Que faire des numéros de carte bleue ? C’est la question que doit se poser tout e-commerçant.
Daniel a déjà publié un long billet sur ce sujet. La solution la plus simple reste de déporter ce problème sur le site d’un prestataire de paiement. Par contre si on choisit de traiter soi même ces numéros il faut s’assurer de la sécurité au travers d’audits réguliers obligatoires.
Mes derniers déboires m’ont mis le nez sur des problèmes que je ne soupçonnais même pas.
L’article de 01Net affirme
Une attitude un peu légère quand on sait que les responsables de la société risquent une peine de 5 ans d’emprisonnement et 300 000 euros d’amende pour ne pas avoir pris toutes les précautions afin de protéger les données de leurs clients. C’est le tarif prévu par l’article 34 de la Loi informatique et libertés.
Vu que le texte de loi est illisible (pour moi en tout cas), je ferais confiance à 01NET
Je suis aussi tombé sur un texte de la CNIL : Délibération n° 03-034 du 19 juin 2003 portant adoption d’une recommandation relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance
La présente recommandation a pour objet, (…), de préciser les garanties minimales à respecter lors de la mise en œuvre, par les professionnels, de traitements afférents au numéro de carte bancaire.
- La collecte et la conservation du numéro de carte bancaire dans un traitement automatisé d’informations nominatives doit s’effectuer (…) dans le respect de finalités déterminées et légitimes ;
- Le traitement automatisé du numéro de carte bancaire doit faire l’objet d’une déclaration à la CNIL décrivant avec précision la finalité poursuivie, dans les conditions prévues à l’article 16 de la loi du 6 janvier 1978. Le manquement à cette obligation est constitutif d’une infraction pénale (article 226-17 du Code pénal) ;
- La finalité première de l’utilisation d’un numéro de carte bancaire est la réalisation d’une transaction, qu’elle soit ponctuelle ou à exécutions successives, c’est à dire le complet paiement d’un prix en contrepartie de la délivrance d’un bien ou la prestation d’un service.
Sur la sécurité des traitements
La Commission observe que les pratiques liées à la collecte du numéro de carte bancaire entraînent la multiplication de bases de données pouvant faire l’objet d’une réutilisation frauduleuse, en particulier lorsque ces bases de données sont accessibles sur internet.
La Commission considère en conséquence que les responsables de traitements devraient prendre les mesures organisationnelles et techniques appropriées afin de préserver la sécurité, l’intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation, détournement, communication ou modification non autorisés.
(…) elle recommande que :
- les responsables de traitements utilisent uniquement des systèmes de paiement en ligne sécurisés conformes à l’état de l’art et à la réglementation applicable ;
- les responsables de traitements ne mémorisent pas les informations relatives au cryptogramme visuel (CVV2) de la carte bancaire de leurs clients ;
- s’agissant des mesures organisationnelles propres aux responsables de traitement, ces derniers adoptent une politique de gestion stricte des habilitations de leur personnel ne donnant accès au numéro de carte bancaire des clients que lorsque cela est rigoureusement nécessaire et aux seules personnes exerçant des fonctions liées à la finalité déclarée. Les responsables devraient s’assurer que les numéros de cartes bancaires apparaissent toujours de façon tronquée sur l’écran des salariés habilités (…)
- dès lors que le numéro de carte bancaire est enregistré dans une base de donnée, les commerçants aient recours à des procédés techniques permettant de crypter de manière irréversible le numéro de la carte bancaire dès que la transaction a été réalisée ; (…)
Sur la durée de conservation
- la conservation du numéro de carte bancaire dans un traitement automatisé d’informations nominatives doit s’effectuer (…) pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles l’information est exigée. Cette durée doit faire l’objet d’une déclaration à la Commission. Le fait de conserver cette information au delà de la durée prévue dans la déclaration est constitutif d’une infraction pénale (article 226-20 du Code pénal) ;
- toute conservation du numéro de carte bancaire d’un client suppose que des mises à jour régulières soient effectuées afin de supprimer les numéros de cartes bancaires périmés.
La Commission estime en conséquence que les responsables de traitements devraient promouvoir, pour le commerce électronique, l’utilisation de moyens de paiement électronique sécurisés alternatifs garantissant l’anonymat des paiements réalisés par leurs clients.
Allez, je résume :
- On doit se déclarer à la CNIL,
- On doit avoir une sécurité dans l’état de l’art,
- On ne conserve pas le cryptogramme,
- On empêche l’affichage du numéro complet aux salariés de l’entreprise,
- On crypte de manière irréversible le numéro lorsqu’il a été utilisé,
- On ne conserve pas les numéros quand l’achat est terminé ou quand la date d’expiration est passée,
- On garantit l’anonymat des paiements.
Il faut quand même garder à l’esprit que c’est une recommandation avec des rappels à la loi. Ce n’est pas une loi…
Source de l’illustration
Posted by Arnaud Jeulin / Sécurité and entreparticuliers.com
