Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

La tokenization, toujours le bon plan PCI ?

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur La tokenization, toujours le bon plan PCI ?

Deux ans se sont écoulés depuis que nous avons qualifié la tokenization de « pilule magique » de la conformité PCI. Grâce à la tokenization, écrivions-nous alors, il est possible de réduire considérablement le périmètre PCI et, de fait, la complexité et le coût du projet.

Toutefois le PCI Council a précisé depuis le cadre d’utilisation de ces tokens et l’on se rend compte que finalement, tous les jetons ne sont pas nés égaux. « Le PCI Council a en effet introduit la notion de high value token », précise Abdelbaset Latreche, QSA et consultant pour Verizon Business. Et un jeton « de valeur », et bien ça peut vous changer un projet PCI !

La définition du PCI Council est claire : « Les jetons qui peuvent être utilisés comme un instrument de paiement et pourraient être monétisés ou utilisés pour générer des transactions frauduleuses, peuvent avoir la même valeur aux yeux d’un attaquant que les informations qu’ils remplacent ».

Un token « de valeur » est donc un jeton qui peut être utilisé à la place des informations bancaires de l’utilisateur (PAN) pour déclencher un achat (par exemple dans le cadre d’une fonctionnalité d’achat « en un clic » sur certains sites de commerce électronique). De fait, un site marchand qui ne conserverait pas de coordonnées bancaires en soit mais plutôt un token lié à ces dernières afin de déclencher un achat récurrent, verrait sa base de tokens soumise à PCI, ce qui n’était pas forcément explicite avant l’intervention du conseil PCI.

Et ce qui, en poussant le raisonnement à l’extrême, pourrait produire l’effet inverse et étendre le périmètre PCI (quid par exemple dans le cas d’un compte PayPal auquel serait lié, comme souvent, une carte bancaire ?

A cette première réserve liée aux tokens « de valeur » s’ajoute une autre limitation : la difficulté à gérer un token unique à travers plusieurs canaux de distribution. « Il sera difficile, par exemple, pour un client de payer en ligne et de retirer son achat dans un magasin physique si la société utilise deux fournisseurs de paiement différents en boutique et sur le web. Il lui sera alors impossible d’avoir un seul token pour un même client », observe Charlotte Perraudin, retail product manager chez Ingenico.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.