Les numéros de carte de crédit Desjardins des clients des épiceries Métro ne seront plus enregistrés par les caisses enregistreuses lors du paiement, empêchant ainsi ceux qui pourraient accéder illégalement à la caisse de voler des numéros. Une nouvelle technologie codifiera dès la lecture initiale le numéro de la carte.
Les deux entreprises ont annoncé cette innovation mercredi. Le numéro lui-même ne sera donc jamais contenu dans la caisse, qui elle relayera de la même manière à l’institution financière émettrice, en l’occurrence Desjardins, le numéro de carte codifié.
Cette nouvelle solution de chiffrement complet doit protéger les données des cartes de crédit des consommateurs, mais surtout au profit des marchands, car la plupart des émetteurs offre la responsabilité zéro aux détenteurs, qui sont déjà bien protégés, dit Martin Dufort, responsable de la conformité PCI des marchands chez Services de cartes Desjardins.
Il a ajouté que « c’est plus un problème d’industrie qu’on essaye de résoudre », puisqu’il n’y a pas eu depuis 2005 d’incidents majeurs de fraude ou d’interception de numéros de carte de crédit au Canada, à l’exception peut-être de Winners, même s’il y en a eu plusieurs aux États-Unis.
Réduction des coûts de protection
Car actuellement, la présence des numéros de carte des clients à l’intérieur des caisses enregistreuses, réseaux et serveurs informatiques des établissements force les marchands à prendre des mesures de sécurité (segmentation, antivirus, coupe-feu et gestion de mots de passe) pour se conformer aux exigences de sécurité PCI de protection des numéros.
Les commerçants ne veulent plus, selon Martin Dufort, que leurs caisses et réseaux informatiques soient exposés de cette manière aux numéros de carte de crédit. D’où l’idée de Desjardins de procéder par cryptage du numéro de la carte à partir de la lecture jusqu’à la fin de la chaîne de paiement, dit-il.
« Pour les marchands, la solution de chiffrement complet permet de réduire les coûts du respect des normes du Payment Card Industry-Data Security Standard (PCI-DSS) », dit le communiqué de Desjardins. Un système de normes de sécurité élaboré et surveillé par le Conseil des normes de sécurité PCI, créé par les réseaux de paiement Visa, Master Card, etc.
Les normes PCI visent l’ensemble des acteurs manipulant, entreposant ou transmettant des données de titulaires de cartes, principalement des numéros de carte. Elles ont pour objectif d’assurer une protection uniforme des données des titulaires de cartes et ainsi réduire les fraudes potentielles en exigeant à l’ensemble des acteurs d’implanter une série de mesures de protection, a précisé Martin Dufort.
La diminution de 80 à 90% de la portée PCI (ensemble des systèmes exposés à des numéros de carte chez un marchand) par le codage des numéros de carte avant qu’ils n’atteignent la caisse permet aux marchands de réduire de 80 à 90% leurs dépenses de protection et conformité, et de ne se surveiller que la manipulation des cartes et l’implantation de bonnes pratiques, a expliqué Martin Dufort.
« Plus le marchand est exposé à des numéros de carte, plus sa portée PCI est grande, plus ça va lui coûter cher » de se conformer aux normes PCI, a-t-il précisé, ajoutant que c’est le cas surtout pour les entreprises qui ont des centaines d’établissements de commerce.
La nouvelle technologie est disponible pour tous les marchands qui voudraient en profiter. Desjardins dit prévoir implanter cette solution chez plusieurs autres marchands.
Pour consulter l’édition numérique du magazine de juin de Direction informatique, cliquez ici
