Les enjeux des points de vente sur smartphones (mPOS)

De nombreuses transactions impliquant des petits commerces qui ne possèdent souvent pas de magasins ont presque toujours lieu avec de l’argent plutôt qu’avec des cartes de crédit ou de débit. Pour les acquéreurs bancaires classiques et les prestataires de services de paiement (PSP) il s’agit d’un marché très important. Cependant, ces nouveaux acteurs doivent faire face au défi de devoir composer avec le faible coût requis par les commerçants et la haute sécurité requise par les systèmes de paiement. En effet, les micro-entreprises et petits commerçants ont depuis de nombreuses années refusé d’utiliser des points de vente de par leur coût élevé, les engagements contractuels à long terme, les interfaces utilisateur restrictives et les exigences de conformité PCI DSS.

mpos

Avec l’émergence du mPOS (Mobile Point of Sale) et la possibilité de relier un terminal de paiement à un smartphone, de nombreuses applications de paiement par mobile voient le jour. Une étude de Smart Insights prévoit en effet qu’en 2018 le nombre de terminaux de paiement de poche de type mPOS dépassera celui des terminaux POS traditionnels, avec pour cette année-là, plus de 52 millions de vente de ces mini-lecteurs de cartes bancaire. Smart Insights estime également qu’une vaste restructuration et consolidation du secteur va s’engager à court terme et que le nombre de fournisseurs va diminuer inexorablement au fur et à mesure de la croissance du marché, tout en faisant concurrence aux acteurs de terminaux de paiement historiques.

Les enjeux du mPOS

Les solutions de mPOS utilisent des lecteurs de cartes avec des équipements non fiables (smartphones et tablettes) et des réseaux non sécurisés (réseaux mobiles ou Internet). Les enjeux sont ainsi les suivants :

  • Veiller à ce que le smartphone ou la tablette ne puisse pas accéder aux données de paiement afin d’éliminer la nécessité d’une certification de sécurité contraignante.
  • Protéger les données de la carte depuis le terminal de capture jusqu’à  la passerelle de paiement afin d’éviter aux commerçants une mise en conformité PCI DSS complexe et couteuse.
  • Offrir aux commerçants une grande flexibilité  en leur permettant l’utilisation de lecteurs de carte de paiement de façon sécurisée en dehors des magasins, éventuellement dans des endroits où il n’y a pas de connexion réseau.
  • Réduire le coût de fourniture et de configuration de l’équipement du lecteur de carte sans compromettre la sécurité physique attendue.

Les risques liés aux mPOS

  • Le déploiement du chiffrement logiciel et les techniques de gestion des clés au niveau des PSP augmente fortement le risque de compromission de clé, et ainsi la perte de réputation et de fortes amendes.
  • Le recours à un chargement manuel des clés dans les magasins augmente le risque de compromission de la clé et du terminal, supprimant les avantages de l’utilisation de P2PE avec la technologie de chiffrement sécurisé.
  • L’absence potentielle de protection des données déchiffrées  au niveau de a passerelle de paiement peut conduire à des attaques sur la base de données du PSP, entraînant ainsi une grande compromission des données de paiement et de lourdes amendes pour le PSP.

P2PE

Kyos recommande la sécurisation du mPOS par les Hardware Security Module (HSM)

Les HSM payShield 9000 et nShield de Thales e-Security permettent déjà à de nombreux PSP d’offrir des solutions de points de vente mobile sécurisés (mPOS) à des commerces acceptant pour la première fois le paiement par carte. Les HSM assurent trois fonctions essentielles pour le PSP : la gestion des clés pour les lecteurs de cartes, le déchiffrement des données des transactions reçues par les commerçants et la translation des PIN pour les transactions en ligne à base de PIN. Le payShield 9000 répond à toutes les normes de certification dans le domaine de la sécurité des paiements (FIPS 140-2 niveau 3 et PCI HSM), et accepte les différents algorithmes et méthodes de gestion de clés utilisées par les transactions mPOS – avec la possibilité d’ajouter des fonctions personnalisées pour répondre aux éventuelles besoins spécifiques du PSP.

Contactez-nous pour plus d’information.