Ecom 2012

PRESENTATION
LUEMOA en bref Le GIM-UEMOA
Sup de Co Technologie
Gildas GUEBRE
Le Commerce Electronique
Plan du cours Prambule I les moyens de paiement classiques II Introduction la montique III La rvolution internet IV Le commerce lectronique V Lutte contre la fraude et normes de scurit VI Les nouvelles solutions du commerce lectronique ANNEXES
I les moyens de paiement classiques Les espces numraires Le chque Le mandat postal Le virement Les effets de commerce La lettre de crdit
II Introduction la montique Dfinition: Le terme est apparu ds les annes 1980 et dsigne l'ensemble des techniques lectroniques, informatiques et tlmatique permettant d'effectuer des transactions, des transferts de fonds (carte bancaire, virement lectronique, paiement). Lactivit montique a pour principal support la carte. Il sagit dun rectangle de plastique disposant dune bande magntique. Une puce quipe les cartes puce en plus de la bande magntique. Suivant leur mode de fonctionnement, les cartes se rpartissent en : cartes de dbit: elles sont rattaches un ou plusieurs comptes; en fonction des options proposes ladhsion (contrat porteur), le dbit peut tre immdiat, diffr.
II Introduction la montique cartes de crdit: le support est le mme mais cette fois ci, la carte est rattache une rserve dargent sur laquelle le porteur pourra effectuer des transactions. La spcificit de ces cartes rside dans les intrts que la banque peroit. Une facturation mensuelle est gnralement propos. porte monnaie lectronique: il sagit de cartes type prpay ( limage de seedo ou izi pour la tlphonie). Il est obligatoire de procder des rechargements afin de raliser des transactions. Gnralement, un montant maximal est prconis car lutilisation de ce type de cartes est plutt limit aux micro paiement.
II Introduction la montique Le porteur: il sagit du client dun organisme financier, bancaire ou postal ayant souscrit un contrat porteur lui permettant de disposer dune carte lui permettant deffectuer des transactions. Il nest pas forcment le titulaire du compte adoss la carte (ex: carte secondaire donn par un pre son enfant, carte entreprise, etc.).
II Introduction la montique Lmetteur: il sagit de lorganisme financier, bancaire ou postal qui fournit son client une carte. On parle alors de fonction dmission. Cette fonction permet lorganisme de grer tout le cycle allant de ladhsion du porteur la dlivrance de la carte, tout en sassurant du bon fonctionnement de celle-ci en conformit avec les paramtres de gestion du risque pr tablis. Par exemple, un montant journalier ne pourra tre dpass pour un type de cartes, ou encore une carte aura une dure de vie de 2 ans.
II Introduction la montique Lacqureur: il sagit de lorganisme offrant des services dacceptation en proposant diffrents canaux cet effet (DAB/GAB, TPE, etc.).Gnralement, il sagit de la banque du commerant. Laccepteur: il sagit dune entit utilisant les services dacceptation dun acqureur et proposant ce service des porteurs. Par exemple, la chaine de supermarchs CASINO. Le rseau: il sagit de lespace dans lequel, les services sont disponibles pour le porteur. Ils se rpartissent comme suit: rseau privatif rseau groupe rseau national rseau international rseau rgional
8
II Introduction la montique Chane montique
EMETTEUR
ACQUEREUR
RESEAU
DAB/GAB COMMERCANT
PORTEUR 9
III La rvolution INTERNET Dfinition Internet est appel communment le rseau des rseaux . Cette appellation trouve son origine dans linterconnexion qui est effectue entre diffrents rseaux (gouvernementaux, nationaux, commerciaux, privs, etc.).
10
III La rvolution INTERNET Le canal de communication repose sur TCP/IP permettant didentifier chaque machine du rseau par une adresse unique attribue par un Fournisseur dAccs Internet (FAI ou ISP en anglais). Cependant, le cerveau humain ne peut grer des adresses Tel que 216.239.59.104 (une des innombrables adresses des serveurs de google). Do la notion de DNS. Il sagit des serveurs permettant de rsoudre les adresses en noms et inversement.
11
III La rvolution INTERNET Les domaines sont organiss de manire hirarchique et grs par lICANN (Internet Corporation for Assigned Names and Numbers).
12
III La rvolution INTERNET En rsum, une requte http est une demande dinformations envoye partir dun poste client, adress au FAI, ncessitant une translation en adresse IP via un serveur DNS et dont le destinataire est un serveur web. Les serveurs web rpondent en renvoyant des ressources: statiques: des pages web, images et contenus existants. dynamiques: le rsultat retourn est fonction des input saisie par lutilisateur. Ce type de serveur fait appel une ou plusieurs bases de donnes partir dun langage de scripting (php,jsp,python, etc.).
13
III La rvolution INTERNET do la notion darchitectures n tiers.
14
III La rvolution INTERNET Pour rsumer, mettre en ligne un site web ncessite: un hbergeur: stockage des ressources statiques et/ou dynamiques. un nom de domaine: identification sur internet du site et association avec ladresse physique. Un site de e-commerce respectera la mme logique; laspect fondamental qui le diffrencie dun site web classique est la notion dacceptation et de terminal virtuel.
15
IV Le commerce lectronique Le commerce lectronique se dfinit comme l ensemble des mthodes dachat, de vente, et dchanges de biens ou de services entre deux entits sur les rseaux informatiques notamment Internet selon lOCDE. Il se caractrise par la notion dchanges finalit commerciale au moyen des technologies numriques. Le concept du commerce lectronique peut donc se rsumer comme suit: change finalit commerciale Multiplicit de la nature de lchange: Tout change permettant
datteindre lobjectif dachat ou de vente Utilisation des technologies de linformation, et notamment Internet commercial
16
comme support pour tout ou partie du processus
IV Le commerce lectronique Le commerce lectronique revt plusieurs aspects: entre entreprises : B2B entre entreprises et clients : B2C entre consommateurs : C2C entre ladministration et les citoyens : A2C entre ladministration et les entreprises : A2B
Nous aborderons essentiellement le B2C au cours de cette session. Il prsente les avantages ci-dessous Facilitation des changes Rduction des cots Maximisation des marges commerciales, Dveloppement et pntration de nouveaux marchs Accroissement de la productivit Promotion de nouveaux services et produits linternational.
17
IV Le commerce lectronique Le commerce lectronique a pour objectif de transposer une transaction montique classique physique en une transaction montique se ralisant sur internet. Les acteurs de cette transaction sont quasiment les mmes et qui ont t voqu dans notre introduction la montique en loccurrence le porteur, laccepteur, lacqureur, lmetteur et le rseau. Cependant, la virtualisation de lopration entraine un changement majeur sur toute la chaine car: il ny a plus de terminal physique il nya plus de lecture de la piste magntique ou de la puce il ny a plus de saisie de code PIN Il est donc primordial de pouvoir rcuprer des informations depuis internet, les transmettre de manire scurise la banque acqureur, recevoir la rponse avant de conclure lopration de paiement.
18
IV Le commerce lectronique Un important pr requis existe avant toute slection dune option technique: le contrat de Vente A Distance (VAD). Il sagit dun contrat sign entre le commerant (accepteur) et sa banque (acqureur); il contient essentiellement: un numro de VAD: identifiant de votre TPE virtuel une cl de calcul de commission des clauses gnrales Suivant la taille, lactivit et les garanties du commerant, il est plus ou moins ais de lobtenir. Ltape suivante consistera choisir une option technique pour la ralisation de la connexion: connexion directe au SM de lacqureur: couteux et fastidieux utilisation dune passerelle de paiement: rapide mettre en place et plus souple. Utilisation dune solution cls en main (dlgation) Solutions alternatives pour les cas o le contrat de VAD nexiste pas
19
IV Le commerce lectronique Un Payment Service Provider (PSP) ou passerelle de paiement est un prestataire permettant des e-commerants daccepter des paiements en ligne en mettant en relation le site de e-commerce et la banque acqureur. Leur principe de fonctionnement est le suivant : rcupration des informations saisies par le porteur de manire scurise vrification et contrle divers (identification du commerant, statut, etc.) Conversion des input web en demandes dautorisation Envoi de la demande Rception et traitement des autorisations donnes par les centres de traitement des systmes montiques Notifications (SMS, email, etc.) tl collecte et prsentation des transactions pour compensation suppression des donnes sensibles 20
IV Le commerce lectronique
1 Slection des produits et validation du paiement 2 Redirection vers la page scurise de paiement 3 Saisie des informations de la carte 4 Conversion et routage de la demande 5 Envoi de la demande dautorisation
6 Transmission de la rponse de lmetteur 7 Envoi de la rponse au porteur et au site marchand
21
IV Le commerce lectronique Exemple Cinmatique PSP OGONE
22
IV Le commerce lectronique Exemple Cinmatique PSP PAYBOX
23
IV Le commerce lectronique Lvolution du commerce lectronique rencontre de nombreux obstacles: Absence de confiance des porteurs (internet) Nombreuses rclamations (rpudiation, chargeback) Absence dauthentification du porteur (transactions CNP)
Il existe plusieurs solutions pour la scurisation des paiements en ligne.
24
V Lutte contre la fraude et normes de scurit Cryptage des changes client/commerant: SSL il seffectue laide de SSL (Secure Socket Layer) gr par la plupart des navigateurs (Internet Explorer, Firefox...) SSL utilise un algorithme de cryptage 128 bits et un certificat permettant de prouver lauthenticit du serveur Dans la pratique la liaison scurise est reprsente par un cadenas ainsi que laffichage de HTTPS dans la barre dadresses
25
V Lutte contre la fraude et normes de scurit Cryptage des changes client/commerant: SSL Le client ne possde pas de certificat Le commerant possde un certificat, un couple de cl (priv/public). Le commerant envoie son certificat; le client a donc maintenant la cl publique du commerant Le client peut donc envoyer des donnes chiffres au commerant Le commerant ne peut pas envoyer des donnes chiffres au client Le client gnre une cl scrte symtrique et la transmet au commerant Le client et le commerant peuvent communiquer dans un sens comme dans lautre de manire secrte.
26
V Lutte contre la fraude et normes de scurit Cryptage des changes client/commerant: SSL SSL nest pas un protocole de paiement: il peut tre utilis pour tout type de communications scurises. SSL est un protocole dchanges de donnes scurises permettant: La confidentialit entre deux (02) applications internet Lauthentification du serveur Lauthentification de lutilisateur est optionnelle
En tant qualgorithme, SSL nest pas labri de piratage. SSL ne protge pas du vol des donnes carte par un commerant par ex.
27
V Lutte contre la fraude et normes de scurit 3D Secure Cest un protocole de paiement scuris sur Internet dvelopp par Visa pour augmenter le niveau de scurit des e-transactions, puis adopt par Mastercard. Le principe de base consiste demander au cyberacheteur, en plus de son numro de carte bancaire, une information indpendante de ladite carte. Sa date de naissance, par exemple, ou un autre lment personnel. La mise en uvre de ce protocole va de paire avec lactivation compter du 1er octobre 2008 de ce quon appelle le Liability Shift , autrement dit le transfert de responsabilit du marchand vers la banque du commerant en cas dutilisation frauduleuse de la carte bancaire d'un client.
28
V Lutte contre la fraude et normes de scurit 3D Secure Comme son nom l'indique (three Domain Secure), implique trois domaines distincts:
Internet
Porteur
Commerant
Emetteur Rseau Interbancaire
Acqureur
Issuer Domain
Interoperability Domain
Acquirer Domain
29
V Lutte contre la fraude et normes de scurit 3D Secure Cinmatique gnrale
30
V Lutte contre la fraude et normes de scurit 3D Secure Mise en uvre organisationnelle Domaine dinteroprabilit: proposition du protocole commun et dun ensemble de services afin de permettre les transactions scurises entre les domaines metteur et acqureur. Domaine metteur: gestion de la souscription au service de leur porteur en vrifiant leur identit, gestion de lauthentification de leur porteur pendant la phase dachat en ligne. Domaine acqureur:dfinition des procdures pour la participation de leur accepteur et traitement appropri des transactions en fonction de lauthentification.
31
V Lutte contre la fraude et normes de scurit 3D Secure Mise en uvre oprationnelle Lenrolement ou la souscription: le processus par lequel les titulaires de carte sont initialiss pour utiliser le service. Suivant l metteur, ce processus peut varier. Exemple de procdure 1. Le titulaire de la carte se connecte sur le site de lmetteur et entre son numro de carte, la date d'expiration et dautres informations d'identification spcifies par l'metteur (pralablement tabli et secrtes) tel qu'un mot de passe ou la rponse une question secrte quil a choisit.
32
V Lutte contre la fraude et normes de scurit 3D Secure Mise en uvre oprationnelle 2. Lmetteur valide les informations fournies et informe le porteur de la russite du processus d'inscription.
3. Le serveur d'inscription transmet les informations au serveur de contrle daccs pour la mise jour du profil du porteur.
33
V Lutte contre la fraude et normes de scurit 3D Secure Mise en uvre oprationnelle Lauthentification: elle concerne uniquement les porteurs ayant souscrit au service. Exemple de procdure (rseau VISA) 1. Le porteur valide son panier sur le site marchand et saisit les informations de sa carte. 2. Le plug-in du site marchand interroge travers le PSP (ou pas) l'annuaire de VISA pour dterminer si l'authentification ou la preuve de la tentative d'authentification est disponible pour le numro de carte ou non. Si le numro de carte est rpertori comme tant enrle, VISA interroge le serveur de contrle daccs de lmetteur et envoie la rponse au plug-in du site marchand.
34
V Lutte contre la fraude et normes de scurit 3D Secure Mise en uvre oprationnelle 3. Le plug-in du site marchand envoie une demande d'authentification avec le serveur de contrle d'accs via le navigateur du porteur. 4. Le serveur de contrle d'accs rcupre la saisie du porteur, vrifie linformation et transmet le rsultat de lauthentification au plug-in du site marchand dabord, avant de larchiver. 5. En fonction du rsultat de lauthentification, le site marchand finalise la transaction.
35
V Lutte contre la fraude et normes de scurit 3D Secure Mise en uvre oprationnelle Cinmatique dune transaction 3D secure VISA
36
V Lutte contre la fraude et normes de scurit 3D Secure Mise en uvre oprationnelle Description dtaille dune transaction 3D secure VISA
37
38
39
40
41
V Lutte contre la fraude et normes de scurit 3D Secure Avantages Rduction des impays Lutte contre la fraude Gain de confiance des porteurs Gain de confiance des commerants
3D Secure est un systme qui ne garantit pas la scurit des transactions mais un moyen pour rduire les risques de fraude et les impays. Selon la participation des acteurs 3D Secure, les responsabilits sont tablies.
42
V Lutte contre la fraude et normes de scurit 3D Secure Matrice du transfert de responsabilit Commerant 3D Secure NON OUI OUI OUI NON Emetteur 3D Secure OUI OUI OUI NON NON Porteur enrl OUI OUI NON NON NON Responsabilit Des impays Commerant Porteur Porteur Emetteur Pareil lexistant
43
V Lutte contre la fraude et normes de scurit PCI-DSS PCI (Payment Card Industry) DSS (Data Security Standard) Cr en 2004 par VISA, MASTERCARD, DISCOVER et American Express Ensemble de rgles et de procdures ayant pour but le renforcement de la scurit des transactions et la protection des donnes personnelles. Ladhsion au PCI-DSS est un plus dans la scurisation des donnes des porteurs qui sont traites, stockes ou transmises par les commerants et les processeurs de paiement.
44
V Lutte contre la fraude et normes de scurit PCI-DSS Quelles donnes ?
45
V Lutte contre la fraude et normes de scurit PCI-DSS Qui doit se conformer ? Commerant et fournisseur de service qui stockent, traitent et transmettent des donnes porteur. La mise en conformit varie selon lactivit de lentreprise et est fonction du rseau auquel elle adhre. Les infrastructures rseaux, systmes et applications sont concernes.
46
V Lutte contre la fraude et normes de scurit PCI-DSS Niveau de conformit /Commerant
VISA
1 Acceptation de plus de 6 millions de transactions par an Systme dja compromis par une attaque Acceptation entre 1 et 6 millions de transactions par an Acceptation entre 20.000 et 1 million de transactions internet par an Acceptation de moins de 20.000 transactions internet par an Tout autre commerant acceptant moins de 1 million de transaction par an
47
2 3 4
V Lutte contre la fraude et normes de scurit PCI-DSS Niveau de conformit /Processeur
VISA
1 Stocke, traite ou transmet plus de 300.000 transactions par an Stocke, traite ou transmet moins de 300.000 transactions par an
48
V Lutte contre la fraude et normes de scurit PCI-DSS Comment ?
Mise en place dun rseau scuris installer et avoir une configuration de parefeu pour protger les donnes porteurs Ne pas utiliser les mots de passe ou configuration par dfaut des fournisseurs
Protger les donnes porteurs Avoir une politique de gestion des vulnrabilits Implmentation de mesures dauthentification
protger les donnes qui sont stockes Chiffrer la transmission des donnes porteurs sur les rseaux publics utiliser des anti virus rgulirement mis jour dvelopper des applications et systmes scurises Restreindre laccs aux donnes porteurs uniquement aux personnes qui doivent y accder Identifier tous les utilisateurs de manire unique du systme informatique Restreindre laccs physique aux donnes porteur Surveiller tout accs aux ressources rseaux et aux donnes porteurs Tester rgulirement les systmes et procdures de scurit Mettre en place une politique en charge de la scurit des informations 49
Surveillance et tests rguliers du rseau Mise en place dune politique de scurit des informations
V Lutte contre la fraude et normes de scurit PCI-DSS Pratique de Tests Test annuel des contrles de scurit Scan rseau trimestriel des vulnrabilits et aussi aprs tout changement de configuration Test annuel dintrusion applicative et rseau Utilisation de systme de dtection dintrusion (IDS) Logiciel de surveillance dintgrit des fichiers
50
V Lutte contre la fraude et normes de scurit PCI-DSS Accompagnement
Qualified Security Assessors (QSAs)
Approved Scanning Vendors (ASVs)
Plus dinfos sur https://www.pcisecuritystandards.org

51
VI Les nouvelles solutions du commerce lectronique Paiement Mobile NE PAS SE TROMPER
52
VI Les nouvelles solutions du commerce lectronique Paiement Mobile
Diffrents types SMS Paiement sur web mobile (WAP, GPRS) Communication sans contact (NFC)
53
VI Les nouvelles solutions du commerce lectronique Paiement Mobile/SMS Envoi dun message texte au commerant Imputation sur votre compte tlphonique ou un compte virtuel en ligne Avantages Pr requis minimal ou inexistant Utilisation aise Inconvnients Asynchrone Cot lev Scurit faible pour des transactions financires
54
VI Les nouvelles solutions du commerce lectronique Paiement Mobile/Internet Mobile (WAP, GPRS) Courant pour les jeux concours, sonneries, etc. Applications JAVA gnralement Avantages Niveau de Scurit acceptable Application conviviale Temps rel Inconvnients Tlphone compatible JAVA Abonnement donnes ncessaires
55
VI Les nouvelles solutions du commerce lectronique Paiement Mobile/NFC Utilisation physique (proximit commerant-porteur) contactless Technologie bas sur le RFID distance maximale dinteraction 10 CM Vitesse dchange en moyenne de 424 kilobits/s
Adoption progressive par les leaders (VISA/MASTERCARD, etc.)
56
VI Les nouvelles solutions du commerce lectronique Paiement Mobile/NFC
57
**** FIN ****

58
ANNEXES Exemple de Paiement sur internet Informations sur les montants
59
ANNEXES Exemple de Paiement sur internet Informations sur lautorisation
xxxxxx
60
ANNEXES Exemple de Paiement sur internet Informations sur lacqureur
61
ANNEXES Exemple de Paiement sur internet Informations sur les dates
62
ANNEXES Exemple de Paiement sur internet Informations sur le terminal
63
ANNEXES Exemple de Paiement sur internet Informations sur le terminal
64
ANNEXES Exemple de Paiement sur internet Informations sur la puce
65
ANNEXES Exemple de Paiement sur internet Informations sur les contrles
66
ANNEXES Exemple de Paiement sur internet Informations sur les contrles
67

Ecom 2012

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Ecom 2012

Загружено:

Авторское право:

Доступные форматы

PRESENTATION

LUEMOA en bref Le GIM-UEMOA

comme support pour tout ou partie du processus

6 Transmission de la rponse de lmetteur 7 Envoi de la rponse au porteur et au site marchand

Il existe plusieurs solutions pour la scurisation des paiements en ligne.

Emetteur Rseau Interbancaire

Qualified Security Assessors (QSAs)

Approved Scanning Vendors (ASVs)

Plus dinfos sur https://www.pcisecuritystandards.org

Adoption progressive par les leaders (VISA/MASTERCARD, etc.)

FIN

Вам также может понравиться