Les terminaux virtuels sont utilisés par des commerces comme les fleuristes, les hôtels ou des catalogues de vente par correspondance.
Le client transmet – au téléphone ou par courrier – ses informations de carte bancaire au commerçant, lequel les entre lui-même dans un terminal de paiement virtuel, dit aussi TPE virtuel. On parle en anglais de paiements MOTO (Mail order/Telephone order).
C’est pratique, mais la gestion des données de carte bancaire des clients peut poser des problèmes juridiques et techniques. Il y a donc des règles à suivre pour minimiser les risques et assurer la sécurité des données.
L’utilisation d’un TPE virtuel est risqué
Les encaissements par TPE virtuel sont des transactions dites « carte non présente » qui présentent un risque élevé de fraude, notamment si la carte est volée. Si un taux de fraude trop élevé est constaté, on s’expose à des risques de contre remboursement ou chargeback voire d’amende de la part des réseaux de cartes bancaire.
D’autre part les données transitent de manière non cryptée et sont directement dans les mains du commerçant ou de ses employés qui peuvent potentiellement en faire mauvais usage ou se les faire dérober.
Avant de voir comment utiliser son terminal virtuel dans des conditions sécurisées, abordons le problème le plus épineux : le traitement et le stockage des données.
Attention au stockage des données de carte bancaire
La règle n°1 est de n’enregistrer aucune information de carte bancaire. On ne doit rien stocker sur ses propres serveurs ou ordinateurs si l’on n’est pas une entreprise spécialisée dans le traitement de ce type de donnée.
Pour faire court, disons que les contraintes réglementaires européennes (Règlement Général sur la Protection des Données ou RGPD) et techniques (normes PCI DSS) sont trop lourdes à gérer. Pour information, le RGPD concerne toute entreprise traitant des données à caractère personnel de résidents européens.
Si l’on souhaite tout de même enregistrer quelque part les informations de la carte, par exemple pour permettre au client de réaliser des achats récurrents, il faut passer par une entreprise tierce : de préférence un service dans le Cloud qui soit certifié PCI niveau 1 et dont les serveurs soient situés en Europe. Attention à bien choisir son prestataire, car on sera co-responsable en cas de problème de sécurité ou de propriété des données.
Au pire on peut tenter de limiter le stockage des données à un seul serveur/ordinateur pour limiter le nombre d’environnements de stockage (Cardholder Data Environnement)) soumis aux règles PCI mais cela reste très contraignant.
La norme PCI à la rescousse ?
La norme PCI DSS a été mise en place par les réseaux comme Visa et Mastercard pour fournir un cadre technique au traitement des informations des cartes bancaires et des transactions. Elles ne concernent pas le droit des personnes à disposer de leurs données qu’impose le RGPD. Suivre les normes PCI n’est pas une obligation, mais aide à se conformer à l’un des aspects du RGPD.
Les petites entreprises effectuant moins de 20 000 transactions peuvent se contenter des normes PCI de niveau 4. Celles-ci n’imposent que de remplir un questionnaire d’autoévaluation appelé SAQ (self assesment questionnaire).
Le questionnaire qui concerne les commerçants utilisant un terminal virtuel et ne traitant aucune donnée sur place est le SAQ-A. Pour être conforme, il faut bien entendu que l’organisme qui traite les données à distance soit conforme aux normes PCI. Voir le SAQ-A (pdf en anglais) sur le site officiel des normes PCI.
Que faire d’autre pour sécuriser son TPE virtuel ?
On peut déjà sécuriser l’environnement logiciel et matériel. Commencer par installer un antivirus, supprimer les programmes malveillants qui prennent des captures d’écran.
Utiliser également des logiciels scanners de vulnérabilité, à la recherche faille dans le réseau, par exemple de ports ouverts ne correspondant à aucun logiciel autorisé.
Éviter les espaces ouverts. Personne ne doit pouvoir passer dans le dos de la personne qui saisit les données dans le terminal.
Ne jamais taper le numéro de carte ailleurs que dans le terminal virtuel, ne jamais le saisir sur un bout de papier.
Ajouter un filtre transparent qui empêche de voir ce qui est affiché sur l’écran quand on est placé sur le côté.
La configuration du terminal virtuel est possible avec certaines banques : cela consiste à mettre un délai automatique ou manuel entre l’autorisation de la transaction et l’envoi des fonds. Cela donne le temps d’annuler la transaction en cas de contestation.
Penser également à la sécurité des personnes dont la carte a été dérobée : il faut implémenter le 3D secure de manière systématique. Il s’agit d’une double authentification par la banque du client (Exemple : envoi de code par SMS).
Et bien sûr, ne confier qu’aux personnes de confiance la saisie des données dans le terminal virtuel.
Solution alternative ?
Moins risqué que le terminal virtuel : le lien de paiement. Avec ce système, on envoie une demande de paiement par email ou SMS au client, qui règle lui-même le paiement sur une page de paiement en ligne. Cela pose d’autres problèmes si l’on ne choisit pas le bon prestataire, mais c’est moins risqué qu’un terminal virtuel.
Pour les entreprises qui réalisent un grand nombre d’encaissements au téléphone, la société française VoxPay a développé une solution innovante qui reroute l’appel vers un environnement vocal sécurisé, le temps de la transaction.
Conclusion : le paiement au téléphone n’est pas pour tout le monde
Il faut justifier d’une activité nécessitant l’emploi de ce mode de paiement avant de pouvoir signer un contrat de vente à distance (VAD) spécifique avec sa banque. Les fintechs qui n’imposent pas ce genre de contrat procéderont quand même à des vérifications.
Si l’on a vraiment besoin d’un TPE virtuel et que l’on veut mettre toutes les chances de son côté, pour éviter les problèmes, on pourra se conformer aux normes PCI de bas niveau en s’auto-évaluant à l’aide d’un questionnaire détaillé spécialisé, ou suivre simplement des règles de bon sens.
On a vu que la règle primordiale pour sécuriser son terminal de paiement virtuel est de ne stocker ni ne traiter aucune donnée dans les locaux de son entreprise, ou sur ses serveurs distants. Toujours passer par un tiers agréé PCI à un haut niveau et conforme au RGPD. Cela ne nous met pas à l’abri de tous les problèmes, mais c’est un prérequis.
