Les terminaux admissibles doivent être en mesure de supporter l’acceptation des puces EMV sans contact et avec contact, y compris les paiements mobiles sans contact reposant sur la technologie CCP. Les terminaux à puce sans contact uniquement ou avec contact uniquement ne seront pas admissibles au programme américain.
Depuis le 1er avril 2015, l’admissibilité au PIT a été accordée aux marchands qui ont investi dans une solution validée de cryptage point à point. Les solutions admissibles sont celles qui sont incluses sur la liste des solutions de cryptage point à point validées pour la norme PCI SSC ou qui sont validées par une société indépendante d’évaluation de la sécurité qualifiée en matière de cryptage point à point conforme à la norme PCI SSC.
Les terminaux de cartes à puce doivent avoir une approbation actualisée et valide en matière de puces EMV et passer les exigences d’essai de la trousse d’outils de validation des appareils de l’acquéreur (Acquirer Device Validation Toolkit – ADVT), de la trousse d’outils d’évaluation du système sans contact (Contactless Evaluation Toolkit – CDET) ou de l’outil d’essai payWave de Visa (Visa payWave Test Tool – VpTT), le cas échéant². La solution de cryptage point à point doit être incluse sur la liste des solutions validées pour la norme PCI SSC ou doit être validée par une société indépendante d’évaluation de la sécurité qualifiée en matière de cryptage point à point conforme à la norme PCI SSC.
Le cryptage point à point permet de sécuriser l’environnement d’acceptation d’un marchand en supprimant ou en dévaluant les données des titulaires de carte. Visa reconnaît la valeur de la sécurité que cette technologie apporte à l’environnement d’acceptation des points de vente.
Contactez votre acquéreur si vous pensez que vous êtes admissible aux avantages du PIT.
Pour être admissibles au programme et recevoir ses avantages, les marchands américains doivent satisfaire tous les critères suivants :
1. Confirmez que les données d’authentification sensibles (c’est-à-dire, le contenu intégral de la bande magnétique, le CVV2 et le NIP) ne sont pas stockées à la suite de l’autorisation de la transaction, comme le définit la norme PCI DSS.
2. Veillez à ce qu’au moins 75 pour cent de toutes les transactions proviennent de l’un des réseaux d’acceptation sécurisés suivants :
• Terminaux de lecture des cartes à puce activés et fonctionnels (les marchands américains doivent répondre aux critères de volume pour les terminaux à double interface pour transactions avec ou sans contact)1. Les terminaux de cartes à puce doivent avoir une approbation actualisée et valide en matière de puces EMV et passer les exigences d’essai de la trousse d’outils de validation des appareils de l’acquéreur (Acquirer Device Validation Toolkit – ADVT), de la trousse d’outils d’évaluation du système sans contact (Contactless Evaluation Toolkit – CDET) ou de l’outil d’essai payWave de Visa (Visa payWave Test Tool – VpTT), le cas échéant.
• Service de cryptage point à point validé2 (NOUVEAU) La solution de cryptage point à point doit être incluse sur la liste des solutions validées pour la norme PCI SSC ou doit être validée par une société indépendante d’évaluation de la sécurité qualifiée en matière de cryptage point à point conforme à la norme PCI SSC.
3. Ne pas être impliqué dans la violation des données des titulaires de carte. Un marchand qui est victime d’une violation des données peut être admissible au PIT s’il a par la suite fait valider sa conformité à la norme PCI DSS.
Les marchands qui ne répondent pas aux exigences du programme en matière d’utilisation des terminaux, notamment les marchands dont le volume de transactions provient principalement du cybercommerce et des réseaux d’acceptation par la poste et par téléphone, doivent encore valider leur conformité à la norme PCI DSS chaque année en respectant les programmes de conformité Visa.