03/09/2010

FAQ sur les cryptogrammes visuels (CVV2) et le PCI

Le nerf de la guerre du PCI DSS est simple : Mettre tout en oeuvre pour qu'en cas de piratage d'une entreprise, le pirate ne puisse pas trouver de fichiers avec des milliers de numéros de carte (PAN) et le cryptogramme visuels associés (CVV2).


Pour être PCI DSS, le cryptogramme visuel (CVV2) ne doit pas être stocké et, si possible, le PAN non plus.


Lors de mes missions en tant que QSA, je reçois toujours les mêmes retours lorsque j'explique cette règle. Voici une petite FAQ.


Client : "Nous avons bien besoin de stocker le CVV2 à un moment dans nos systèmes (fichiers temps...)".


QSA (moi) : La règle exacte est :" le CVV2 ne doit pas être stocké après l'autorisation". Cela signifie que dès que la réponse d'autorisation est obtenue de la banque ou du PSP, le système doit l'effacer et cela dans un temps raisonnable (quelques secondes);


Client : Nous ne stockons pas le CVV2.

QSA (moi) : Ok, mais le QSA devra scanner les disques durs pour vérifier. Il y a souvent des fichiers temporaires, des fichiers de logs où des CVV2 sont écrits involontairement.


Client : Nous avons un besoin légitime de stocker les CVV2 puisque nous faisons des paiements récurrents ;


QSA (moi) : Même pour un besoin de paiement récurrent, il n'est pas autorisé de stocker les CVV2 des cartes des clients. Les PSP (Prestataire de Service de Paiement) offrent des solutions avec des alias de carte pour cela.


Client : Mais alors comment font les sites comme iTunes ?


QSA (moi) : Ils utilisent les solutions spécifiques de leur PSP pour gérer les paiements sans avoir à refournir la carte du client. Car techniquement, le CVV2 est nécessaire qu'au premier débit. Les PSP et les agents VISA possèdent des accords pour débiter une carte sans le CVV2 si le premier débit a bien été autorisé avec le CVV2. Le marchand (ici iTunes) stocke uniquement un token correspondant au PAN ( numéro de la carte) du client. Le PAN est stocké chiffré chez le PSP du marchand.


Client : Et les banques, comment font-elles alors pour l'autorisation ?


QSA (moi) : Il y a ici une exception. Les banques émettrices ont un besoin légitime de stocker les CVV2 de leurs clients. Ces CVV2 sont stockés chiffrés et les clés de chiffrement sont dans des HSM. Le PCI DSS 2.0 va éclaircir ce point qui fait souvent débat.


Aucun commentaire:

Enregistrer un commentaire