L'idée sous-jacente est de ne pas stocker les données sensibles comme le cryptogramme visuel, de ne stocker les données d'identification du porteur comme le numéro de carte que si nécessaire, et le cas échéant de le protéger (troncature, hachage, chiffrement, tokenisation, …).
Selon le site officiel des cartes bancaires CB : "le cryptogramme de sécurité est calculé par les outils cryptographiques de chaque banque émettrice ; il est ensuite transmis à des ateliers de personnalisation des cartes agréés par CB et régulièrement audités.
La Cnil rappelle que les données relatives à la carte de paiement sont des données à caractère « hautement personnel » (2). Or, il s'agit de l'un des critères susceptibles de nécessiter la réalisation d'une analyse d'impact sur la vie privée (« AIPD ») selon le Comité européen de la protection des données.
L'exigence 1 PCI DSS requière de la part des systèmes qu'ils utilisent des pares-feux afin d'empêcher des accès non-autorisés. Lorsque d'autres éléments du système fournissent la fonctionnalité de pare-feu, ils doivent également être compris dans le champ d'application et l'évaluation de cette condition.
Achat par téléphone ou par internet
Pour faire votre achat, vous devez indiquer les informations suivantes : Numéro à 16 chiffres de la carte. Date d'échéance de la carte. Numéro de sécurité (3 derniers chiffres figurant au dos de votre carte ou 4 chiffres figurant devant)
Parfois, https est remplacé par SSL. Attention : si on doit saisir son numéro de carte bancaire, la date d'expiration et le cryptogramme (le code à 3 chiffres au dos de la CB), on ne doit jamais communiquer son code confidentiel à 4 chiffres.
L'acronyme PCI DSS (Payment Card Industry Data Security Standard) désigne les normes de sécurité des données applicables à l'industrie des cartes de paiement. Élaborée par le conseil des normes de sécurité PCI, la norme PCI DSS vise à réduire la fraude en ligne.
La certification PCI DSS (Payment Card Industry Data Security Standard) niveau 1 assure aux organismes bancaires et aux utilisateurs de services en ligne un haut niveau de sécurité. Les acteurs manipulant ces données confidentielles répondent à des exigences de sécurité spécifiques définies par cette certification.
Un recul très net, notamment pendant les périodes de confinement, des moyens de paiement impliquant un contact physique, une croissance du sans contact et des paiements en ligne (cartes, virements, prélèvements) traduisant une numérisation accrue des paiements.
Le seul danger étant le vol simultané de votre téléphone et de votre carte. Les porte-monnaie électroniques tels que PayPal ou Paylib (environ 10% du marché) permettent de payer directement via un portefeuille virtuel connecté à la banque, sans avoir à divulguer de numéro de carte au Web marchand.
Une donnée personnelle est une donnée se rapportant à une personne physique, qui peut être identifiée quel que soit le moyen utilisé. Il peut s'agir de données directement ou indirectement identifiantes : nom, photo, vidéo, e-mail nominatif, adresse IP, identifiant de compte, N° de sécurité sociale, RIB, etc.
Impossible en Europe de payer en ligne sans fournir le cryptogramme de la carte bancaire, c'est-à-dire les trois chiffres inscrits au dos de la carte. Donc, cachez-les ! Une petite pastille collée à l'arrière de votre carte suffira à vous protéger des commerçants mal intentionnés.
Le paiement en ligne par virement bancaire est un moyen de paiement peu utilisé. Pourtant, ce moyen de paiement est le plus sécurisé du marché, pour le consommateur et pour le commerçant.
Comment sécuriser vos paiements à distance par carte bancaire? Vous ne devez jamais saisir votre code confidentiel à 4 chiffres pour ce type de transaction. En revanche, la saisie du cryptogramme (code à 3 chiffres au dos de la carte) peut être demandée.
SécuriCode est un code de sécurité permanent destiné à renforcer la sécurité de vos achats en ligne. En association avec un code de sécurité temporaire envoyé par SMS pour valider une transaction, il constitue une authentification forte.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un cadre conçu pour protéger l'ensemble de la chaîne de valeur des cartes de paiement.
PCI DSS s'applique aux entités qui traitent des cartes de paiement, que ce soit en tant que commerçants, acquéreurs, émetteurs ou prestataires de services et plus généralement à toutes les entités qui stockent, traitent ou transmettent les données « cartes bancaires ».
Les 12 exigences de la norme PCI DSS sont les suivantes :
Cryptage de la transmission des données des titulaires de cartes sur des réseaux publics et ouverts. Utilisez et mettez régulièrement à jour un logiciel ou un programme anti-virus. Développer et maintenir des systèmes et des applications sécurisés.
PCI DSS a été développé dans le but d'encourager et d'améliorer la sécurité des données bancaire et de faciliter l'adoption de mesures consistantes de sécurité des données au niveau international.
Également appelé numéro de vérification de carte ou cryptogramme visuel, le code CVV est l'acronyme de Cardholder Verification Value. Ce code à 3 ou 4 chiffres est imprimé sur les cartes bancaires. Selon les établissements, le code CVV peut se trouver au recto ou au verso de la carte bancaire.
Au moment de payer, vérifiez que le site sur lequel vous êtes en train de payer est bien sécurisé. Sur certains sites, l'url de la page « http:// » devient « https:// », avec l'ajout du « s » pour « Secure », un cadenas fermé peut aussi apparaître dans la fenêtre de votre navigateur.