Choisir un partenaire de paiement : L’Importance de la sécurité
Écoutez cet article.
Personne ne veut être associé à une violation de données, surtout pas une banque acquéreuse ou un processeur de paiement. Pourtant, l’industrie financière est de plus en plus ciblée. Par exemple, le rapport de Sophos sur l’état du ransomware dans les services financiers en 2023 a révélé que le taux de ransomware dans le secteur financier était de 64 %, contre 55 % l’année dernière. De plus, ce taux a presque doublé depuis 2021. Les recherches de Sophos ont également confirmé que les institutions financières se défendent avec des solutions de sécurité des paiements, investissant massivement dans la protection des points de terminaison, les solutions de confiance zéro, la détection des menaces 24/7 et d'autres technologies. Cependant, les acteurs malveillants continuent de trouver des moyens d’entrer avec des schémas de phishing et d’email, et d’exploiter des vulnérabilités.
Où les acteurs malveillants trouvent des vulnérabilités?
Bien que les acquéreurs s'efforcent de mettre en place une cybersécurité solide au sein de leur écosystème informatique, ils doivent aller au-delà de ces efforts. Il est essentiel de prendre en compte la technologie de paiement de leurs partenaires. Des attaquants ont réussi à infiltrer des systèmes et à voler des données en exploitant les failles des dispositifs de paiement. En 2022, The Register a rapporté que des acteurs malveillants avaient utilisé deux types de logiciels malveillants pour infecter des terminaux de paiement et dérober des données de plus de 167 000 comptes de cartes de crédit. Quelques années auparavant, des hackers avaient installé un malware sur les terminaux de paiement d’un magasin de proximité, affectant environ 34 millions de comptes consommateurs.
Ces attaques mettent en lumière l'importance de collaborer avec des entreprises de technologie de paiement qui adoptent une approche axée sur la sécurité dans la conception des dispositifs et le développement des plateformes. Les acquéreurs qui s'associent à des sociétés proposant des dispositifs vulnérables courent le risque d'encourager les cyberattaques et les violations de données. Si de telles violations se produisent, ces dispositifs, répertoriés sur votre site, peuvent nuire à la réputation de votre entreprise.
Comment évaluer la posture de sécurité technologique de paiement d'un partenaire ?
Travailler avec un partenaire technologique de paiement certifié PCI (Payment Card Industry) est essentiel. La norme de sécurité des données PCI (PCI DSS) définit des exigences techniques pour les terminaux, l'infrastructure et les systèmes impliqués dans le traitement des transactions de paiement. Il est crucial de commencer l’évaluation d’un partenaire en vérifiant que l’entreprise et ses produits figurent sur la liste des dispositifs de sécurité des transactions PIN (PTS) approuvés par PCI.
Cependant, les acquéreurs doivent approfondir leurs recherches pour s'assurer que les dispositifs de paiement qu'ils fournissent aux commerçants offrent un haut niveau de sécurité. Ils doivent examiner l’approche de l’entreprise de technologie de paiement et obtenir les réponses nécessaires pour garantir que leurs partenaires disposent d'une stratégie efficace.
Par exemple, Ingenico adopte une approche équilibrée en matière de sécurité. Notre stratégie vise à réduire au minimum l’empreinte des données au sein d’un réseau, limitant ainsi la surface d’attaque. Nous créons également plusieurs couches de protection pour sécuriser les données des titulaires de carte, y compris le chiffrement de bout en bout (P2PE) qui protège les données en transit entre le terminal de paiement et votre système ainsi que les marques de cartes. Ce processus remplace les données de carte lisibles par un cryptogramme qui ne peut être déchiffré qu'avec une clé. La tokenisation contribue également à sécuriser les informations des titulaires de carte en remplaçant les données lisibles par un code généré aléatoirement, permettant ainsi aux commerçants de « se souvenir » des informations de compte de leurs clients pour des achats futurs, tout en minimisant le risque en cas d’accès non autorisé à l'environnement informatique d'un commerçant. Une approche en couches permet de protéger les données, car si un acteur malveillant accède à un système, il ne trouvera rien de monétisable à voler ou à exploiter.
Une autre façon de s’assurer que votre partenaire technologique de paiement a un bon bilan en matière de sécurité est de faire preuve de diligence raisonnable en recherchant l’entreprise. Consultez Internet, lisez les articles, et familiarisez-vous avec les violations de données passées et les enquêtes. Si vous détectez des signaux d’alerte, approfondissez vos recherches pour prendre les meilleures décisions pour les commerçants que vous servez et pour votre entreprise.
En savoir plus
Une entreprise de technologie de paiement bien commercialisée ne garantit pas qu’elle sera un partenaire capable de maintenir la sécurité des données des titulaires de carte. Abordez les partenariats avec prudence.
Pour en savoir plus sur l’approche d’Ingenico en matière de sécurité des paiements, notre méthode équilibrée pour protéger les données des titulaires de carte, et notre stratégie axée sur la sécurité pour le développement de produits, contactez-nous.
