06/12/2010

Le PCI parle de l'EMV !


Dans un document publié sur son site, le PCI Council parle de l'EMV (les cartes à puces avec code PIN).

Il s'agit certainement d'une réponse aux détracteurs du PCI DSS qui utilisent l'argument "chez nous, nous utilisons des cartes à puces, le niveau de sécurité est donc très élevé, nous n'avons pas besoin d'un standard de sécurité comme le DSS".

La réponse du PCI Council : dans les pays "EMV", les PAN restent dans plusieurs cas exposés aux risques de vol :

1 - Les transactions CNP (Card-Not-Present ou "vente à distance") : les achats sur le web.
2 - Les transactions MoTo (Mail Order Telephone Order ) : les achats par téléphone
3 - Les transactions CP (Card-Present ou "vente de proximité") avec le mode dégradé sur les TPE. Lorsque ni la carte, ni la puce ne fonctionnent, le commerçant peut saisir le PAN du client directement sur le clavier du TPE et lui demander une simple signature.
4 - Le skimming : lorsque la carte est introduite dans un lecteur vérolé, la piste magnétique peut être lue, copiée et réutilisée sur une carte contrefaite.
5 - Les transactions "swipe" : dans certains cas et certains pays qui ne sont pas 100% EMV, des commerçants acceptent toujours la piste plutôt que la puce.
6 - Les TPE et les GAB : bien que dans le système EMV, le code PIN ne sort pas du TPE ou du clavier du GAB, le PAN est quant à lui envoyé, en clair, sur le réseau, dans les journaux, en mémoire, etc.

Le PCI Council explique donc que tant que 100% des transactions ne sont pas EMV (avec saisie du code PIN), le risque de compromission des PAN demeure.

Le PCI nous montre donc qu'il sait que le monde ne s'arrête pas aux USA avec leur système basé sur la piste magnétique et qu'il connait (un peu) notre système de cartes à puce.

Aucun commentaire:

Enregistrer un commentaire