Les marchands interdits de terminaux BYOD ou « jailbreakés » pour les paiements

le 18/02/2013, par Jean Pierre Blettner avec IDG News Services, Terminaux et Systèmes, 632 mots

Les mobiles grand public envahissent l'entreprise et bousculent l'instance PCI en charge de la sécurité des terminaux de paiement. Les marchands se voient interdits d'usage de terminaux "jailbreakés" ou de type BYOD.

Les marchands interdits de terminaux BYOD ou « jailbreakés » pour les paiements

Le « PCI Security Standards Council », le conseil en charge des standards de sécurité pour PCI (Payment Card Industry) qui représente en premier lieu Visa et MasterCard, vient de publier un guide pour les marchands qui utilisent des smartphones ou des tablettes pour traiter les paiements de leurs clients.  

Les entreprises qui veulent utiliser des smartphones ou des tablettes grand public comme terminaux de point de vente afin de gérer les paiements par carte bancaire sont informées de ne le faire que lorsque les contrôles, le chiffrement et d'autres mesures de sécurité sont en place.

Le  « PCI Security Standards Council » a publié 27 pages de recommandations (au sein du document "PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users"). Il s'agit de répondre aux situations où les marchands veulent implanter le traitement des paiements dans des smartphones ou des tablettes plutôt que les traditionnels terminaux spécifiques.

Le conseil souligne que les marchands sont responsables de l'application mobile, des processus de back office et de la sécurité du terminal. De même le conseil insiste sur le fait qu'une stratégie de type BYOD (Bring Your Own Device), lorsqu'un employé amène son propre terminal au travail, n'est pas recommandée en tant que bonne pratique.  

Le guide édité par le conseil part du fait que les terminaux mobiles utilisés par les marchands pour le traitement des cartes bancaires seront multi-fonctions et pas seulement réservés à l'acceptation des paiements. De même, les terminaux grand public sont considérés comme étant pas spécialement sécurisés.

Un chiffrement et un agrément ...



Un chiffrement et un agrément 

Et parce que ces terminaux mobiles vont être déplacés dans pas mal d'endroits, les possibilités de vol, de perte ou de dégradations sont considérables. Le conseil veut que les marchands s'assurent que tout terminal mobile utilisé pour le traitement des cartes bancaires dispose d'un clavier chiffré pour le traitement du code secret PIN (Personal Identification Number) et que le lecteur de carte sécurisé utilisé pour la lecture des données bancaires soit agréé.

« Si vous faites glisser la carte pour la lire, il faut être sûr que les données vont dans le terminal chiffré » prévient Bob Russo, directeur général du conseil.  Le conseil voudrait que des contrôles de sécurité, tels quel les anti-virus, l'authentification, et l'examen précis du terminal mobile soient appliqués aux mobiles servant aux paiements.

Les fabricants de ces terminaux doivent communiquer sur les failles de sécurité et mettre à jour les versions via des correctifs.  Et dans une allusion transparente aux terminaux sous iOS d'Apple, le guide note que les marchands qui « de manière délibérée contournent les contrôles de sécurité natifs d'un terminal mobile par 'jailbreaking' ou 'rooting' augmentent les risques d'une attaque par malware. Les solutions de paiement ne devraient pas être installées ou employées sur ce type de terminaux » déclare le conseil.

Le document propose que jusqu'à ce que les matériels et les logiciels respectent ces consignes, les marchands respectent un chiffrement point à point validé selon PCI tels que cela est décrit dans un autre document « Accepting Mobile Payments with a Smartphone or Tablet. »

Une évolution rapide ...



Une évolution rapide

Au bout du compte, le conseil se voit contraint de réagir rapidement dans un contexte où l'usage de terminaux mobile grand public se généralise.  « Nous vivons une période d'évolution » admet Bob Russo, ajoutant que le conseil aura plus à dire sur ce sujet dans le futur.

Le conseil anticipe d'aligner ses recommandations techniques avec certaines lignes de conduite liées aux mobiles dans un document préparatoire du National Institute of Standards and Technology (NIST). Le document préparatoire est le NIST 800-164, "Guidelines for Hardware-Rooted Security in Mobile Devices".

Webex renforce la collaboration en mode télétravail

Dans sa dernière série d'annonces, Cisco affirme vouloir améliorer le bien-être des employés et renforcer l'accessibilité de sa plateforme Webex. Cisco Webex a dévoilé aujourd'hui plusieurs mises à jour...

le 20/01/2022, par Charlotte Trueman, IDG NS (adapté par Jean Elyan), 969 mots

3e génération de smartphones pliables chez Samsung

Samsung continue d'itérer sur sa gamme de mobiles pliables avec de meilleures spécifications brutes, la prise en charge du S Pen et une durabilité accrue en présentant aujourd'hui les Galaxy Z Fold3 et Z...

le 13/08/2021, par Jon Philips, IDG NS (adapté par Célia Seramour), 876 mots

Cisco entend réduire la fatigue liée aux vidéoconférences avec Vidcast

Le géant des réseaux Cisco mise sur la vidéo asynchrone pour stimuler la productivité et offrir plus de flexibilité à la journée de travail des employés. Vidcast, la solution de vidéo asynchrone, actuellement...

le 09/08/2021, par Charlotte Trueman, IDG NS (adaptation Jean Elyan), 788 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...