Bluefin

ID TECH s'associe à Bluefin pour des solutions P2PE validées PCI

En mars 2014, Bluefin Payment Systems est devenue la première entreprise nord-américaine à obtenir la validation PCI pour une solution de chiffrement de bout en bout (P2PE).

Au moment de la validation obtenue par Bluefin, seules deux autres entreprises dans le monde — toutes deux européennes — avaient réussi à décrocher cette certification si difficile à obtenir.

Bluefin a commencé à travailler à l'obtention de la précieuse validation P2PE au milieu de l'année 2012. En tant qu'Organisation Participante (PO) du Conseil des normes de sécurité (SSC) de PCI, cette société de paiement basée en Géorgie estimait qu'il était essentiel d'adopter la nouvelle norme P2PE introduite par PCI.

Selon Miles, les commerçants et les entreprises adoptent souvent une approche de « protection de la donnée » en matière de sécurité, en renforçant leurs ressources et en érigeant des pare-feux toujours plus robustes pour tenir les pirates à distance. Mais l'objectif même du P2PE, ajoute Ruston, est de dévaluer les données du porteur de carte — au point d'interaction — grâce au chiffrement, empêchant ainsi toute donnée en clair d'être présente dans le système d'un commerçant ou d'une entreprise, et rendant par conséquent ces données inexploitables pour les pirates.

Bluefin était convaincue que le secteur des paiements devait évoluer vers une approche de « dévalorisation de la donnée » et que le P2PE validé PCI était la meilleure façon d'y parvenir.

Premiers appareils P2PE certifiés avec ID TECH

Tout fournisseur de solution P2PE validée par PCI doit certifier chaque appareil PCI P2PE constitutif selon les exigences strictes des normes PCI. Une solution complète ne peut maintenir son homologation PCI P2PE que si tous les appareils qui la composent ont été « validés » avec succès.

Les efforts de validation menés par Bluefin en 2014 se sont concentrés sur les lecteurs de cartes SecuRED et SecuRED et SREDKey de ID TECH. Au cours des premiers mois, Bluefin a réalisé son premier déploiement P2PE majeur avec The Hillman Group, en utilisant le SecuRED, un lecteur de bande magnétique SRED (Secure Reading and Exchange of Data).

Le SecuRED de ID TECH pour l'environnement de vente au détail

Fondé en 1964, The Hillman Group propose une gamme de produits à usage commercial et résidentiel auprès de plus de 21 000 entreprises, notamment Lowe's, Home Depot, PetSmart, PETCO, Sears, Ace Hardware, True Value et Walmart. Hillman est le leader du marché actuel dans les domaines de la visserie, des clés, des lettres, chiffres et enseignes (LNS), ainsi que de la gravure.

The Hillman Group a choisi la solution de Bluefin associée au SecuRED d'ID TECH pour ses bornes automatiques de gravure personnalisée, afin de réduire le nombre d'exigences PCI DSS applicables à son environnement de données de titulaires de cartes, tout en protégeant sa marque contre le risque coûteux d'une violation de données de cartes. Aujourd'hui, l'entreprise a déployé plus de 2 000 appareils SecuRED dans ses bornes.

« Une bonne règle de base pour les entreprises : si vous n'avez pas besoin de manipuler la carte, abstenez-vous », explique Ruston Miles de Bluefin. « Évitez la patate chaude. EMV, P2PE et la tokenisation en sont les incarnations concrètes. Les solutions P2PE chiffrent les données à chaque point d'interaction, et la tokenisation les protège à chaque point de stockage — ce qui rend leur utilisation conjointement avec d'autres technologies absolument indispensable. »

Outre leur niveau de sécurité supérieur — qui reste la priorité absolue —, les solutions de paiement PCI P2PE offrent un meilleur retour sur investissement aux commerçants, car elles réduisent considérablement leurs coûts de conformité sur le long terme.

“« Avec P2PE, 90 % de tout ce que les commerçants mettent en œuvre pour se conformer aux exigences PCI disparaît, grâce à la réduction du périmètre. Cela simplifie vraiment les choses », souligne Miles.

En complément du SecuRED, Bluefin a déployé plus de 11 000 appareils ID TECH SREDKey depuis leur validation en 2014. Le SREDKey (qui combine un clavier numérique et un lecteur de piste magnétique MagStripe) constitue une solution idéale pour les centres d'appels et certains environnements de paiement en présence du titulaire de carte — comme les cabinets médicaux — où EMV n'est pas indispensable.

Le SREDKey d'ID TECH pour les centres d'appels

En 2016, le fournisseur de logiciels pour centres d'appels Intelligent Contacts s'est connecté à la solution Decryptx® de Bluefin, qui permet aux passerelles de paiement et aux plateformes logicielles de proposer la solution P2PE validée PCI de Bluefin à leurs clients, sans aucune modification de leur intégration logicielle ni de leur flux de paiement existants. Intelligent Contacts a utilisé le terminal de paiement SREDKey pour offrir une saisie de carte sécurisée via une interface à clavier simple.

« Les centres d'appels traitent des paiements par téléphone depuis des décennies, mais face à la multiplication des violations de données à grande échelle et au renforcement des règles encadrant la gestion des informations de cartes de crédit, le secteur cherchait un appui extérieur pour maintenir sa certification PCI », a déclaré Jeff Mains, PDG d'Intelligent Contacts. « Par ailleurs, un centre d'appels n'est jamais plus sécurisé que son poste le moins sécurisé — garantir que chaque terminal résiste à une attaque de l'homme du milieu, voire à un audit PCI, peut rapidement tourner au cauchemar pour les équipes informatiques. »

L'un des premiers clients d'Intelligent Contacts à adopter la solution P2PE était un important fournisseur d'outils de gestion du cycle des revenus et de services de facturation administrative pour le secteur de la santé. Avec plus de 1 000 agents saisissant des données de cartes de crédit sur leurs ordinateurs chaque jour, l'obtention annuelle de la certification PCI représentait un processus particulièrement éprouvant.

La solution consistait à ne plus saisir les données de cartes de crédit dans les ordinateurs. À la place, chaque agent s'est vu attribuer son propre terminal P2PE.

« En utilisant des appareils approuvés PCI pour l'ensemble des paiements, l'entreprise a éliminé environ 95 % de son exposition PCI », a déclaré Mains.

Intégration des nouveaux appareils de paiement ID TECH sur d'autres marchés

Bluefin a récemment ajouté le Spectrum Pro et l'Augusta S d'ID TECH à sa liste de appareils P2PE certifiés. Le Spectrum Pro, un lecteur hybride MagStripe et carte à puce certifié PCI PTS 4.x et SRED, constitue une solution idéale pour les environnements en libre-service en extérieur, grâce à sa robustesse, sa durabilité et sa facilité d'installation.

La Augusta S est un lecteur de comptoir double, combinant piste magnétique et EMV, offrant une voie de mise à niveau simple vers l'EMV sans les contraintes et la complexité d'une solution complète de terminal PIN. Tout comme le Spectrum Pro, Augusta S est certifié SRED, alliant un chiffrement permanent à des fonctions anti-fraude sophistiquées.

ID TECH collabore activement avec Bluefin et un tiers afin de proposer le Spectrum Pro au marché de la gestion de carburant pour flottes. Une solution validée P2PE dans le secteur du carburant est essentielle pour réduire la fraude à la pompe.

« ID TECH reconnaît que le secteur des paiements sans surveillance offre de nombreuses opportunités pour notre gamme de produits EMV certifiés P2PE. Notre partenariat de longue date avec Bluefin nous a permis de développer notre entreprise et notre marque sur ce marché concurrentiel, et nous sommes impatients d'atteindre le même succès dans les paiements sans surveillance et au-delà », a déclaré Justin Ning, vice-président en charge de la gestion des produits et du marketing chez ID TECH. « Nous travaillons actuellement avec un acteur reconnu du secteur financier pour déployer le Spectrum Pro sur des pompes à carburant, où la sécurité et la robustesse sont primordiales. Nous sommes très enthousiastes à l'égard de ce nouveau projet et de son potentiel de croissance ! »

Depuis plus de 30 ans, ID TECH est le leader du secteur dans la fourniture de solutions de paiement sécurisées. Pour en savoir plus sur ID TECH, veuillez consulter www.idtechproducts.com.