Alors que les cas de détournements massifs de données personnelles font la une de l'actualité avec une régularité inquiétante, on espérerait que les banques soient les premières à prendre toutes les précautions nécessaires pour limiter les risques sur les informations des cartes de paiement des consommateurs. Ce n'est malheureusement pas toujours le cas…
Si, comme moi, vous passez commande sur le site AuchanDirect.fr, vous devrez, pour valider votre achat, enregistrer les coordonnées de votre carte bancaire. Jusque-là, et même si on préférerait avoir le choix de saisir ces informations à chaque transaction, la pratique est relativement habituelle. Mais, en l'occurrence, vous devrez aussi saisir le numéro de contrôle de votre carte (CVV) et, selon toutes les apparences, il sera stocké avec les autres données fournies, par la banque Accord :
Si, comme moi, vous passez commande sur le site AuchanDirect.fr, vous devrez, pour valider votre achat, enregistrer les coordonnées de votre carte bancaire. Jusque-là, et même si on préférerait avoir le choix de saisir ces informations à chaque transaction, la pratique est relativement habituelle. Mais, en l'occurrence, vous devrez aussi saisir le numéro de contrôle de votre carte (CVV) et, selon toutes les apparences, il sera stocké avec les autres données fournies, par la banque Accord :
Si on peut comprendre l'objectif du distributeur de n'encaisser le règlement qu'après livraison, le moyen adopté est tout à fait inacceptable et, en tous cas, prohibé par le standard de sécurité des cartes de paiement (PCI-DSS) et ce, même avec chiffrement des données (voir le « PCI Quick Reference Guide », page 15). Le jour où des pirates réussiront à s'introduire dans les systèmes de la banque, leurs efforts seront particulièrement bien récompensés...
Quand un grand commerçant français et sa filiale bancaire ignorent ainsi non seulement les règles « imposées » par l'industrie mais aussi la sécurité des informations de paiement de leurs clients, il n'est pas étonnant que des affaires graves de vol de données éclatent presque quotidiennement. Si un minimum de prudence était en vigueur chez tous les acteurs, la fraude serait déjà mieux contrôlée.
L'innovation (ici, le paiement après livraison) ne doit JAMAIS se faire au détriment de la sécurité, lorsque sont en jeu des informations sensibles, en particulier dans le secteur financier.
Quand un grand commerçant français et sa filiale bancaire ignorent ainsi non seulement les règles « imposées » par l'industrie mais aussi la sécurité des informations de paiement de leurs clients, il n'est pas étonnant que des affaires graves de vol de données éclatent presque quotidiennement. Si un minimum de prudence était en vigueur chez tous les acteurs, la fraude serait déjà mieux contrôlée.
L'innovation (ici, le paiement après livraison) ne doit JAMAIS se faire au détriment de la sécurité, lorsque sont en jeu des informations sensibles, en particulier dans le secteur financier.
Bonjour Patrice,
RépondreSupprimerMerci pour ce billet. Le stockage du CVV2 (et non du CVV) est une loi de régulation des réseaux (VISA, MasterCard, AMEX, Discover et JCB) et va bien plus loin que les exigences PCI DSS, les banques qui acceptent ces pratiques s'exposent à de forte sanctions et le contrat avec les réseaux peut dans certains être discuté en cas de compromission de ces données.
Cordialement.
Vous trouverez plus d'information sur le groupe Linkedin dédié à PCI DSS : CLUSIF - Groupe de Travail PCI (Payment Card Industry)