le flux opérationnel et remplace les informations sensibles qu’il représente dans toutes les transactions.

En trois mots, le processus consiste à approvisionner (le client possède un token lié à son PAN ou Numéro de Compte Personnel), valider (le token est envoyé au réseau de la carte de crédit pour effectuer la transaction), et autoriser (lorsque la validation de l’opération est reçue, le réseau tokénise les données et envoie l’autorisation au vendeur).

Le système de tokénisation permet un cryptage sécurisé des informations des cartes de vos clients, et une expérience de paiement en ligne encore plus rapide, un gain de temps lors de la réception des paiements et le règlement des paiements en un seul clic.

Acheter en toute sécurité n’a jamais été aussi simple!

Tokenization et PCI DSS

Vous recherchez un maximum de sécurité pour vos paiements ou vous souhaitez juste améliorer l’expérience de vos clients? Dans ce cas, vous devriez penser à inclure la tokénisation des cartes dans votre processus de paiement. La gestion et le stockage des informations sensibles est un sujet de préoccupation majeur pour toutes les entreprises d’aujourd’hui.

C’est la raison pour laquelle la règlementation PCI DSS a été créée, qui est chargée de règlementer la gestion et le stockage des données associées aux cartes de paiement. Cette règlementation comprend les techniques de tokénisation dans les méthodes de protection des PAN, qui peuvent être protégés avec un token associé selon des schémas différents:

  • Un remplacement complet avec une série de chiffres et de lettres. Le token peut avoir un format différent de celui des données qu’il remplace et est généralement le plus difficile à gérer car il nécessite quelques modifications des bases de données associées.
  • Un remplacement avec un token du même format et de la même longueur. Il a un impact minime sur les systèmes associés.
  • Un remplacement partiel, en conservant la première et la dernière position. Les données générales sont remplacées par un token. Une technique de différenciation entre le PAN et le token est nécessaire pour éviter que les données ne soient contaminées dans ce modèle.

Cependant, la tokénisation n’est pas la seule alternative à la protection des données, car l’écosystème PCI DSS établit différentes stratégies pour protéger le PAN lorsqu’il doit être stocké. Ces méthodes sont les suivantes: la tokénisation, la cryptographie renforcée, la troncature, et les valeurs de hachage à sens unique.

La norme PCI DSS définit son champ d’application comme suit: « Le numéro de compte primaire est le facteur déterminant pour l’applicabilité des conditions de la PCI DSS, qui s’appliquent si vous stockez, traitez, ou transmettez un numéro de compte primaire (PAN). Si un PAN n’est pas stocké, traité, ou transmis, les conditions de la norme PCI DSS ne s’appliquent pas … »

Quand dois-je procéder à la tokénisation et comment me conformer à la règlementation?

Il faut garder à l’esprit qu’un token n’est un PAN, mais un substitut de ce dernier. Par conséquent, les exigences de la norme PCI DSS ne s’appliquent pas lorsqu’il est stocké, traité ou transmis. Les procédures commerciales par lesquelles un token transite ne sont pas soumises au respect de cette norme. En revanche, les systèmes qui interagissent avec les données des cartes de paiement rentrent dans le cadre de cette conformité. Quelles sont les conditions qui doivent être respectées?

  1. Le système de tokénisation utilisé ne doit fournir le numéro à aucun réseau ou utilisateur en dehors du cadre de conformité.
  2. Le token de la carte doit utiliser des algorithmes de cryptograhie renforcée.
  3. L’outil de tokénisation doit mettre en œuvre des contrôles d’accès et des mesures d’authentification.
  4. Tous les composants du système de tokénisation doivent être situés sur un réseau interne sécurisé.

Vous comprenez en quoi consiste la tokénisation? Savez-vous en quoi consiste le token d’une carte? Avez-vous des questions sur son fonctionnement? Comment s’intègre-t-il à votre activité?

Chez PayXpert, nous répondons à toutes vos questions.