Depuis longtemps déjà les marchands en ligne réclament de ne plus être forcés par leur banque à conserver les numéros de carte bancaires complets de leurs clients. Car stocker ces derniers représente un risque accru de piratage et augmente inutilement le périmètre de conformité à la réglementation PCI-DSS.

Visa – l’un des principaux initiateurs de PCI-DSS – prend désormais officiellement fait et cause pour les marchands en conseillant aux banques de ne plus exiger la conservation de ce fameux numéro de carte (PAN, pour Primary Account Number).

S’il ne s’agit que d’un encouragement pour l’instant cela pourrait toutefois devenir une obligation à la fin de l’été : Visa se donne en effet jusqu’au 31 août prochain pour recueillir les commentaires de la communauté (banques, marchands) et décider d’une interdiction officielle en la matière.

Jusqu’à présent le PAN est essentiellement conservé afin de gérer d’éventuels conflits ultérieurs liés au paiement. Mais d’autres solutions, comme la tokenization dont nous parlons ici, permettraient de ne pas avoir à conserver le numéro complet.

(Source)