Visa a annoncé aujourd'hui un nouveau programme de conformité à la Norme de sécurité des données du secteur des cartes de paiement (NSD SCP) qui favorisera l'authentification dynamique des données par le déploiement continu, auprès des marchands, de terminaux EMV capables de traiter les paiements avec ou sans contact, ou les deux à la fois.

Une première dans l'industrie, le Programme d'innovation technologique (PIT) de Visa éliminera l'exigence voulant que les marchands admissibles valident annuellement leur conformité à la NSD SCP pour toute année où au moins 75 % de leurs transactions Visa sont effectuées au moyen d'un terminal acceptant les cartes à puce. Pour se qualifier, le terminal doit être muni d'une interface permettant l'acceptation des paiements par carte à puce, avec ou sans contact ou les deux à la fois. Tous les marchands se trouvant à l'extérieur des États-Unis sont admissibles et peuvent commencer à se qualifier au nouveau programme à partir du 31 mars 2011. Visa Europe a annoncé un programme similaire.

« Visa a souligné à maintes reprises la nécessité de solutions d'authentification pour passer aux technologies d'authentification dynamique des données, telle la puce EMV, a déclaré Ellen Richey, directrice principale - Risque d'entreprise, chez Visa Inc. Même si le taux de fraude qui frappe les transactions Visa à l'échelle mondiale demeure à un plancher sans précédent de moins de 6 cents par tranche de 100 $, nous croyons que l'avenir de la sécurité repose sur l'authentification dynamique des données. Notre expérience nous indique que, lorsqu'un marché passe à la carte à puce, il devient moins vulnérable à la fraude par falsification et, en bout de ligne, aux attaques de masse qui compromettent les données. »

Malgré l'intérêt de l'industrie envers l'authentification dynamique des données et la puce, ce programme n'est pas offert aux États-Unis en raison de l'incertitude que la récente réglementation portant sur les cartes de débit soulève dans le marché.

Les marchands internationaux peuvent se qualifier dans le cadre de ce programme s'ils ont déjà validé leur conformité à la NSD SCP, ou s'ils ont fourni un plan pour devenir conformes, et s'ils n'ont pas récemment fait l'objet d'une atteinte importante aux données des titulaires de carte. Les marchands dont les données ont été compromises seront admissibles au programme sous réserve d'une validation subséquente de leur conformité à NSD SCP. Les marchands qui ne respectent pas les exigences du programme en matière de terminaux EMV, y compris les marchands dont le volume de transactions tient essentiellement au commerce électronique et à l'acceptation de commandes par la poste et par téléphone, sont toujours tenus de valider annuellement leur conformité à la NSD SCP, conformément aux programmes de conformité de Visa. Les marchands qui se qualifient doivent continuer de protéger les données sensibles qui demeurent sous leurs soins en s'assurant que leurs systèmes ne conservent pas les données de suivi, les codes de sécurité ou les numéros d'identification personnelle (NIP), et qu'ils continuent d'adhérer à la NSD SCP s'il y a lieu. On peut obtenir plus de détails sur le programme, dont une liste complète des exigences d'admissibilité, à l'adresse Visa.com/CISP.

« La puce EMV est une plateforme technologique éprouvée qui peut offrir à l'industrie la capacité de faciliter l'authentification dynamique des données et de favoriser les innovations en matière de paiement, a affirmé Jim McCarthy, chef de produit à l'échelle mondiale, chez Visa Inc. De plus, l'adoption par les marchands de terminaux munis d'une interface permettant les paiements avec et sans contact favorisera l'émergence de solutions de paiement par communication en champ proche (NFC), incluant les appareils mobiles. »

Contexte

En raison de l'importance accrue accordée à la sécurité des données, la commercialisation de nouvelles technologies en matière de sécurité, telles que le cryptage et la tokenisation, et l'adoption croissante de la puce EMV à l'échelle mondiale, de nombreux marchands recherchent des conseils pour s'assurer qu'ils investissent pour l'avenir lorsqu'ils améliorent leur environnement d'acceptation. Reconnaissant les avantages en matière de sécurité que comporte l'authentification dynamique au moyen d'une puce, Visa offre des avantages concrets aux marchands qui modifient leur infrastructure au point de vente pour accepter les cartes à puce. Dans le cadre du cycle de rajeunissement des terminaux ou au moment d'intégrer une nouvelle technologie en matière de sécurité, telle que le cryptage ou la tokenisation, Visa incite tous les marchands à passer à l'authentification dynamique des données par l'adoption de terminaux munis d'une interface permettant le paiement avec et sans contact.

À l'échelle mondiale, Visa continue de soutenir un éventail de méthodes de vérification des titulaires de carte, dont la signature, le NIP et l'absence de signature dans le cas des transactions d'un petit montant et à faible risque, assurant l'interopérabilité entre ces méthodes au moyen de normes techniques, de règles commerciales et de programmes de conformité. L'usage du NIP continuera de dépendre de l'adoption de terminaux par les marchands, de l'activation par les émetteurs de carte et du choix des titulaires de carte au point de vente.

Une approche à multiples niveaux en matière de sécurité des données

Visa a adopté une approche globale et à multiples niveaux en matière de sécurité des paiements, et ce dans un double objectif : protéger les données des cartes où qu'elles se trouvent dans le système des paiements et faire des investissements stratégiques dans des technologies qui permettent aux différents acteurs de réagir face à la compromission des données et de prévenir la fraude. Voici des exemples :

• Protection des données
• Favoriser la conformité à la NSD SCP à l'échelle mondiale. Plus de 76 % des grands détaillants du monde ont validé leur conformité à cette norme de sécurité.
• Veiller à ce que les marchands ne conservent aucune donnée interdite, y compris les codes de sécurité des cartes et les données liées au NIP. À l'heure actuelle, presque tous les marchands de niveau 1 et 2 à l'échelle mondiale respectent cette pratique.
• Soutenir l'adoption de la puce EMV pour permettre l'authentification dynamique des données, réduisant ainsi les données pouvant être utilisées frauduleusement.
• Publier des pratiques exemplaires sur l'élimination/la troncature, la tokenisation et le cryptage du numéro de compte primaire, lesquelles sont disponibles à l'adresse Visa.com/CISP.
• Investissements technologiques
• o Développer l'infrastructure de paiement 3D-Secure sur laquelle repose Vérifié par Visa et qui est utilisée par American Express, JCB et MasterCard pour faciliter l'authentification dynamique.
• o Innover en matière de technologie de réseau, telle que Visa Advanced Authorization, qui utilise des données transactionnelles pour fournir aux émetteurs de carte une évaluation instantanée du risque - directement dans le message d'autorisation.
• o Investir dans CyberSource pour offrir les meilleurs services de gestion de la fraude au monde. La série de produits de CyberSource fournit aux détaillants en ligne des outils pour mieux gérer et contrer la fraude avant qu'elle ne survienne.

Visa fournira des conseils techniques au cours des mois à venir pour soutenir encore davantage les marchands, les acquéreurs, les sociétés de traitement et les émetteurs qui envisageront d'adopter la technologie à puce EMV.

À propos de Visa Inc.
Visa est une société de technologie de paiement mondiale qui relie les consommateurs, les entreprises, les institutions financières et les gouvernements de plus de 200 pays et territoires à une monnaie numérique rapide, sécuritaire et fiable. À la base de la monnaie numérique figure le réseau de traitement le plus perfectionné du monde - VisaNet - lequel peut traiter plus de 20 000 transactions à la seconde, tout en protégeant les consommateurs contre la fraude et en garantissant un paiement aux marchands. Visa n'est pas une banque. Elle n'émet aucune carte, ne consent aucun crédit et n'établit pas les taux et les frais applicables aux consommateurs. Cependant, les innovations de Visa permettent à ses institutions financières clientes d'offrir plus de choix aux consommateurs : payer maintenant par carte de débit, d'avance au moyen d'une carte prépayée ou plus tard à l'aide d'une carte de crédit. Pour obtenir plus d'information, visitez www.corporate.visa.com.