C’est une question que se sont posés sans doute de nombreux clients lorsqu’ils ont pour la première fois utilisé leur précieuse carte bancaire avec l’un de ces terminaux de paiement d’un nouveau genre, dont l’aspect et le fonctionnement diffèrent légèrement de celui des terminaux de paiement classique.
Rappelons que ces terminaux lisent les cartes à puce ou fonctionnent en sans contact, comme les terminaux classiques, mais que le logiciel qui communique avec la banque est hébergé sur le smartphone ou la tablette du commerçant.
Il y a donc un échange d’information supplémentaire, entre le lecteur et l’appareil mobile, qui s’effectue au moyen du protocole Bluetooth.
LIRE AUSSI : Sécurité des terminaux de paiement
Y a-t-il des normes de sécurité pour ces mini TPE ?
Pour avoir le droit d’opérer des transactions utilisant des cartes bancaires, les opérateurs comme Zettle, Square, SumUp ont dû mettre au point des lecteurs de cartes et des procédures répondant aux normes en vigueur pour tous les terminaux :
EMVCo pour le respect des standards des cartes bancaires. Cette norme a été mise en place notamment par Mastercard et Visa.
PCI DSS pour la sécurité des données du porteur de carte. Toujours chapeautée par les grands réseaux de carte bancaire, elle comporte 6 axes de travail qui vont du cryptage à la politique d’information du personnel.
PCI PTS, qui concerne plus spécifiquement le lecteur.
Un tiers peut-il avoir accès aux données bancaires ?
Non. Le commerçant n’a aucun accès au contenu de la transaction. Par ailleurs, comme toutes les données sont cryptées lors du transit (ce qui implique l’utilisation d’une version cryptée Bluetooth) entre le lecteur et le smartphone, cela signifie que même si la communication était interceptée, elle serait illisible.
Ajoutons que le smartphone ne stocke aucune donnée ; en cas de vol, le voleur n’aurait accès à aucune information, ni sur les ventes ni sur les acheteurs.
Image : EC, Mobile Transaction
Un lecteur bluetooth, comme le SumUp Air est conforme aux normes de sécurité en vigueur.
Donc, pas de raison de s’inquiéter ?
Non pas particulièrement, aucun système n’est infaillible, mais il n’y a pas de raison de s’inquiéter plus que pour un autre type de transaction. De plus en plus de petits commerçants, d’indépendants et d’auto-entrepreneur s’équipent avec ces terminaux, qui sont de plus en plus familiers.
Si des poids lourds comme Visa ou Mastercard ont, à travers des entités comme EMV et PCI, accordé des certifications à des opérateurs comme Zettle et SumUp, c’est qu’ils les estiment sûrs.
Défaut de ces appareils : ils ne peuvent pas télécharger la liste des cartes bloquées et volées. Le contrôle se fait donc uniquement à distance, au niveau du serveur.