Les terminaux virtuels sont utilisés par des commerces comme les fleuristes, les hôtels ou des catalogues de vente par correspondance.

Le client transmet – au téléphone ou par courrier – ses informations de carte bancaire au commerçant, lequel les entre lui-même dans un terminal de paiement virtuel, dit aussi TPE virtuel. On parle en anglais de paiements MOTO (Mail order/Telephone order).

C’est pratique, mais la gestion des données de carte bancaire des clients peut poser des problèmes juridiques et techniques. Il y a donc des règles à suivre pour minimiser les risques et assurer la sécurité des données.

L’utilisation d’un TPE virtuel est risquée

Les encaissements par TPE virtuel sont des transactions dites « carte non présente » qui présentent un risque élevé de fraude, notamment si la carte est volée. Si un taux de fraude trop élevé est constaté, on s’expose à des risques de contre remboursement ou chargeback voire d’amende de la part des réseaux de cartes bancaires.

D’autre part, les données transitent de manière non cryptée et sont directement dans les mains du commerçant ou de ses employés qui peuvent potentiellement en faire mauvais usage ou se les faire dérober.

Vente au téléphone avec un TPE virtuel

LIRE AUSSI :

Qu’est-ce qu’un terminal de paiement virtuel ?

Avant de voir comment utiliser son terminal virtuel dans des conditions sécurisées, notamment en ce qui concerne le traitement et le stockage des données, mais avant un point sur les évolutions réglementaires.

La Banque de France veut réguler les paiements MOTO

La Banque de France a publié en août 2024 la version définitive de son plan de prévention de la fraude sur les paiements par carte à distance hors 3-D Secure (PDF sur le site de la Banque de France), en application de la directive européenne DSP2.

En effet, le taux de fraude est plus élevé sur les paiements hors 3-D Secure, notamment sur les paiements MOTO, car ceux-ci ne nécessitent aucune identification et peuvent être transmis par un canal non sécurisé.

Source : Banque de France

Taux de fraude des cartes bancaire 2022-2023

Il a donc été décidé de limiter les paiements MOTO (ce qui inclut les paiements par terminal virtuel) :

  • par le biais de recommandations
  • par une limitation algorithmique des achats
Recommandations de la Banque de France :
  • Ne pas utiliser les paiements MOTO lorsqu’une autre solution est possible.
  • Ne pas utiliser les paiements MOTO lorsque le canal de communication est autre que le courrier ou le téléphone.
  • Ne jamais utiliser ce type de paiement lorsque celui-ci a été initié par le client (exemple : client qui se rend sur un site d’e-commerce). On parle de Customer Initiated Transaction (CIT).
  • Dans la mesure du possible, le client doit communiquer ses données de carte bancaire à un serveur vocal, et non un humain utilisant un terminal virtuel, si la transaction est téléphonique.
Limitation de la vélocité des paiements :

Définition de la vélocité selon la Banque de France :

Vélocité = montant cumulé des achats / carte / commerçant / 24 heures.

Le seuil a été abaissé à 100 € en octobre 2024. Cette limite doit être respectée par les prestataires de services de paiement (PSP).

Il existe toutefois des exemptions à la limitation de la vélocité : associations caritatives, administrations, transport, agence de voyage, hébergement, location de voitures, assurances, presse etc.

Voyons maintenant que faire pour limiter les risques si vous utilisez un terminal virtuel :

Attention au stockage des données de carte bancaire

La règle n°1 est de n’enregistrer aucune information de carte bancaire. On ne doit rien stocker sur ses propres serveurs ou ordinateurs si l’on n’est pas une entreprise spécialisée dans le traitement de ce type de donnée.

Pour faire court, disons que les contraintes réglementaires européennes (Règlement Général sur la Protection des Données ou RGPD) et techniques (normes PCI DSS) sont trop lourdes à gérer. Pour information, le RGPD concerne toute entreprise traitant des données à caractère personnel de résidents européens.

Si l’on souhaite tout de même enregistrer quelque part les informations de la carte, par exemple pour permettre au client de réaliser des achats récurrents, il faut passer par une entreprise tierce : de préférence un service dans le Cloud qui soit certifié PCI niveau 1 et dont les serveurs soient situés en Europe. Attention à bien choisir son prestataire, car on sera co-responsable en cas de problème de sécurité ou de propriété des données.

Au pire on peut tenter de limiter le stockage des données à un seul serveur/ordinateur pour limiter le nombre d’environnements de stockage (Cardholder Data Environnement)) soumis aux règles PCI mais cela reste très contraignant.

La norme PCI à la rescousse ?

La norme PCI DSS a été mise en place par les réseaux comme Visa et Mastercard pour fournir un cadre technique au traitement des informations des cartes bancaires et des transactions. Elles ne concernent pas le droit des personnes à disposer de leurs données qu’impose le RGPD. Suivre les normes PCI n’est pas une obligation, mais aide à se conformer à l’un des aspects du RGPD.

Les petites entreprises effectuant moins de 20 000 transactions peuvent se contenter des normes PCI de niveau 4. Celles-ci n’imposent que de remplir un questionnaire d’autoévaluation appelé SAQ (self assesment questionnaire).

Le questionnaire qui concerne les commerçants utilisant un terminal virtuel et ne traitant aucune donnée sur place est le SAQ-A. Pour être conforme, il faut bien entendu que l’organisme qui traite les données à distance soit conforme aux normes PCI. Voir le SAQ-A (pdf en anglais) sur le site officiel des normes PCI.

Que faire d’autre pour sécuriser son TPE virtuel ?

On peut déjà sécuriser l’environnement logiciel et matériel. Commencer par installer un antivirus, supprimer les programmes malveillants qui prennent des captures d’écran.

Utiliser également des logiciels scanners de vulnérabilité, à la recherche faille dans le réseau, par exemple de ports ouverts ne correspondant à aucun logiciel autorisé.

Éviter les espaces ouverts. Personne ne doit pouvoir passer dans le dos de la personne qui saisit les données dans le terminal.

Ne jamais taper le numéro de carte ailleurs que dans le terminal virtuel, ne jamais le saisir sur un bout de papier.

Ajouter un filtre transparent qui empêche de voir ce qui est affiché sur l’écran quand on est placé sur le côté.

Cadenas de sécurité posée sur des cartes bancaires

LIRE AUSSI :

La sécurité des terminaux de paiement et les risques de fraude

La configuration du terminal virtuel  est possible avec certaines banques : cela consiste à mettre un délai automatique ou manuel entre l’autorisation de la transaction et l’envoi des fonds. Cela donne le temps d’annuler la transaction en cas de contestation.

Penser également à la sécurité des personnes dont la carte a été dérobée : il faut implémenter le 3-D Secure de manière systématique lors des paiements par téléphone. Il s’agit d’une double authentification par la banque du client (Exemple : envoi de code par SMS).

Et bien sûr, ne confier qu’aux personnes de confiance la saisie des données dans le terminal virtuel.

Solution alternative ?

Moins risqué que le terminal virtuel : le lien de paiement. Avec ce système, on envoie une demande de paiement par email ou SMS au client, qui règle lui-même le paiement sur une page de paiement en ligne. Cela pose d’autres problèmes si l’on ne choisit pas le bon prestataire, mais c’est moins risqué qu’un terminal virtuel.

Pour les entreprises qui réalisent un grand nombre d’encaissements au téléphone, la société française VoxPay a développé une solution innovante qui reroute l’appel vers un environnement vocal sécurisé, le temps de la transaction,  ce qui est conforme aux recommandations de la Banque de France.

Conclusion : le paiement au téléphone n’est pas pour tout le monde

Il faut justifier d’une activité nécessitant l’emploi de ce mode de paiement avant de pouvoir signer un contrat de vente à distance (VAD) spécifique avec sa banque. Les fintechs qui n’imposent pas ce genre de contrat procéderont quand même à des vérifications.

Si l’on a vraiment besoin d’un TPE virtuel et que l’on veut mettre toutes les chances de son côté, pour éviter les problèmes, on pourra se conformer aux normes PCI de bas niveau en s’auto-évaluant à l’aide d’un questionnaire détaillé spécialisé, ou suivre simplement des règles de bon sens.

On a vu que la règle primordiale pour sécuriser son terminal de paiement virtuel est de ne stocker ni ne traiter aucune donnée dans les locaux de son entreprise, ou sur ses serveurs distants. Toujours passer par un tiers agréé PCI à un haut niveau et conforme au RGPD. Cela ne nous met pas à l’abri de tous les problèmes, mais c’est un prérequis.

Enfin, pour se conformer aux recommandations de la Banque de France, il est préférable de passer par un serveur vocal (un automate) plutôt que par un humain est un terminal virtuel, lorsque le client doit communiquer ses données de carte bancaire.