Apr 9th 2008 08:38 am Que dois je faire des numéros de Carte Bleue ?

carte de crédit

Que faire des numéros de carte bleue ? C’est la question que doit se poser tout e-commerçant.

Daniel a déjà publié un long billet sur ce sujet. La solution la plus simple reste de déporter ce problème sur le site d’un prestataire de paiement. Par contre si on choisit de traiter soi même ces numéros il faut s’assurer de la sécurité au travers d’audits réguliers obligatoires.

Mes derniers déboires m’ont mis le nez sur des problèmes que je ne soupçonnais même pas.

L’article de 01Net affirme

Une attitude un peu légère quand on sait que les responsables de la société risquent une peine de 5 ans d’emprisonnement et 300 000 euros d’amende pour ne pas avoir pris toutes les précautions afin de protéger les données de leurs clients. C’est le tarif prévu par l’article 34 de la Loi informatique et libertés.

Vu que le texte de loi est illisible (pour moi en tout cas), je ferais confiance à 01NET

Je suis aussi tombé sur un texte de la CNIL : Délibération n° 03-034 du 19 juin 2003 portant adoption d’une recommandation relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance

La présente recommandation a pour objet, (…), de préciser les garanties minimales à respecter lors de la mise en Å“uvre, par les professionnels, de traitements afférents au numéro de carte bancaire.

  • La collecte et la conservation du numéro de carte bancaire dans un traitement automatisé d’informations nominatives doit s’effectuer (…) dans le respect de finalités déterminées et légitimes ;
  • Le traitement automatisé du numéro de carte bancaire doit faire l’objet d’une déclaration à la CNIL décrivant avec précision la finalité poursuivie, dans les conditions prévues à l’article 16 de la loi du 6 janvier 1978. Le manquement à cette obligation est constitutif d’une infraction pénale (article 226-17 du Code pénal) ;
  • La finalité première de l’utilisation d’un numéro de carte bancaire est la réalisation d’une transaction, qu’elle soit ponctuelle ou à exécutions successives, c’est à dire le complet paiement d’un prix en contrepartie de la délivrance d’un bien ou la prestation d’un service.

Sur la sécurité des traitements

La Commission observe que les pratiques liées à la collecte du numéro de carte bancaire entraînent la multiplication de bases de données pouvant faire l’objet d’une réutilisation frauduleuse, en particulier lorsque ces bases de données sont accessibles sur internet.

La Commission considère en conséquence que les responsables de traitements devraient prendre les mesures organisationnelles et techniques appropriées afin de préserver la sécurité, l’intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation, détournement, communication ou modification non autorisés.

(…) elle recommande que :

  • les responsables de traitements utilisent uniquement des systèmes de paiement en ligne sécurisés conformes à l’état de l’art et à la réglementation applicable ;
  • les responsables de traitements ne mémorisent pas les informations relatives au cryptogramme visuel (CVV2) de la carte bancaire de leurs clients ;
  • s’agissant des mesures organisationnelles propres aux responsables de traitement, ces derniers adoptent une politique de gestion stricte des habilitations de leur personnel ne donnant accès au numéro de carte bancaire des clients que lorsque cela est rigoureusement nécessaire et aux seules personnes exerçant des fonctions liées à la finalité déclarée. Les responsables devraient s’assurer que les numéros de cartes bancaires apparaissent toujours de façon tronquée sur l’écran des salariés habilités (…)
  • dès lors que le numéro de carte bancaire est enregistré dans une base de donnée, les commerçants aient recours à des procédés techniques permettant de crypter de manière irréversible le numéro de la carte bancaire dès que la transaction a été réalisée ; (…)

  Sur la durée de conservation

  • la conservation du numéro de carte bancaire dans un traitement automatisé d’informations nominatives doit s’effectuer (…) pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles l’information est exigée. Cette durée doit faire l’objet d’une déclaration à la Commission. Le fait de conserver cette information au delà de la durée prévue dans la déclaration est constitutif d’une infraction pénale (article 226-20 du Code pénal) ;
  • toute conservation du numéro de carte bancaire d’un client suppose que des mises à jour régulières soient effectuées afin de supprimer les numéros de cartes bancaires périmés.

La Commission estime en conséquence que les responsables de traitements devraient promouvoir, pour le commerce électronique, l’utilisation de moyens de paiement électronique sécurisés alternatifs garantissant l’anonymat des paiements réalisés par leurs clients.

Allez, je résume :

  • On doit se déclarer à la CNIL,
  • On doit avoir une sécurité dans l’état de l’art,
  • On ne conserve pas le cryptogramme,
  • On empêche l’affichage du numéro complet aux salariés de l’entreprise,
  • On crypte de manière irréversible le numéro lorsqu’il a été utilisé,
  • On ne conserve pas les numéros quand l’achat est terminé ou quand la date d’expiration est passée,
  • On garantit l’anonymat des paiements.

Il faut quand même garder à l’esprit que c’est une recommandation avec des rappels à la loi. Ce n’est pas une loi…

Source de l’illustration

Posted by Arnaud Jeulin / Sécurité and entreparticuliers.com

4 Responses to “Que dois je faire des numéros de Carte Bleue ?”

  1. max on 09 Apr 2008 at 11:30 #

    @ aranud

    t’as oublié de dire je crois que la CNIL interdit strictement la conservation du cryptogramme.

    Elle entend par numero de cb les 16 chriffres et la date d’expir uniquement.
    par contre les 16 chiffres ne doivent pas apparaitre clairement en totalité , mais parteiellement ( les premiers)

    Ces numeros servent de preuves de commandes pour le site marchand.

    le GIE interdit egalement la conservation du cryptogramme.

    le site marchand peut effectuer abusivement des prelevements s’il possede le cryptogramme d’une part et etre sujet à des piratages d’autre part etant donnée que les coordonnées bancaires sont completes et visibles;

  2. Arnaud Jeulin on 09 Apr 2008 at 11:33 #

    non non, c’est écrit : “On ne conserve pas le cryptogramme”
    idem pour la recommandation de cacher une partie du numéro.

    Par contre j’ai compris que ce sont des recommandations et non des obligations

  3. max on 09 Apr 2008 at 11:44 #

    @ arnaud

    excuse j avais pas tout lu car c’est assez long,

    Il doit y avoir une peine qui s’ajoute quand une société conserve les cryptogrammes comme visiblement cest le cas ici ?

    cette peine n’est pas comptablilisée dans le pb de sécurisation des données confidentielles.

    Que penses tu de la non sécurisation egalement des comptes perso des annonceurs ?

    en tout cas je pense que tu n’as rien a te reprocher et que tu as le soutient comme laurent de beaucoup de monde ici.

    Entreparticuliers ne t a pas ecouté malgré tes messages, tu as fait ce que tu pouvais pourtant . ils ont réagit comme il l’avait fait pour ralblog , betement par voie judiciaire pour faire pression sans regarder le fond du probleme.

    c’est dommage.

  4. Arnaud Jeulin on 09 Apr 2008 at 11:54 #

    Je pense effectivement qu’il y a un gros risque de se faire rattraper par la justice. Mais j’ai beaucoup de mal à lire les texte de loi qui mériteraient d’être écrit dans un français courant :)
    La non sécurisation des comptes perso est un autre problème. C’est un peu comme si j’achetais une voiture sans pouvoir enlever la clé et fermer les portes… Vu ces gros problèmes j’ai des doutes sur leur possibilité de retracer les IP des personnes qui effectuent des modifications sur les annonces.

    Je n’ai rien à me reprocher si ce n’est la forme qui était un peu cavalière. La réaction en face était disproportionnée alors j’ai moins de remords :)

Trackback URI | Comments RSS

Leave a Reply