Les marchands interdits de terminaux BYOD ou « jailbreakés » pour les paiements

le 18/02/2013, par Jean Pierre Blettner avec IDG News Services, Terminaux et Systèmes, 632 mots

Les mobiles grand public envahissent l'entreprise et bousculent l'instance PCI en charge de la sécurité des terminaux de paiement. Les marchands se voient interdits d'usage de terminaux "jailbreakés" ou de type BYOD.

Les marchands interdits de terminaux BYOD ou « jailbreakés » pour les paiements

Le « PCI Security Standards Council », le conseil en charge des standards de sécurité pour PCI (Payment Card Industry) qui représente en premier lieu Visa et MasterCard, vient de publier un guide pour les marchands qui utilisent des smartphones ou des tablettes pour traiter les paiements de leurs clients.  

Les entreprises qui veulent utiliser des smartphones ou des tablettes grand public comme terminaux de point de vente afin de gérer les paiements par carte bancaire sont informées de ne le faire que lorsque les contrôles, le chiffrement et d'autres mesures de sécurité sont en place.

Le  « PCI Security Standards Council » a publié 27 pages de recommandations (au sein du document "PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users"). Il s'agit de répondre aux situations où les marchands veulent implanter le traitement des paiements dans des smartphones ou des tablettes plutôt que les traditionnels terminaux spécifiques.

Le conseil souligne que les marchands sont responsables de l'application mobile, des processus de back office et de la sécurité du terminal. De même le conseil insiste sur le fait qu'une stratégie de type BYOD (Bring Your Own Device), lorsqu'un employé amène son propre terminal au travail, n'est pas recommandée en tant que bonne pratique.  

Le guide édité par le conseil part du fait que les terminaux mobiles utilisés par les marchands pour le traitement des cartes bancaires seront multi-fonctions et pas seulement réservés à l'acceptation des paiements. De même, les terminaux grand public sont considérés comme étant pas spécialement sécurisés.

Un chiffrement et un agrément ...



Un chiffrement et un agrément 

Et parce que ces terminaux mobiles vont être déplacés dans pas mal d'endroits, les possibilités de vol, de perte ou de dégradations sont considérables. Le conseil veut que les marchands s'assurent que tout terminal mobile utilisé pour le traitement des cartes bancaires dispose d'un clavier chiffré pour le traitement du code secret PIN (Personal Identification Number) et que le lecteur de carte sécurisé utilisé pour la lecture des données bancaires soit agréé.

« Si vous faites glisser la carte pour la lire, il faut être sûr que les données vont dans le terminal chiffré » prévient Bob Russo, directeur général du conseil.  Le conseil voudrait que des contrôles de sécurité, tels quel les anti-virus, l'authentification, et l'examen précis du terminal mobile soient appliqués aux mobiles servant aux paiements.

Les fabricants de ces terminaux doivent communiquer sur les failles de sécurité et mettre à jour les versions via des correctifs.  Et dans une allusion transparente aux terminaux sous iOS d'Apple, le guide note que les marchands qui « de manière délibérée contournent les contrôles de sécurité natifs d'un terminal mobile par 'jailbreaking' ou 'rooting' augmentent les risques d'une attaque par malware. Les solutions de paiement ne devraient pas être installées ou employées sur ce type de terminaux » déclare le conseil.

Le document propose que jusqu'à ce que les matériels et les logiciels respectent ces consignes, les marchands respectent un chiffrement point à point validé selon PCI tels que cela est décrit dans un autre document « Accepting Mobile Payments with a Smartphone or Tablet. »

Une évolution rapide ...



Une évolution rapide

Au bout du compte, le conseil se voit contraint de réagir rapidement dans un contexte où l'usage de terminaux mobile grand public se généralise.  « Nous vivons une période d'évolution » admet Bob Russo, ajoutant que le conseil aura plus à dire sur ce sujet dans le futur.

Le conseil anticipe d'aligner ses recommandations techniques avec certaines lignes de conduite liées aux mobiles dans un document préparatoire du National Institute of Standards and Technology (NIST). Le document préparatoire est le NIST 800-164, "Guidelines for Hardware-Rooted Security in Mobile Devices".

L'IA vient renforcer la suite Webex de Cisco

L'équipementier de San José passe la seconde avec l'intelligence artificielle. En proposant une palette d'outils basés sur l'IA dans sa suite Webex, Cisco veut offrir des expériences plus personnalisées et...

le 30/03/2023, par Célia Séramour, 710 mots

La Justice américaine enquête sur la vente de matériels Cisco...

Selon le Département de la Justice des États-Unis, depuis plusieurs années des entreprises ont vendu des matériels Cisco usagés, trafiqués en modèles neufs et soi-disant plus récents. Une fraude qui a rapporté...

le 13/07/2022, par Tim Greene, IDG NS (adapté par Jean Elyan), 715 mots

Red Hat lance des fonctions edge pour RHEL et de sécurité pour...

Lors de l'événement Summit organisé du 10 au 11 mai à Boston, Red Hat a annoncé des fonctionnalités edge pour sa distribution RHEL 9.0, et des outils de sécurité pour sa plateforme Advanced Cluster Security...

le 12/05/2022, par Jon Gold, IDG NS ( adapté par Jean Elyan), 545 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...