Le PCI Security Standards Council publie les exigences de sécurité concernant la saisie du code PIN basée sur logiciel sur les appareils commercialisés en série

—Nouvelle norme du PCI pour stimuler le développement de solutions de saisie sécurisée du code PIN basée sur logiciel pour les transactions EMV avec et sans contact sur les Smartphones et autres appareils commercialisés en série (COTS)—

WAKEFIELD, Massachusetts--()--Le Conseil de normes de sécurité du secteur des cartes de paiement (PCI SSC) a annoncé aujourd’hui une nouvelle norme de sécurité pour la saisie du code PIN basée sur logiciel, pour les appareils en vente dans le commerce comme les Smartphones et les tablettes. La norme PCI Software-Based PIN Entry on COTS (SPoC) Standard fournit les exigences pour élaborer des solutions sécurisées permettant des transactions EMV avec et sans contact, avec une saisie du code PIN sur l’appareil du commerçant en utilisant à la fois une application sécurisée de saisie du code PIN et un lecteur de carte sécurisé pour code Pin (SCRP).

« Les terminaux pour les points de vente mobiles (MPOS) sont très appréciés par les petits commerçants pour leur souplesse et leur efficacité. Les MPOS leur ont permis de prendre des commandes et d’accepter des paiements sur une tablette ou un Smartphone, n’importe quand et n’importe où. Toutefois, certains petits commerçants sur les marchés exigeant des cartes à puce EMV et une acceptation du code PIN ont pu trouver prohibitif le coût de l’investissement dans un terminal de paiement », a déclaré Ron van Wezel, analyste principal d’Aite Group. « Avec la nouvelle norme de saisie du code PIN, le PCI Council a répondu au besoin du marché en spécifiant les exigences de sécurité pour permettre la saisie du code PIN directement sur l’écran tactile du mobile. Cela signifie que les commerçants peuvent accepter des paiements avec leur appareil mobile relié à un petit lecteur de carte économique muni d’une application de saisie du code PIN sécurisée. Les sociétés de cartes de crédit profiteront toutes du plus grand choix offert pour l’acceptation des paiements, et cela fera croître le nombre de transactions électroniques ».

« Le PCI Council crée de longue date des normes visant à protéger le code PIN en tant que méthode de vérification dans des solutions matérielles. Les normes actuelles de PCI sur les codes PIN exigent une protection de la sécurité matérielle du code PIN », a ajouté Troy Leach, directeur de la technologie de PCI SSC. « Nous construisons désormais sur cette base une nouvelle norme qui offre une approche alternative de sécurisation de la saisie du code PIN, en isolant le code PIN des autres données et en utilisant un nouvel ensemble strict de contrôles de sécurité qui s’étendent au-delà du matériel lui-même. La norme PCI de saisie du code PIN basée sur logiciel offre aux fournisseurs de solutions et aux développeurs d’applications un ensemble d’exigences minimum de sécurité concernant spécifiquement les transactions avec et sans contact par cartes à puce (EMV) utilisant une saisie du code PIN basée sur logiciel ».

Les principes de sécurité clés inclus dans les exigences de sécurité et de tests de la norme sont :

  • Une surveillance active du service, pour atténuer les menaces potentielles pour le paiement pouvant se trouver dans le téléphone ou la tablette ;
  • L’isolation du code PIN de toute autre donnée sur les comptes ;
  • Assurer la sécurité du logiciel et l’intégrité de l’application de saisie du code PIN sur l’appareil ;
  • Protéger les données du code PIN et du compte à l’aide d’un lecteur de carte à code PIN sécurisé (SCRP) homologué par le PCI.

Les exigences de sécurité pour la saisie du code PIN basée sur logiciel dans les appareils du commerce sont à utiliser par les fournisseurs de solution dans la conception de chaque partie de la solution d’ensemble. Ces exigences sont maintenant disponibles sur le site Web PCI SSC .

Les exigences des tests pour la saisie du code PIN basée sur logiciel pour les appareils du commerce décrivent les procédures de test à utiliser par les laboratoires pour évaluer les solutions par rapport à la norme. Celles-ci seront publiées le mois prochain, suivies d’un programme de soutien qui répertoriera les solutions validées par le PCI, sur le site de PCI SSC à usage marchand.

Pour plus d’informations sur la nouvelle norme, lire l’article du blog sur les perspectives du PCI New PCI Software-Based PIN Entry on COTS Standard.

« Cette norme donne aux fournisseurs de solutions et aux développeurs d’applications un ensemble d’exigences minimum de sécurité sur la façon d’accepter en toute sécurité des transactions basées sur un code PIN sur les appareils du commerce, ainsi que les méthodes pour tester que la sécurité fonctionne, même si les mises à jour des appareils et des applications sont fréquentes. Les solutions validées par le PCI rempliront un ensemble strict d’objectifs en matière de sécurité, testé par des laboratoires indépendants », a ajouté Leach. « De plus en plus de commerces acceptent maintenant les paiements avec les smartphones, tablettes et autres appareils, et plus particulièrement les petits commerçants. La liste des solutions du PCI SSC sur la saisie du code PIN basée sur logiciel fournira à ces commerçants une base pour choisir parmi les solutions de saisie du code PIN évaluées et testées par les laboratoires de sécurité des paiements, et leurs clients bénéficieront de la meilleure protection existante de leurs données de paiement ».

À propos du PCI Security Standards Council
Le PCI Security Standards Council  (PCI SSC) mène une action interprofessionnelle mondiale pour accroître la sécurité des paiements en créant des normes et des programmes de sécurité des paiements souples et efficaces ayant pour but d’aider les commerces à détecter, minimiser et prévenir les failles de sécurité et les cyberattaques. Connectez-vous avec le PCI SSC sur LinkedIn. Participez au débat sur Twitter @PCISSC. Abonnez-vous au blog PCI Perspectives.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.

Contacts

PCI Security Standards Council
Mark Meissner, +1-202-744-8557
press@pcisecuritystandards.org
Twitter @PCISSC

Contacts

PCI Security Standards Council
Mark Meissner, +1-202-744-8557
press@pcisecuritystandards.org
Twitter @PCISSC