Espace membres
CB, système de paiement français
CB, système de paiement par carte, est le leader en France avec plus de 10 milliards de transactions par an. Le système est piloté par le Groupement des Cartes Bancaires CB.

Sécurité des terminaux & automates

Sécurité des terminaux & automates

Les automates et terminaux de paiement répondent à des exigences de standardisation et de sécurité principalement élaborés au niveau international par le PCI-SSC pour les terminaux (Payment Card Industry - Security Standards Council).

 

Cet organisme met à jour et diffuse ses spécifications selon un cycle de 3 ans, au terme duquel une nouvelle version s’impose aux industriels qui souhaitent obtenir la certification "PCI" pour leurs nouveaux modèles de terminaux.

 

A partir des exigences initiales sur la sécurité des données couvertes par PCI-DSS, PCI-SSC a défini en particulier deux référentiels très importants, l’un pour les applications de paiement PA-DSS, l’autre pour le terminal et la protection du code secret PCI- PTS (Pin Transaction Security).

 

En Europe, CB participe activement au groupe de travail EAST (European ATM Security Team) qui se concentre sur les attaques spécifiques aux DAB.

 

PROTECTIONS PHYSIQUES ET LOGIQUES

Chaque type de terminal ou d’automate, possède ses propres référentiels de sécurité. Les protections sont d’abord physiques, avec des dispositifs destinés à rendre extrêmement difficile la copie de la piste magnétique (standards AFAS Anti Fishing-Anti Skimming CB) notamment sur les DAB ou les automates de paiement, ou encore la frappe du code secret (protection visuelle du clavier par un "bouclier" de confidentialité).

 

Elles sont également logiques, en conformité avec le référentiel PCI- PTS et avec des exigences fortes de chiffrement protégeant le code secret, lors de sa frappe au clavier et tout au long du dialogue entre la carte et le terminal.

 

Enfin, les transactions sur les DAB, les automates de paiement et tout particulièrement les DAC (Distributeurs Automatiques de Carburant) font l’objet d’une demande d’autorisation systématique.

 

Les terminaux connectés en mode IP ont fait l’objet d’exigences sécuritaires particulières pour les communications avec les systèmes d’acquisition. Tous les liens entre le terminal et le serveur d’acquisition doivent être chiffrés selon un protocole utilisant de la cryptographie symétrique et des certificats.

 

L’authentification du serveur d’acquisition par le terminal doit utiliser un certificat délivré par une autorité de certification autorisée par le CB.

 

La liste des autorités de certification autorisées est actuellement la suivante :

  • Autorité de certification PayCert : certificats STCA (Secure Transaction Certification Authority)

 

Betatilt