Visa publie des pratiques exemplaires mondiales sur la tokenisation des
données des cartes

Ces pratiques font partie de la stratégie de Visa pour aider les marchands à éliminer les données des cartes, à réduire l'environnement des paiements et à rationaliser la sécurité.

SAN FRANCISCO, le 15 juill. /CNW/ - Visa Inc. (NYSE: V) a annoncé aujourd'hui des pratiques exemplaires mondiales sur la tokenisation pour fournir des lignes directrices aux marchands, aux fournisseurs et aux acquéreurs, et promouvoir des environnements de paiement sécuritaires pour les marchands. Selon l'expérience de Visa dans le cadre de son travail avec l'industrie et d'après les enquêtes sur la compromission des données, les pratiques exemplaires sur la tokenisation constituent les lignes directrices les plus récentes pour aider les marchands à réduire ou à éliminer les données des cartes se trouvant dans les systèmes de paiement, et à simplifier la sécurité des données et les efforts de conformité.

La tokenisation est le processus par lequel le numéro de compte primaire (NCP) de 16 chiffres d'une carte de crédit ou de débit est remplacé par d'autres chiffres. Les marchands et les sociétés de traitement qui utilisent des jetons (tokens) conformément aux pratiques exemplaires peuvent limiter le stockage des NCP, réduisant considérablement le risque que des voleurs puissent s'emparer de données confidentielles sur les titulaires de carte. Depuis bon nombre d'années, Visa fournit un type de jeton à usage unique; des codes de transaction remplacent les numéros de carte chaque fois que VisaNet traite une transaction, de sorte que les marchands peuvent l'utiliser pour effectuer leur règlement et exécuter d'autres processus auxiliaires avec l'appui de leurs fournisseurs de services de traitement. Les pratiques exemplaires portent aussi sur les jetons à usages multiples, pouvant servir à des fins plus complexes comme la gestion de la fraude, les paiements périodiques ou les abonnements et les programmes de fidélité des marchands.

"Lorsqu'elle est correctement mise en place, la tokenisation peut aider à simplifier l'environnement des cartes de paiement d'un marchand, a déclaré Eduardo Perez, chef - Risque du système de paiement mondial, chez Visa Inc. Toutefois, d'après notre expérience de travail avec l'industrie et les enquêtes judiciaires, nous savons que la mise en œuvre comporte des embuches très courantes qui contribuent à la compromission des données. Par exemple, certaines entités omettent de surveiller les défectuosités, les anomalies et les activités suspectes, permettant ainsi à un intrus de manipuler le système de tokenisation sans être détecté. À l'heure où de plus en plus de marchands se tournent vers des solutions de tokenisation, ces pratiques exemplaires fourniront des lignes directrices sur la mise en œuvre efficace de ces solutions et feront ressortir les domaines nécessitant une vigilance particulière", a-t-il ajouté.

Les pratiques exemplaires s'inscrivent dans un vaste effort de Visa afin de fournir des lignes directrices et des recommandations pour aider les marchands et l'industrie à mieux gérer la sécurité et la conformité. En réduisant la quantité de renseignements vulnérables qui doivent être protégés, les marchands peuvent simplifier leurs systèmes de paiement et améliorer la sécurité des paiements. En octobre 2009, Visa a publié ses pratiques exemplaires sur le chiffrement des données pour protéger les renseignements des titulaires de carte et limiter les données en clair sur les titulaires de carte et les données d'authentification confidentielles. Dans le cadre de ces pratiques exemplaires, Visa a recommandé que les entités envisagent d'utiliser des jetons (comme un code de transaction ou une valeur substitutive) pour remplacer le NCP aux fins des activités liées aux paiements, autres que l'acceptation des paiements. La rétroaction obtenue de l'industrie au sujet des pratiques exemplaires sur le chiffrement a révélé une demande pour des lignes directrices détaillées sur la tokenisation. Plus récemment, en juin 2010, Visa a fourni des pratiques exemplaires sur le stockage et la troncature des NCP, y compris l'utilisation de jetons au lieu des numéros de carte complets. On peut consulter en ligne les pratiques exemplaires de Visa sur la tokenisation, sur le chiffrement des données ainsi que sur le stockage et la troncature des NCP à l'adresse www.visa.com/cisp.

"La tokenisation est un outil de plus dans la trousse du marchand pour contrer la fraude et être conforme aux normes de l'industrie canadienne des paiements. Tout particulièrement utile pour les applications de paiement périodique et sans présence de la carte, la tokenisation permet aussi au marchand de conserver sa capacité d'effectuer du marketing et des analyses de la fraude, tout en éliminant de ses systèmes les données sur le numéro de carte et en facilitant le respect de certaines de ses obligations relativement aux Normes de sécurité des données de l'industrie des cartes de paiement", a déclaré George Peabody, directeur, Technologies émergentes, du groupe-conseil Mercator.

Les pratiques exemplaires sur la tokenisation de Visa fournissent des lignes directrices dans des domaines qui se sont révélés problématiques par le passé, y compris la création adéquate des jetons et la gestion des données historiques. Les pratiques exemplaires font ressortir quatre composantes clés d'une tokenisation efficace :

    
    -   la création des jetons - définit le processus de création d'un jeton;

    -   la mise en correspondance des jetons - définit le processus
        d'association d'un jeton avec son NCP initial;

    -   centre des données sur les cartes - définit le dépôt central des
        données sur les titulaires de carte qui est utilisé par le processus
        de mise en correspondance des jetons;

    -   gestion des clés cryptographiques - définit le processus de gestion
        des clés cryptographiques et la manière dont elles sont utilisées
        pour protéger les données sur les comptes et les titulaires de carte.
    

M. Perez a aussi souligné que d'autres données d'authentification confidentielles, telles que le contenu complet de la bande magnétique, le code CVV2, le NIP et le bloc contenant le NIP, ne devraient jamais être conservées après l'autorisation, pour quelque raison que ce soit. "La tokenisation vise à compléter, et non à remplacer, la Norme de sécurité des données de l'industrie des cartes de paiement, a-t-il déclaré. Bien que les solutions de tokenisation et de cryptage puissent rationaliser l'environnement d'un marchand, de solides niveaux de sécurité sont requis pour assurer une protection contre la compromission des données."

À propos de Visa - Visa est une société de technologie de paiement mondiale qui relie les consommateurs, les entreprises, les institutions financières et les gouvernements de plus de 200 pays et territoires à une monnaie numérique rapide, sécuritaire et fiable. À la base de la monnaie numérique figure le réseau de traitement le plus perfectionné du monde - VisaNet - lequel peut traiter plus de 10 000 transactions à la seconde, tout en protégeant les consommateurs contre la fraude et en garantissant un paiement aux marchands. Visa n'est pas une banque. Elle n'émet aucune carte, ne consent aucun crédit et n'établit pas les taux et les frais applicables aux consommateurs. Cependant, les innovations de Visa permettent à ses institutions financières clientes d'offrir plus de choix aux consommateurs : payer maintenant par carte de débit, d'avance au moyen d'une carte prépayée ou plus tard à l'aide d'une carte de crédit. Pour obtenir plus d'information, visitez www.corporate.visa.com.

Renseignements: Personnes-ressources: Teri Broughton, Visa Canada, [email protected], 416-860-8869