(critères de forme)
Le respect du format de réponse ci-dessous est requis pour permettre à la Banque de France d’obtenir des réponses harmonisées facilement exploitables. Ce respect est noté.
Format de réponse : l’établissement a parfaitement suivi le guide de remplissage et a rempli le tableau de reporting.
Pas de réponse
|
|
|
Commentaire sur l’évaluation :
|
Incorrect
|
|
Incomplet
|
|
Correcte
|
|
Critères d’évaluation :
le tableau de reporting a été complété par l’établissement ;
le tableau de reporting n’est pas suivi par l’établissement pour des raisons internes, qu’il a expressément communiquées.
|
Tableau de correspondance
|
Pas de réponse
|
Pas d’information concernant cet établissement.
|
Incorrect
|
Aucun des critères d’appréciation n’est satisfait.
|
Incomplet
|
Satisfaction partielle à un des deux critères (par ex., tableau rempli partiellement ou pas rempli pour l’ensemble des moyens de paiement)
|
Correcte
|
Satisfaction aux critères a ou b sans restriction.
|
Appendice B
Exemples de recommandations
Dans le cadre de l’annexe sur les moyens de paiement prévu à l’article 262 de l’arrêté du 3 novembre 2014, l’établissement indique s’il a pris en compte les recommandations liées à la sécurité des moyens de paiement, émises par des organismes externes. Une liste non exhaustive de ces recommandations est reprise ci�dessous :
Les recommandations émises par le Forum européen sur la sécurité des paiements de détail (SecuRe Pay) :
SecuRe Pay a publié son premier rapport sur la sécurité des opérations par Internet le 31 janvier 2013. Ce rapport contient de nombreuses recommandations et bonnes pratiques, dont la mise en œuvre devait intervenir au plus tard au 1er février 2015.
L’intégralité des recommandations est disponible sous le lien suivant :
http://www.ecb.int/pub/pdf/other/recommendationssecurityinternetpaymentsoutcomeofpcfinalversionafterpc201301en.pdf
Les recommandations sur la gouvernance et l’analyse de risques :
rédaction d’une politique de sécurité, complète, documentée et régulièrement mise à jour ;
analyse de risque sur les opérations de paiement par Internet, rédaction d’une procédure de gestion du changement et de gestion des incidents ;
procédure de reporting des incidents au management et aux autorités compétentes, contrôle des conditions dans lesquelles les commerçants gèrent les données sensibles ;
mise en place de mesures visant à réduire les risques identifiés, dans le respect de principes de sécurité tels que le « moindre privilège », utilisant des technologies à l’état de l’art et permettant d’assurer une défense en profondeur des systèmes ;
procédure de continuité d’activité, traçabilité des opérations.
Les recommandations sur l’identification du client :
mise en œuvre de procédures de connaissance du client, également présentée sous l’abréviation anglophone KYC (Know Your Customer), information du client sur la sécurité des opérations et les procédures à suivre en cas d’incident.
Les recommandations sur l’authentification renforcée du client :
authentification renforcée du client lors du passage d’ordre de virement (sauf si le destinataire a été préalablement enregistré selon la même procédure, en cas de virement de compte à compte ou de virement de faible montant ; les virements au sein du même prestataire de service de paiement doivent faire l’objet d’une analyse de risque) ;
authentification renforcée du client lors de toute modification de données sensibles (dont celles utilisées pour réaliser cette authentification) ;
authentification renforcée du client pour les paiements par carte les plus risqués, y compris initiés via des wallets ;
procédures sécurisées d’enrôlement des clients.
Les recommandations sur la gestion des sessions :
définition de règles relatives aux accès et à la durée des sessions ;
monitoring des transactions, mise en place de systèmes de détection de la fraude ;
protection des données sensibles.
Les recommandations sur la communication envers les clients :
mise en place de canaux sécurisés pour communiquer avec les clients, si nécessaire ;
procédures d’assistance aux clients ;
fixation de limites pour les opérations sur Internet, possibilité pour les clients de désactiver la fonctionnalité de paiement en ligne ;
possibilité pour les clients de vérifier la bonne exécution de la transaction, fourniture de relevés accessibles dans un environnement sécurisé.
Les orientations émises par l’Autorité Bancaire Européenne (ABE)
L’ABE a publié le 19 décembre 2014 ses orientations relatives à la sécurité des paiements sur internet, qui définissent des exigences minimales communes pour les services de paiement sur Internet, et dont l’entrée en vigueur était fixée au 1er août 2015. Ces orientations font écho aux recommandations émises par le forum SecuRe Pay.
L’intégralité de ces orientations est disponible sous le lien suivant :
https://www.eba.europa.eu/documents/10180/1004450/EBA_2015_FR+Guidelines+on+Internet+Payments.pdf/
Les orientations sur la gouvernance et l’analyse de risques :
rédaction d’une politique de sécurité, complète, documentée et régulièrement mise à jour ;
analyse de risque sur les opérations de paiement par Internet, rédaction d’une procédure de gestion du changement et de gestion des incidents ;
procédure de reporting des incidents au management et aux autorités compétentes, contrôle des conditions dans lesquelles les commerçants gèrent les données sensibles ;
mise en place de mesures visant à atténuer les risques identifiés et permettant d’assurer une défense en profondeur des systèmes ;
mise en place de systèmes permettant d’assurer la traçabilité complète des opérations et de la cinématique du mandat électronique.
Les orientations sur les mesures de contrôle et de sécurité :
mise en œuvre de procédures de connaissance du client, également présentée sous l’abréviation anglophone KYC (Know Your Customer), information du client sur la sécurité des opérations ;
recours à l’authentification forte du client lors de l’initiation de paiements sur Internet et sur l’accès aux données sensibles de paiement ;
définition de règles relatives aux accès et à la durée des accès aux services de paiement ;
sécurisation de la fourniture des outils, logiciels et données d’authentification au client ;
mise en place de dispositifs de suivi des opérations et de détection des tentatives de fraude ;
protection des données sensibles de paiement stockées, traitées ou transmises.
Les orientations relatives à la sensibilisation du client et à la communication :
procédures d’assistance aux clients ;
fixation de limites pour les opérations sur Internet, possibilité pour les clients de désactiver la fonctionnalité de paiement en ligne ;
possibilité pour les clients de vérifier la bonne exécution de la transaction, fourniture de relevés accessibles dans un environnement sécurisé.
Les cadres de surveillance de l’Eurosystème pour les instruments de paiement
Ces cadres couvrent le virement, le prélèvement et la carte de paiement et ont été mises à jour au regard des recommandations SecuRe Pay. Ils sont respectivement accessibles en ligne sous les liens suivants :
http://www.ecb.europa.eu/pub/pdf/other/oversightframeworkcredittransferschemes2010en.pdf
http://www.ecb.europa.eu/pub/pdf/other/oversightframeworkdirectdebitschemes2010en.pdf
http://www.ecb.europa.eu/pub/pdf/other/oversightfwcardpaymentsss200801en.pdf
Les recommandations de l’Observatoire de la sécurité des cartes de paiement
L’Observatoire de la sécurité des cartes de paiement est une instance destinée à favoriser l’échange d’informations et la concertation entre toutes les parties concernées par le bon fonctionnement de la sécurité des systèmes de paiement par carte. Il émet chaque année des recommandations visant à renforcer cette dernière.
Paiements par téléphone mobile et cartes sans contact :
mise en place de mesures permettant, lorsque cela est nécessaire, de s’assurer du consentement du porteur. Par exemple, par la mise à disposition de moyens simples pour activer et désactiver ces nouveaux modes d’initiation, ou pour valider toute transaction ;
mise en place d’analyses de risques et d’études sécuritaires avant tout déploiement à grande échelle ;
pour les paiements par téléphone mobile, fourniture d’un code personnel de paiement différent du code PIN de la carte SIM, ainsi que du code confidentiel de la carte de paiement de l’utilisateur ; lorsque ce code personnel est modifiable par l’utilisateur, l’émetteur bancaire doit lui recommander d’en utiliser un différent des autres codes en sa possession ;
les acteurs impliqués dans l’ensemble des opérations liées au paiement sans contact par téléphone mobile, doivent mettre en œuvre des mesures de protection cryptographiques garantissant l’intégrité et la confidentialité des données échangées entre les systèmes.
Sécurité des paiements à distance :
renforcement des méthodes de sécurisation, afin de porter la sécurité des paiements à distance à un niveau équivalent à celui des paiements de proximité et sur automate.
Exemple : privilégier des méthodes de paiement en vente à distance permettant une authentification forte du porteur afin de permettre au commerçant d’être assuré de l’authenticité de la carte et du porteur, ainsi que du consentement de celui-ci.
faciliter l’usage des solutions techniques déjà disponibles (code à usage unique, lecteur autonome de carte EMV…), en maîtrisant le coût de leur déploiement et en s’assurant que leur diffusion s’accompagne d’une information et d’une éducation du porteur.
Usage de la biométrie comme facteur d’authentification lors de paiements par carte :
nécessité d’une analyse des risques liés à l’usage de l’authentification biométrique afin que le niveau de protection des solutions mises en œuvre soit au moins équivalent à celui offert par les techniques déjà en place (code confidentiel et carte à puce pour le paiement de proximité, code non rejouable pour le paiement à distance).
Effet du « co-marquage » sur la sécurité des cartes de paiement :
pour toute nouvelle carte « co-marquée », l’établissement émetteur veille à l’application complète des mesures de sécurité existantes dans l’environnement des cartes de paiement pour le recueil, le stockage et la gestion des données sensibles ;
dans le cas de co-existence d’applications, les émetteurs choisissent des cartes répondant à un niveau éprouvé et reconnu de protection de l’application de paiement.
Mesures de sécurité PCI :
adoption et mise en place des mesures de sécurité PCI par l’ensemble du processus d’acceptation et d’acquisition.
Conseils de prudence à l’usage des porteurs :
les conseils de prudence publiés par l’Observatoire doivent faire l’objet d’une communication aux porteurs de cartes, dans le but de les informer sur les bonnes pratiques à adopter et les risques auxquels ils sont confrontés.
Cartes prépayées :
la distribution des cartes prépayées doit s’accompagner de mesures visant à protéger les consommateurs, notamment en les informant sur les modes d’utilisation de ces instruments et en assurant la transparence tarifaire ;
ces cartes présentent un profil de risques similaire à celui des cartes de paiement classiques et doivent donc être soumises aux mêmes mesures de sécurité, tant pour les transactions de proximité que pour les transactions à distance ;
les cartes prépayées se caractérisent en outre par des risques propres liés au processus de rechargement et au mode de distribution. Elles doivent prévoir des dispositifs de sécurité adaptés afin de s’en prémunir.
Mesures de sécurité appliquées aux dispositifs d’émission immédiate de cartes en agence ou en magasin (« Instant issuing ») :
mise en place d’une analyse de risques et ajustement permanent du niveau de sécurité de ces dispositifs.
Les recommandations émises par la Banque de France
La Banque de France a, quant à elle, émis des recommandations concernant la sécurité de la banque en ligne et des paiements par carte en ligne :
la sécurité de la banque en ligne :
mise en œuvre de solutions d’authentification « non rejouable », généralisées à l’ensemble de la clientèle utilisant des services de banque en ligne.
la sécurité des paiements par carte en ligne :
mise en œuvre de solutions d’authentification « non rejouable » du porteur de la carte pour tout achat en ligne.
Annexe 1
|
