La tokenisation au secours de la sécurité des paiements en carte de crédit et des failles de sécurité

Selon le dernier rapport des violations de données de Verizon en collaboration avec les Services Secrets américains et la Division High Tech de la Criminalité Hollandaise, 40% de toutes les violations de données en 2010 sont survenues dans l’industrie hôtelière. Non sans surprise, le rapport a également constaté que les niveaux de conformité PCI sont en baisse par rapport à l’année précédente - 89% des entreprises interrogées n’ont pas été validées comme conforme au moment de l’infraction.

Tous les hôtels, et de toute taille, ont besoin de comprendre les risques et d’assurer à leur clientèle un traitement des données et des transactions répondant aux normes PCI. Ne pas le faire peut entraîner de lourdes amendes, une augmentation des frais de traitement de CB, de la mauvaise publicité et une dévaluation de la marque concernée.

La conformité PCI en va de la responsabilité des hôtels, et non des éditeurs de logiciels. C’est à chaque hôtelier de s’assurer que votre entreprise met en œuvre et de maintenir une sécurité réseau efficace, un suivi de la vulnérabilité et une surveillance du système. Le site internet PCI Security Standards offre pas mal de conseils. Nous vous invitons à relire un article de mars 2011 avec des recommandations faciles à mettre en place.

La certification de la conformité comprend deux étapes distinctes :

• L’auto-évaluation : toutes les entreprises sont tenues d’auto-évaluer leur système informatique et le traitement des paiements
• La vulnérabilité de la numérisation : selon la façon dont sont traités les paiements et la connexion Internet, une numérisation du réseau de la vulnérabilité de numérisation en réseau peut également être nécessaire.

Il est clair que l’industrie hôtelière a besoin d’adopter plus vite des normes PCI. Une grande partie du problème réside dans l’utilisation généralisée de systèmes logiciels existants qui n’ont pas la capacité de bien crypter et de sécuriser les informations sensibles. La tokenisation a un potentiel important pour surmonter ce problème particulier, donc si vous avez affaire à des systèmes plus anciens, il est certainement intéressant de regarder ce qu’elle peut faire pour votre entreprise.

Au sein d’HTNG, les grandes chaînes hôtelières mondiales se regroupent pour sécuriser les données de carte de paiement et explorent la voie de la tokenisation.

Pour faire très simple :

• une réservation est enregistrée sur le site Internet de l’hôtel
• la carte de paiement est saisie en ligne par le client
• au lieu de transmettre les coordonnées de cette carte au CRS puis au PMS, elles sont transmises à une société tierce, cette société étant hyper sécurisée et répondant à toutes les normes les plus draconiennes
• cette société tierce renvoie instantanément un jeton qui réintègre la chaîne de distribution et remplace les coordonnées de carte de paiement dans le CRS ou le PMS. Ce jeton est émis pour un montant précis
• au moment de débiter, l’hôtel actionne le jeton - partiellement ou en totalité - et la société tierce procède au débit de la carte du client et au transfert des fonds vers l’hôtel. Ces modalités vont bien évidemment différer en fonction de la société tierce sélectionnée

Ce jeton étant émis vers un hôtel précis, il ne peut être utilisé que pour cet hôtel. Le vol du jeton n’apportera strictement rien au voleur car il ne contient aucune donnée personnelle du porteur de carte ni de l’hôtel d’ailleurs.

En utilisant les jetons pour toutes les transactions de carte de paiement, les systèmes classiques (CRS, PMS, POS...) sortent du spectre PCI. C’est précisément ce qui passe actuellement au sein du groupe de travail HTNG. Il faut bien prendre conscience que ces normes PCI sont extrêmement compliquées à mettre en place en l’état. La solution du jeton permet d’en sortir...

Si vous copiez cet article, n’oubliez pas d’insérer le lien vers sa source : http://suiv.me/2042