« Pouvez-vous me vendre un lecteur certifié PCI DSS ? » — une question mal posée

Chez ID TECH, nous recevons de nombreuses questions techniques sur le secteur des paiements. Les exigences du Payment Card Industry sont parfois source de confusion. Par exemple, certains nous demandent : « Pouvez-vous me fournir un certificat PCI DSS pour ces appareils ? » ou encore « Je ne vois pas le produit X sur le site PCI — est-il certifié P2PE ? »

Ce sont des questions fréquentes, mais elles reposent parfois sur des hypothèses erronées. Si l'on part du principe que les appareils non certifiés PCI sont intrinsèquement moins sécurisés que les appareils certifiés, c'est tout simplement inexact.

ID TECH propose du matériel certifié PCI PTS SRED (comme le SREDKey illustré ci-contre, ou encore l'Augusta S, le Spectrum Pro, le SecuRED, le VP8800, entre autres), mais nos appareils non SRED demeurent des solutions hautement sécurisées, adaptées à la grande majorité des systèmes de paiement en cours de développement sur le marché.

PCI DSS est une solution système qui exige la certification de l'ensemble des composantes d'un système de paiement, et pas uniquement du ou des appareils matériels. PCI DSS comprend 12 exigences spécifiques concernant la manière dont une solution conforme doit gérer la sécurité des accès et des données des titulaires de carte. Les éléments suivants sont directement extraits de la documentation PCI.

Objectifs de contrôle

Exigences PCI DSS

À la lecture de ces exigences, aucune disposition ne précise quel matériel de paiement périphérique PCI impose aux fournisseurs de solutions d'intégrer dans leur offre. PCI s'intéresse avant tout à ce que vous respectiez les exigences, et bien moins à la façon comment vous répondez aux exigences. Lorsqu'un fournisseur de solution vise la certification PCI DSS, il peut utiliser un lecteur non chiffrant, mais cela exposerait la solution à un examen approfondi quant à la manière dont le système gère les informations sensibles. En utilisant un lecteur de carte chiffrant, dans lequel le commerçant n'a aucune capacité à déchiffrer les données de carte localement ni au sein de l'environnement de paiement, il est très probable que le QSA (Qualified Security Assessor) puisse aider le commerçant à réduire significativement le périmètre des exigences n° 3, 4 et 9. (Toutefois, c'est à l'auditeur de déterminer le niveau réel de réduction du périmètre.)

Très peu d'exigences PCI sont liées au matériel. Le seul matériel que PCI certifie, à proprement parler, sont les appareils dits PCI PTS (PIN Transaction Security) ou « SRED », qui est là où réside l'exigence de lecture et d'échange sécurisés des données (SRED). Les appareils non SRED peuvent (et possèdent généralement) les mêmes fonctionnalités de chiffrement que les appareils SRED, mais les versions non SRED ne comportent pas les mécanismes d'inviolabilité nécessaires pour qu'un produit soit éligible à la certification SRED. (À noter également que PCI impose des règles strictes aux fabricants en matière de développement sécurisé des logiciels, de mises à jour sécurisées, etc. Les appareils SRED doivent être sécurisés de bout en bout, du berceau à la tombe.) Les appareils chiffrants d'ID TECH (même ceux qui ne sont pas des appareils « SRED ») peuvent techniquement être considérés comme conformes à PCI, car ils sont utilisés dans de nombreuses solutions PCI DSS actuellement certifiées, mais les lecteurs eux-mêmes ne sont pas « certifiés PCI ». La certification PCI DSS s'applique à l'ensemble de la solution. Il ne s'agit pas d'une norme au niveau du dispositif.

P2PE

Il existe une idée reçue répandue dans le secteur des paiements concernant le « P2PE » (Point to Point Encryption). Bien souvent, lorsque les gens parlent de « P2PE », ils désignent en réalité l'E2EE (chiffrement de bout en bout). Lorsqu'un commerçant déploie un système de paiement qui assure le chiffrement au niveau matériel des données du porteur de carte vers l'application de point de vente, laquelle transmet ensuite les données chiffrées à une passerelle de paiement (distante), on parle de chiffrement « de bout en bout ». P2PE est une certification officielle PCI qui englobe tous les aspects d'une transaction : le matériel utilisé (qui doit être SRED), l'environnement de déploiement, la gestion des données (qui doit être conforme aux réglementations P2PE), l'application de paiement, ainsi que l'installation d'injection de clés et de déchiffrement. Le simple fait de disposer d'un appareil SRED ne rend pas automatiquement un système conforme à P2PE.

Il est important de comprendre que les certifications P2PE sont extrêmement coûteuses et rares. La plupart des personnes qui pensent avoir besoin du « P2PE » n'en ont en réalité pas besoin. Étudiez attentivement vos besoins avant de vous engager.

Vous avez des questions sur la certification PCI ou sur la sécurité des terminaux de paiement ? Les experts techniques d'ID TECH sont à votre disposition pour vous aider. Appelez-nous à tout moment au :

Numéro gratuit
1-800-984-1010

L'article de ce mois a été rédigé par Jason Hall, Product Manager d'ID TECH pour les solutions sans surveillance, avec la contribution de Kas Thomas.