Terminal PDV & transactions sécurisées

Soyez bien payés !

Vous opérez un commerce de détail, un restaurant ou une entreprise de service acceptant les paiements par carte (débit ou crédit) sur terminal PDV (Point De Vente) à votre place d’affaires?

Cet article s’adresse à vous !

En effet, on entend souvent parler que les consommateurs doivent se protéger lors de l’utilisation de leur carte de paiement.  Mais qu’en est-il du commerçant ?  Comment se protéger des fraudes ? Comment s’assurer de transactions sécurisées ?  Il y a 2 volets à explorer pour trouver les réponses. D’abord, le côté électronique, notre spécialité, mais aussi le côté humain que le spécialiste que nous avons interviewé connait bien!

Le volet électronique

À tous nos clients, nous recommandons d’abord de sécuriser les transactions de paiement grâce à une solution conforme aux normes de sécurité les plus strictes de l’industrie, les normes PCI DSS. Il s’agit ici principalement des terminaux puisque dès que les données quittent le terminal, elles se rendent, cryptées, directement au centre de traitement par «voie réservée» sur internet.  En résumé, la façon acceptée de transporter les transactions déjà cryptées, c’est d’utiliser un tunnel (voie réservée) crypté, soit du double cryptage . Il est donc difficile d’intercepter les données sensibles.

Parmi les composantes nécessaires pour accepter les transactions sur station de paiement au point de vente, il faut d’abord… un terminal!  Celui-ci relié au réseau du commerce, lui-même relié au réseau internet. Entre le terminal et la connexion internet du commerce, l’idéal est d’être connecté par fil, sinon, le Wi-Fi se doit d’être sécurisé selon les meilleures pratiques de l’industrie afin de diminuer les risques. Et finalement, par le réseau internet, le terminal est connecté au centre de service du fournisseur de traitement des paiements (Moneris, Chase Paymentech, Desjardins, etc.).

Pour ce qui est des terminaux sans fil, ils communiquent avec une base, installée dans le commerce, par protocole Bluetooth. La base est quant à elle câblée au réseau du commerce et, ainsi, au réseau internet.

Dans les cas où l’internet n’est pas disponible, comme pour les taxis et les commerces mobiles, les terminaux sont reliés aux fournisseurs par réseau cellulaire.  De façon plus exceptionnelle de nos jours, une ligne téléphonique standard peut être utilisée.

Pour les établissements ayant plusieurs terminaux (grandes surfaces, chaines de restauration rapide, franchises, grandes bannières), il existe des systèmes beaucoup plus évolués.  Le fondement est toujours la même cependant : les données issues des terminaux sont cryptées avant d’être envoyées sur le réseau internet.  Dans ces cas, les flux importants de données imposent une planification réseautique très bien orchestrée.   L’architecture de réseau doit alors être pensée en fonction de tous les autres services de l’entreprise (gestion de l’inventaire, données comptables, rapports, téléphonie IP, etc.).  Tout doit être bien pensé et déployé au niveau architecture de réseau, tant au niveau filaire et sans fil (WIFI) afin d’obtenir des solutions de paiements performantes et sécuritaires pour les marchands et les consommateurs.

Le volet humain

La sécurité des paiements n’est pas seulement une affaire de réseau ou d’informatique.  Tout se passe d’abord dans l’établissement, au moment du paiement par le client.  À cet effet, Philippe Leclerc, Consultant en solutions d’affaires pour les PME de Corporation Solutions Moneris, nous met en garde contre les fraudes en nous offrant quelques bons conseils, souvent issus du GBS (Gros Bon Sens).

Privilégiez les cartes de débit pour le paiement

En effet, elles sont limitées par un plafond de dépenses transactionnel (souvent de 500 $) et quotidien (habituellement de 1000 $). De plus, il est impossible de faire une transaction manuelle.

Attention aux remboursements frauduleux

Dans ce cas, on vous demandera habituellement de vous rembourser sur une carte qui n’a pas été utilisée pour le paiement.  On pourra prétexter que c’est la carte du conjoint, du frère ou de la sœur, du père ou de la mère.  Lors d’un remboursement, exigez la même carte qui a été utilisée pour le paiement.

Sécurisez les terminaux

Les terminaux PDV sont volés, altérés puis retournés aux établissements des commerçants dans le but « d’écrémer » ou de capturer des données de compte stockées sur la bande magnétique d’une carte de crédit ou de débit qui sont ensuite transférées à des cartes contrefaites  Aucune donnée sensible n’est stockée dans les terminaux et ceci contribue grandement à limiter les vols d’appareils. « L’écrémage » semble toutefois toujours possible et des technologies existent (pour l’instant coûteuses) pour le contrer.  Selon Philippe Leclerc, il existe plusieurs façons de fixer le terminal solidement afin d’en empêcher le vol et c’est une solution peu coûteuse.

Évitez le traitement manuel des transactions

Il y a deux façons de traiter les transactions automatiquement.  Soit par l’utilisation de la puce, soit par la bande magnétique.  Si les deux ne fonctionnent pas, demandez d’abord si le client a une autre carte qu’il peut utiliser avant de faire un traitement manuel.  Si le traitement manuel est nécessaire, assurez-vous d’avoir toutes les informations (date, numéro de carte (empreinte), détails de la transaction, signature du titulaire, numéro d’autorisation) et demandez une pièce d’identité avec photo afin d’identifier le client et d’associer son nom à celui inscrit sur la carte.

Formez et informez vos employés

Les paramètres généraux pour le contrôle et la validation des transactions devraient être transmis par écrit aux employés qui doivent traiter les transactions au PDV.  À cet effet, les fournisseurs comme Moneris ont des manuels disponibles.

Vérifiez ou recherchez des choses toutes simples lors de la transaction :

  • L’hologramme
  • Le numéro d’identification de la banque
  • Le symbole embossé unique
  • L’espace pour la signature à l’arrière de la carte devant être signé
  • La date d’expiration

Soyez attentifs

Selon Philippe Leclerc, une carte à puce doit demeurer insérée dans le terminal PDV pendant toute la durée de la transaction. Retirez la carte seulement lorsque le message affiché vous invite à le faire. Si vous retirez la carte avant que la transaction ne soit terminée, celle-ci sera annulée.  Certains fraudeurs connaissent bien le système. Monsieur Leclerc cite en exemple une transaction frauduleuse de plus de 2000$ dans un magasin d’articles de sport.  Le fraudeur a retiré volontairement la carte à puce durant la transaction, ce qui l’annule automatiquement.  Toutefois, avec dextérité et rapidité, le fraudeur expérimenté a pu faire lui-même la transaction manuellement.

Je conclus en vous rappelant que la technique et la réseautique, une firme comme la nôtre peut s’en occuper.  Vous avez toutefois, comme gestionnaire d’un commerce, la principale responsabilité, celle de vous assurer que tout est fait pour garantir de la sécurité des transactions.


Stéphane Beaulieu
VP Ventes – Téléphonie IP pour PME et services conseils en télécommunications chez SBK TELECOM
www.sbktelecom.com
1 855-667-0691


Sources :

Philippe Leclerc
Consultant en solutions d’affaires
Corporation Solutions Moneris
450 641-3159
[email protected]

https://www.linkedin.com/pub/philippe-leclerc/93/161/184

https://frca.pcisecuritystandards.org/minisite/en/

http://www.moneris.com/fr-ca

http://fr.chasepaymentech.ca/pos_payments.html

http://www.desjardins.com/entreprises/paiement-financement-point-vente/

Stéphane Beaulieu

VP Ventes - Téléphonie IP pour PME et services conseils en télécommunications chez SBK TELECOM.

Find me on:

SBK TELECOM

Nous sommes spécialisés en design d'architecture de réseau, en sécurité de l'information, en technologie sans-fil et en téléphonie IP hébergée.


Laisser un commentaire