—Nouvelle norme du PCI pour stimuler le développement de solutions de
saisie sécurisée du code PIN basée sur logiciel pour les transactions
EMV avec et sans contact sur les Smartphones et autres appareils
commercialisés en série (COTS)—
WAKEFIELD, Massachusetts–(BUSINESS WIRE)–Le Conseil de normes de sécurité du secteur des cartes de paiement (PCI
SSC) a annoncé aujourd’hui une nouvelle norme de sécurité pour la saisie
du code PIN basée sur logiciel, pour les appareils en vente dans le
commerce comme les Smartphones et les tablettes. La norme PCI
Software-Based PIN Entry on COTS (SPoC) Standard fournit les
exigences pour élaborer des solutions sécurisées permettant des
transactions EMV avec et sans contact, avec une saisie du code PIN sur
l’appareil du commerçant en utilisant à la fois une application
sécurisée de saisie du code PIN et un lecteur de carte sécurisé pour
code Pin (SCRP).
« Les terminaux pour les points de vente mobiles (MPOS) sont très
appréciés par les petits commerçants pour leur souplesse et leur
efficacité. Les MPOS leur ont permis de prendre des commandes et
d’accepter des paiements sur une tablette ou un Smartphone, n’importe
quand et n’importe où. Toutefois, certains petits commerçants sur les
marchés exigeant des cartes à puce EMV et une acceptation du code PIN
ont pu trouver prohibitif le coût de l’investissement dans un terminal
de paiement », a déclaré Ron van Wezel, analyste principal d’Aite Group.
« Avec la nouvelle norme de saisie du code PIN, le PCI Council a répondu
au besoin du marché en spécifiant les exigences de sécurité pour
permettre la saisie du code PIN directement sur l’écran tactile du
mobile. Cela signifie que les commerçants peuvent accepter des paiements
avec leur appareil mobile relié à un petit lecteur de carte économique
muni d’une application de saisie du code PIN sécurisée. Les sociétés de
cartes de crédit profiteront toutes du plus grand choix offert pour
l’acceptation des paiements, et cela fera croître le nombre de
transactions électroniques ».
« Le PCI Council crée de longue date des normes visant à protéger le
code PIN en tant que méthode de vérification dans des solutions
matérielles. Les normes actuelles de PCI sur les codes PIN exigent une
protection de la sécurité matérielle du code PIN », a ajouté Troy Leach,
directeur de la technologie de PCI SSC. « Nous construisons désormais
sur cette base une nouvelle norme qui offre une approche alternative de
sécurisation de la saisie du code PIN, en isolant le code PIN des autres
données et en utilisant un nouvel ensemble strict de contrôles de
sécurité qui s’étendent au-delà du matériel lui-même. La norme PCI de
saisie du code PIN basée sur logiciel offre aux fournisseurs de
solutions et aux développeurs d’applications un ensemble d’exigences
minimum de sécurité concernant spécifiquement les transactions avec et
sans contact par cartes à puce (EMV) utilisant une saisie du code PIN
basée sur logiciel ».
Les principes de sécurité clés inclus dans les exigences de sécurité et
de tests de la norme sont :
-
Une surveillance active du service, pour atténuer les menaces
potentielles pour le paiement pouvant se trouver dans le téléphone ou
la tablette ; - L’isolation du code PIN de toute autre donnée sur les comptes ;
-
Assurer la sécurité du logiciel et l’intégrité de l’application de
saisie du code PIN sur l’appareil ; -
Protéger les données du code PIN et du compte à l’aide d’un lecteur de
carte à code PIN sécurisé (SCRP) homologué par le PCI.
Les exigences de sécurité pour la saisie du code PIN basée sur logiciel
dans les appareils du commerce sont à utiliser par les fournisseurs de
solution dans la conception de chaque partie de la solution d’ensemble.
Ces exigences sont maintenant disponibles sur le site Web PCI
SSC .
Les exigences des tests pour la saisie du code PIN basée sur logiciel
pour les appareils du commerce décrivent les procédures de test à
utiliser par les laboratoires pour évaluer les solutions par rapport à
la norme. Celles-ci seront publiées le mois prochain, suivies d’un
programme de soutien qui répertoriera les solutions validées par le PCI,
sur le site de PCI SSC à usage marchand.
Pour plus d’informations sur la nouvelle norme, lire l’article du blog
sur les perspectives du PCI New
PCI Software-Based PIN Entry on COTS Standard.
« Cette norme donne aux fournisseurs de solutions et aux développeurs
d’applications un ensemble d’exigences minimum de sécurité sur la façon
d’accepter en toute sécurité des transactions basées sur un code PIN sur
les appareils du commerce, ainsi que les méthodes pour tester que la
sécurité fonctionne, même si les mises à jour des appareils et des
applications sont fréquentes. Les solutions validées par le PCI
rempliront un ensemble strict d’objectifs en matière de sécurité, testé
par des laboratoires indépendants », a ajouté Leach. « De plus en plus
de commerces acceptent maintenant les paiements avec les smartphones,
tablettes et autres appareils, et plus particulièrement les petits
commerçants. La liste des solutions du PCI SSC sur la saisie du code PIN
basée sur logiciel fournira à ces commerçants une base pour choisir
parmi les solutions de saisie du code PIN évaluées et testées par les
laboratoires de sécurité des paiements, et leurs clients bénéficieront
de la meilleure protection existante de leurs données de paiement ».
À propos du PCI Security Standards Council
Le PCI
Security Standards Council (PCI SSC) mène une action
interprofessionnelle mondiale pour accroître la sécurité des paiements
en créant des normes et des programmes de sécurité des paiements souples
et efficaces ayant pour but d’aider les commerces à détecter, minimiser
et prévenir les failles de sécurité et les cyberattaques. Connectez-vous
avec le PCI SSC sur LinkedIn.
Participez au débat sur Twitter @PCISSC.
Abonnez-vous au blog PCI
Perspectives.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière
être considéré comme officiel. La seule version du communiqué qui fasse
foi est celle du communiqué dans sa langue d’origine. La traduction
devra toujours être confrontée au texte source, qui fera jurisprudence.
Contacts
PCI Security Standards Council
Mark Meissner, +1-202-744-8557
press@pcisecuritystandards.org
Twitter
@PCISSC