3 - Sécurité Et Paiement en Ligne
3 - Sécurité Et Paiement en Ligne
3 - Sécurité Et Paiement en Ligne
2
Sécurité des transactions en ligne
• Un des enjeux majeurs des
transactions électroniques
concerne leur sécurité.
• La question de la confiance
est un élément essentiel dans
le commerce électronique.
3
Sécurité des transactions en ligne
• La sécurité est un défi important pour le commerce
électronique.
4
Sécurité des transactions en ligne sur Internet
• A sa naissance, Internet n’avait pas pris en compte les
questions de sécurité.
• Ce sont des protocoles ultérieurs qui ont pris en charge cette
question.
• Cryptage des données, mécanismes d’authentification.
Protocolaires suffisants…
• Mais chaque jour apparait des problèmes de sécurité
nouveaux , usurpation d’identité, hameçonnage, etc.
• Ces nouveaux problèmes nécessitent des efforts d’éducation
des internautes
5
Sécurité des transactions en ligne sur Internet
Des problèmes de sécurité existent et sont vus différemment par
le client et l’entreprise.
7
Sécurité des transactions en ligne sur Internet
• Authentification des parties: un enjeu majeur des
transactions électroniques.
• Utilisation des technologies de certificats numériques
et le chiffrement.
• TLS/SSL : l’essentiel des transactions repose sur ce
protocole, largement répandu.
– Par contre, la détection des fraudes et des
usurpations demeure un problème plus complexe
techniquement.
8
Authentification des parties prenantes à la transaction
• La question principale est celle de l’identité des
parties en présence dans l’échange.
• Comment s’assurer que l’on effectue bien une
transaction sur le site de l’entreprise que l’on a
choisie ?
• Comment le site de e-commerce peut-il être
réellement certain d’être en présence du bon client
et non d’une personne qui usurpe son identité ?
• En cas de litige, une des parties peut nier avoir
participer à la transaction. On a introduit le principe
de non-répudiation.
9
Authentification des parties prenantes à la transaction
13
Authentification des parties prenantes à la transaction
16
Les solutions de paiement en ligne
Essentiellement pour le commerce B2C
17
Choisir une solution de paiement en ligne
• Plusieurs options sont envisageables pour gérer les
règlements de transaction en ligne.
• Quatre formes principales :
– Emploi de plateforme bancaire
– Recours au prestataires de service de paiement (Payment
Service Provider, ou PSP)
– Facturation sur l’abonnement Internet de l’utilisateur
– Utilisation d’une solution de micro paiement
19
Les solutions bancaires
• La plupart des banques ont développé des prestations de
paiement en ligne pour les clients professionnels (ex: les sites
marchands) compte commercial Internet
• Déployer une telle solution est souvent le plus simple.
Le compte d’installer
– Nécessite essentiellement commercial des Internet
connecteurs entre le
serveur de commerce électronique
Un compte commercialetInternet
les serveurs bancaires
est accordé qui
par une
sont aptes à recevoir des demandes
institution financière etliées à l’exécution
permet à l’entreprised’une
qui en est
titulaire
transaction par carte d’accepter les paiements en ligne effectués par
bancaire.
carte de crédit.
• Les entreprises
La banque vérifie auprès doivent obtenir
du système un compte
de cartes commercial
bancaires
Internet distinct pour chaque type de carte de crédit
(Groupement interbanque) que laaccepter
qu’elles souhaitent carte(ex.
employée dans la
Visa, Mastercard,
transaction est valide et autorise
American Express). ou rejette la demande
d’autorisation qui a été transmise par le site marchand.
20
Echanges sécurisés par iKP
21
Internet keyed payment (IPK) Paiment chiffré sur Internet
Passerelles de paiement
22
Les passerelles de paiement sécurisées
• Indépendance par rapport à un établissement
bancaire.
• Palette de prestations plus large que celle d’une
banque classique:
– Prise en charge d’un nombre plus grand de cartes
bancaires
– Acceptation de paiement en devises, prestations
additionnelles
• Le marché des PSP est devenu très concurrentiel,
et de nombreux offres existent, comme celles de
PayBox, Ogone, Kilk & Pay, etc.
23
Paybox, le tout en un!
Plateforme de paiement unique quel que
soit le canal de vente
Paybox traite à ce jour les flux de plus 35 000
marchands et 120 millions de transactions
par an. Paybox opère et exploite un service
de paiement en relation avec les différents
acteurs du commerce électronique :
• Le commerçant
• Les agences web et prestataires de
services
• Les établissements bancaires
• Les acheteurs
24
Disponibilité et performance de la plateforme
• disponible 24h/24, 365 jours par an
– Activation de la solution de paiement en moins de 48h
– Paybox possède deux plateformes de production hébergées sur des
sites différents, distants de plus de 500 km
• Ces deux sites sont agréés PCI DSS niveau 1 version 2.0 (le plus
haut niveau de certification à l’heure actuelle).
26
Cycle de vie d’une transaction en vente à
distance
Demande Ordre de débit partiel / total Remboursement
d’autorisation de l’autorisation, Mise à partiel / total
Consultation disposition de la transaction (historique
serveurs à la prochaine télécollecte disponible 13 mois)
bancaires / privatifs bancaire
Télécol-
Capture lecte /
Demande Rembour-
/ ordre Remise
d’autorisation sement
de débit en
banque
An
nu
lati
o n
Jour J J+7
Remboursement dans la limite de la
27
date de validité de la carte
Fonctionnalités
• La personnalisation de la page de paiement est gratuite, La
page de paiement au format mobile s’adapte par simple
paramétrage d’une variable.
• Grâce à la personnalisation de page :
▪ Intégrez votre charte graphique
▪ Rassurez vos clients dans le tunnel d’achat en
évitant la sensation de rupture
• La page de présélection des moyens de paiement
• Le logo de l’enseigne ou bannière
• Le choix de la langue d’affichage et de la devise
• Le fond d’écran, La police de caractères, la taille et la
couleur des textes
32
Paiement par facturation sur l’abonnement Internet
• Proposition du débit de la transaction marchande
sur la facture Internet/Mobile.
• Destiné aux services ou contenus multimédia
payant.
• L’achat est intégré à la prochaine facture ou débité
en temps réel pour un forfait bloqué ou une carte
prépayé.
• Cas de www.internetplus.fr en France
• Plus d’informations sur
www.infoconso-multimedia.fr
33
Autres moyens de paiement
34
Autres solutions de paiement électronique
• PayPal: acteur majeur dans le domaine du paiement
électronique.
– Le client crée un•compte
Paypal sechez
targuePaypal
de fairequ’il
plus depeut alimente
$4 milliards à
de chiffre
partir de son compte bancaire
d'affaires (2011)de façonplus
et d'avoir sécurisée.
de 200 millions de
– Tous les autres paiements
clients. électroniques sont effectués à
partir de son compte Paypal
• La société quispécialisée
eBay, ne nécessite
dans lapasventedededonnées
particulier
sur son compte bancaire (www.paypal.fr)
à particulier, en a d'ailleurs fait l'acquisition en 2002,
37
Conseils pour réduire les risques en matière
de sécurité et de la protection
des renseignements personnels associés
au e-commerce
39
Conseils pour réduire les risques d’insécurité
• Passez en revue les fonctions et les services
relatifs à la sécurité offerts par votre hébergeur
Web, votre fournisseur de services Internet,
votre concepteur Web et votre fournisseur de
logiciels.
• Soyez attentif aux alertes de sécurité et installez
les correctifs de sécurité nécessaires.
• Procédez régulièrement à la mise à jour du
logiciel de sécurité et à la recherche de logiciels
espions et de virus. 40
Conseils pour réduire les risques d’insécurité
• Faites régulièrement des copies de sauvegarde
des systèmes et des données.
• La conception d’un site de commerce
électronique doit réduire au minimum les
risques pour la sécurité.
– Par exemple, lorsque le consommateur appuie sur
le bouton « Acheter », le bouton « Précédent »
devrait être désactivé.
41
Conseils pour réduire les risques d’insécurité
• Procurez-vous un certificat numérique pour
votre site Web.
– Ce certificat indique que les renseignements
personnels transmis à votre site seront chiffrés
(codés).
• Verisign (http://www.verisign.com) et Thawte
(http://thawte.com) sont deux des principaux
fournisseurs de certificats numériques sur
Internet.
42
Conseils pour réduire les risques d’insécurité
• Évitez de stocker sur votre ordinateur
l’information relative aux cartes de crédit des
clients.
– Si vous laissez ces renseignements sur votre
ordinateur, assurez-vous que ni vos employés ni
les pirates informatiques n’y ont accès.
43
Conseils pour réduire les risques d’insécurité
• Rédigez une politique de protection des renseignements personnels. Cette
politique devrait encadrer la collecte et l’utilisation des renseignements
ainsi que les procédures de sécurité utilisées pour protéger ces
renseignements de la perte, du vol ou de toute modification.
• Vous pourriez afficher cette politique sur votre site. Vous pourriez
également demander un sceau de garantie de protection des
renseignements personnels.
• L’icône du sceau de garantie de protection des renseignements personnels
s’affiche sur votre site et augmente la confiance des consommateurs.
– Selon le site Entrepreneur (www.entrepreneur.com/article/171506), les deux
principaux programmes de garantie de protection des renseignements personnels
sont TRUSTe (www.truste.com) et BBBOnline (
www.bbb.org/canada/business/bbbonline).
44
Conseils pour réduire les risques d’insécurité
• Assurez-vous d’être muni du protocole SSL qui
permet de crypter les renseignements confidentiels
pendant la transmission des transactions et leur
autorisation.
45
Conseils pour réduire les risques d’insécurité
• Assurez-vous d’avoir le matériel de sécurité nécessaire pour stocker les
renseignements.
• Par exemple, une carte PCI (interconnexion de composants
périphériques) est souvent installée pour rehausser le niveau de
protection.
• Une autre approche utilisée est le protocole SET (Secure Electronic
Transaction) élaboré conjointement par VISA et MasterCard. Avec ce
protocole, l’entreprise n’a pas accès aux renseignements sensibles et
ceux-ci ne sont pas stockés sur le serveur de l’entreprise.
– Il y a le protocole 3-D Secure qui est aujourd’hui sont remplaçant (Verified By Visa
et MasterCard SecureCode).
47
Conseils pour réduire les risques d’insécurité
• Méfiez-vous des commandes importantes ou des commandes
de plusieurs exemplaires du même produit, en particulier si le
client demande une livraison urgente.
– Si vous vendez des articles de valeur qui peuvent se revendre
facilement, vous pourriez envisager de faire appel aux services évolués
de protection contre les fraudes offerts par les fournisseurs de services
de passerelle.
– Ex., les filtres antifraude qui détectent les activités suspectes.
48