Introduction

WL Sips est une solution de paiement de commerce électronique multicanale sécurisée conforme à la norme PCI DSS. Elle vous permet d’accepter et de gérer des transactions de paiement en prenant en compte les règles métier liées à votre activité (paiement à la livraison, paiement différé, paiement récurrent, paiement en plusieurs fois , …).

Notre solution est totalement sécurisée et simple à mettre en œuvre. Elle s’appuie sur un ensemble de composants, technologies et démarches de fonctionnement qui, dans le respect des normes et règlements les plus récents liés à la monétique (RGPD, PCI DSS, normes ISO), en font votre solution de parfaite confiance pour le traitement des données des porteurs de carte.

Disponibilité des services

Architecture

La solution WL Sips est déployée en bi-site permettant d’assurer un plan de reprise d’activité sur l’ensemble des couches, système et application.

Chaque composant technique WL Sips de chacun des sites ainsi que la plate-forme de transfert de fichiers sont redondés et sont configurés en équilibrage de charge.

Si un équipement unitaire est hors-service, la répartition de charge est automatiquement adaptée en éliminant du flux l'équipement défectueux.

Le plan de reprise d’activité sera déclenché pour faire face à des situations extrêmes de dysfonctionnement : incendie, dégât des eaux, accident majeur, phénomène sismique ou météorologique, crue, défaillance de climatisation, perte d'alimentation électrique, perte des moyens de télécommunication, panne matérielle (DRP), atteinte à la disponibilité du personnel...

Démarche BCP (Business Continuity Plan)

Pour assurer la reprise ou la continuité des activités critiques, Worldline a mis en œuvre un BCP (Business Continuity Plan).

Ce plan de continuité ne se limite pas à la continuité des services/applications, il prend également en compte le repli des utilisateurs, le risque sanitaire (épidémie, pandémie), l'organisation permettant la gestion de crise (astreintes, cellules de crise...), la communication de crise, des mesures de contournement pour les métiers, des fonctions transverses (RH, logistique).

Des tests de plan de continuité d’activité sont réalisés chaque année et ont pour objectif de tester que toutes les URL de service WL Sips soient en capacité d’accueillir l’ensemble des flux sur un même site en cas d’incident majeur.

Sécurisation des données

La solution WL Sips est certifiée PCI DSS depuis 2006 et, de par ce standard de sécurité, garantit la protection des données des porteurs de carte.

Elle répond à vos besoins avec un choix d' interfaces sécurisées adaptées à votre activité.

SAQ

Vous allez devoir présenter dès que possible votre attestation de conformité PCI DSS à votre banque acquéreur.

Cette attestation de conformité est déclarative et vous allez devoir répondre à un questionnaire d'auto-évaluation (SAQ, Self-Assessment Questionnaire) qui va vous permettre de savoir si vous êtes conforme ou non vis à vis des exigences que présente PCI DSS.

Votre démarche vis-à-vis des SAQ se déroule donc en deux étapes :

PREMIÈRE ÉTAPE : DÉTERMINER LE NIVEAU AUQUEL VOUS APPARTENEZ

Que vous acceptiez quelques paiements par carte par an ou plusieurs millions, vous serez classé dans l'un des quatre niveaux suivants définis par les réseaux internationaux.

Niveau Type d'activité Actions requises
pour la conformité
1 Tout commerçant traitant plus de 6 millions de transactions Visa ou Mastercard par an.
Tout commerçant ayant subi une compromission.
Audit de sécurité sur site (ou SAQ pour Visa Europe).
Scan de vulnérabilité trimestriel (si commerce en ligne).
2 Tout commerçant traitant de 1 à 6 millions de transactions Visa ou Mastercard par an. Questionnaire d'auto-évaluation annuel.
Scan de vulnérabilité trimestriel (si commerce en ligne).
3 Tout commerçant traitant de 20 000 à 1 million de transactions Visa ou Mastercard par an.
4 Tout commerçant traitant moins de 20 000 transactions de commerce en ligne Visa ou Mastercard par an.
Tous les autres commerçants traitant jusqu'à 1 million de transactions Visa ou Mastercard par an.
Questionnaire d'auto-évaluation annuel.
Scan de vulnérabilité trimestriel recommandé (si commerce en ligne) (cela dépend si les données sont capturées, stockées ou transmises par l'infrastructure du commerçant ou par un fournisseur de services).

En cas de doute, prenez le nombre de transactions par marque de carte, contactez votre banque acquéreur et demandez la confirmation de votre niveau. Les banques acquéreurs ont le pouvoir de décision ultime sur les niveaux de leurs commerçants, de sorte que vous devez vérifier vos hypothèses avec votre banque.

DEUXIÈME ÉTAPE : DÉTERMINER CE QUE VOUS DEVEZ SOUMETTRE À VALIDATION.

Lorsque vous avez identifié le niveau auquel vous appartenez, vous pourrez déterminer ce que vous devez fournir à votre banque acquéreur.

Si vous êtes de niveau 2 à 4, vous devez remplir un questionnaire d’auto-évaluation adapté à votre activité. Les questionnaires d’auto-évaluation sont des documents contenant une série de questions auxquelles vous devez répondre.

Il existe trois types de SAQ couvrant l'offre WL Sips  : A, A-EP et D.

Type de SAQ Description Nombre de
questions
(version 3.2)
A Carte non présente : toutes les fonctions de traitement des paiements sont externalisées, pas de stockage électronique de données de titulaire de carte.
Commerçants sans carte (commerce électronique ou commande par courrier/téléphone) qui ont entièrement externalisé toutes les fonctions de données des titulaires de carte à des fournisseurs de services tiers conformes à la norme PCI DSS, sans stockage, traitement ou transmission électronique des données des titulaires de carte sur les systèmes ou dans les locaux du commerçant.
22
A-EP E-commerce redirigé vers un tiers, fournisseur de services conforme PCI pour le traitement des paiements, pas de stockage électronique de données de titulaire de carte.
Commerçants de commerce électronique qui sous-traitent tout le traitement des paiements à des tiers validés PCI DSS et qui ont un ou plusieurs sites Web qui ne reçoivent pas directement les données des titulaires de carte mais qui peuvent avoir un impact sur la sécurité de la transaction de paiement. Aucun stockage, traitement ou transmission électronique des données des titulaires de carte sur les systèmes ou dans les locaux du commerçant.
193
D-commerçant Tous les autres commerçants ou ceux qui stockent électroniquement les données des titulaires de cartes. 331

Sécurisation du PAN

La solution WL Sips sécurise les données carte par un processus de tokenisation.

Le principe du tokeniser est d’associer un token unique pour un numéro de carte donné : ce token attribué est irréversible et ne permet pas de trouver le numéro de carte.

Le token est un numéro partagé par vous-même et WL Sips et remplace le numéro de carte de crédit (PAN) en toute sécurité.

L’utilisation des tokens est une méthode simple qui contribue au respect des normes PCI DSS.

Sécurité des échanges client

Les messages échangés entre vous et WL Sips sont signés par des clés de chiffrement.

Les clés de la sécurité WL Sips garantissent :

  • votre authentification ;
  • la demande d'autorisation auprès de la banque du porteur de la carte ;
  • la confidentialité des données, qui transitent chiffrées sur l'Internet ;
  • l'intégrité des données échangées.

En fonction du type de connecteur utilisé, la sécurisation est soit assurée par une clé secrète (pour connecteurs HTTPS), soit par certificats X509 (utilisés pour sécuriser les connecteurs de type web-service).

Clé secrète

Afin de sécuriser le processus de paiement en ligne, WL Sips partage avec vous une clé secrète, qui permet à WL Sips de vous authentifier lorsque vous appelez Sips Paypage ou Sips Office .

Après vous avoir identifié, WL Sips redirige l’acheteur vers les pages de paiement.

Certificat (X509)

Le chiffrement WL Sips par certificat est utilisé pour sécuriser les échanges de données réalisés via les web-services WL Sips .

Ce certificat contient une clé publique et une clé privée :

  • les messages sont encryptés avec la clé publique et sont décryptables grâce à la clé privée uniquement ;
  • les messages sont signés avec la clé privée, la clé publique permet d’identifier l’envoyeur.

Gestion des mots de passe

L’utilisation d’un identifiant et d'un mot de passe permet d’accéder aux interfaces WL Sips avec les droits associés. L’utilisateur peut se déconnecter à tout moment. Pour garantir la sécurité de ses utilisateurs, la politique de sécurité mise en place impose les éléments suivants :

  • saisie d'un nouveau mot de passe lors de la première connexion ;
  • renouvellement fréquent du mot de passe (sa validité étant de trois mois) ;
  • le mot de passe doit avoir une longueur minimum de 10 caractères et comporter obligatoirement :
    • au moins un caractère alphabétique,
    • au moins un caractère numérique,
    • au moins un caractère spécial,
  • le mot de passe doit être différent des quatre derniers mots de passe utilisés.

Tous ces éléments contribuent à la sécurisation des données.

Utilisation du 3-D Secure

Déployé par Visa et Mastercard sous les appellations commerciales respectives Verified By Visa et MasterCard SecureCode, 3-D Secure vous permet de limiter les risques de fraude sur Internet, liés aux tentatives d’usurpation d’identité.

Si vous avez souscrit au service 3-D Secure, cette souscription présente des avantages sécuritaires aussi bien pour l'internaute qui réalise un paiement sur Internet que pour vous-même : vous êtes assuré(e) que votre client est bien le porteur.

Pour plus d'informations sur ce service, nous vous invitons à consulter notre guide 3-D Secure .

Lutte contre la fraude

Worldline vous propose une offre de lutte contre la fraude basée sur :

  • la gestion en toute autonomie de critères de contrôle de la fraude et, par conséquent, de blocage d'une transaction (solution Go-No-Go ) selon vos critères et impératifs métier ;
  • l'évaluation de la fiabilité d'une transaction par le calcul d'un score associé à cette transaction (solution Business Score ) ;
  • la présence d'un système anti-carding afin de lutter contre la génération massive de transactions à l'aide de numéros de carte volés ou générés (le carding).

Cloisonnement des commerçants

Mutualisation de la solution

Les moyens sont mutualisés pour l’ensemble des clients des offres WL Sips  : mêmes bases de données, mêmes serveurs applicatifs.

De la mutualisation au cloisonnement

Chaque commerçant est attaché à une offre commerciale qui elle-même est attachée à une offre technique. Une fois passée l’étape de l’authentification à une application, c’est l’application elle-même qui assure le cloisonnement des commerçants et de ses boutiques.

Protocoles de sécurisation

Sécurisation des échanges de fichiers

La sécurisation des échanges de fichiers internes Worldline et externes client est assurée par notre passerelle de transfert de fichiers installée dans une bulle mutualisée soumise à l’ensemble des contraintes et procédures de gestion imposées par le standard PCI DSS.

Les échanges de données par transfert de fichiers sécurisés ou par services Web sécurisés mettent en œuvre :

  • une authentification par identification (utilisateur / mot de passe) sur le serveur SFTP (Secure File Transfer Protocol) ;
  • une protection des flux échangés par chiffrement SSL/TLS (TLS 1.2) pour les protocoles FTPS et PeSIT ;
  • une protection des flux échangés par chiffrement SSH (bi-clés) pour SFTP.

Sécurisation des flux HTTP

Le protocole HTTP (HyperText Transfer Protocol) permet de se connecter à un serveur Web et de faire transiter des données sur le Web. Mais ce protocole n'est pas sécurisé, ce qui signifie qu'un tiers mal intentionné pourrait intercepter et lire lesdites données.

Sa variante sécurisée, le protocole HTTPS (Secure HyperText transfer Protocol) ajoute un protocole SSL / TLS (Secure Socket Layer / Transport Layer Security) au protocole HTTP. Non seulement ce protocole supplémentaire assure l'intégrité et le chiffrement des données (ce qui les rend illisibles par un tiers) lors de leur transmission, mais il permet également d'authentifier le détenteur d'un certificat SSL / TLS utilisé sur un site Web, via l'apparition d'une icône "cadenas" à côté de l'URL dans le navigateur de l'utilisateur. Cette authentification se fait grâce à l'utilisation d'un certificat numérique X509 délivré par une autorité de certification (AC).

Les flux de données WL Sips échangés via le Web sont sécurisés par l’utilisation du protocole TLS version 1.2.

Le protocole TLS est constitué :

  • d'une « négociation » entre le client et le serveur (« handshaking »), phase durant laquelle des algorithmes cryptographiques (aussi dénommés « suite de chiffrement ») sont négociés en fonction des possibilités du client et du serveur, avec création d'une clé de session à l'issue de cette phase ;
Note: le serveur et le client sont authentifiés durant cette phase.
  • d'une session durant laquelle la clé de session est utilisée pour échanger les données de manière sécurisée.

RGPD

Le RGPD (Règlement général sur la protection des données) est un règlement mis en place par l'Union Européenne afin d'encadrer la collecte et le traitement des données à caractère personnel en Europe.

Il a pour missions de renforcer les droits des individus, de responsabiliser les différentes parties prenantes vis-à-vis du traitement des données et de crédibiliser la règlementation mise en place. Il s'inscrit en cela dans la continuité des missions de la CNIL (Commission nationale de l'informatique et des libertés), organisme administratif français créé en 1978 pour garantir le respect de la vie privée lors du traitement informatique des données personnelles.

En revanche, le RGPD met fin aux obligations antérieures de déclaration préalable auprès de ladite CNIL, puisque celle-ci peut désormais effectuer des contrôles à tout moment.

Pour garantir et prouver sa conformité en matière de protection des données personnelles, Worldline a suivi et mis en œuvre les 6 étapes-conseils de la CNIL :

  1. nommer un délégué à la protection des données ;
  2. cartographier les traitements des données ;
  3. définir les actions correctives ;
  4. analyser / gérer les risques ;
  5. établir des procédures internes ;
  6. documenter la conformité.

Enjeux

Dans le cadre de l'offre WL Sips , Worldline a un rôle de sous-traitant (au sens du RGPD, autrement appelé « data processor »), pour le compte de ses clients, qui eux sont responsables de traitement (au sens du RGPD, autrement appelé « data controller »).

Les enjeux sont :

  • de combattre la cyber-malveillance sous toutes ses formes, notamment le détournement d'e-mail, le vol de cookie de navigation, la propagation de fichiers malicieux, le vol de coordonnées bancaires, les rançongiciels.
  • de veiller à ce que ces données, en cas de vol, soient inexploitables et donc incomplètes ou cryptées.

Il s'agit donc de protéger les personnes concernées par un traitement approprié de leurs données à caractère personnel et de responsabiliser les acteurs de ce traitement.

Attention: en cas de non-respect du RGPD, plusieurs sanctions peuvent être appliquées aux entreprises. L'article 58 27 du RGPD donne à la CNIL le pouvoir de mettre en place des moyens dissuasifs afin de lutter contre les défauts de conformités se référant aux dispositions du RGPD.

Enjeux commerçant

Les données à caractère personnel que vous pouvez être amené(e) à collecter et/ou à traiter sont des données permettant d'identifier directement ou indirectement un individu :

  • exemples de données directes -> nom, prénom ;
  • exemples de données indirectes -> identifiant de connexion, adresse IP, numéro de téléphone, e-mail.

Certaines de ces données sont dites « sensibles » : IBAN, numéro de sécurité sociale, numéro de carte bancaire par exemple.

IMPORTANT: en tant que commerçant, vous êtes responsable des données que vous collectez et/ou traitez. Vous devez donc effectuer une analyse de risque et étudier la manière de sécuriser ces données.

Enjeux Worldline

En sa qualité de sous-traitant, Worldline s'est engagée à :

  • traiter les données à caractère personnel aux seules fins de la bonne exécution des services ;
  • ne pas transférer vos données hors UE ou hors pays reconnus par la Commission européenne ;
  • vous informer de tout recours à des sous-traitants qui pourraient traiter vos données à caractère personnel ;
  • mettre en œuvre des standards de sécurité afin de fournir un haut niveau de sécurisation à nos services ;
  • vous notifier dans les meilleurs délais en cas de violation de données ;
  • vous aider à respecter vos obligations réglementaires en vous fournissant une documentation adéquate de nos services.
IMPORTANT: les données transactionnelles sont conservées dans nos bases de données pendant 18 mois.

PCI DSS

PCI DSS est un standard de sécurité international dont les objectifs sont d’assurer la confidentialité et l’intégrité des données des porteurs de cartes, et ainsi de sécuriser la protection des données carte et de transaction. Les commerçants ainsi que les prestataires de paiement sont tenus de s’y conformer, à des degrés divers en fonction de l’importance de leur activité.

Worldline est certifié PCI DSS et met en œuvre notamment les actions de sécurité suivantes :

  • politique de sécurité du Système d’Information ;
  • bâtiments surveillés et protégés par contrôle d’accès ;
  • serveurs sécurisés et données sauvegardées ;
  • Système d’Information audité régulièrement ;
  • centres d’hébergement hautement sécurisés.

Worldline est ainsi responsable de la sécurité des données de porteurs de cartes, en revanche, la société n’est pas responsable de la conformité PCI DSS de ses clients.

Nous vous invitons à évoquer ce sujet avec votre établissement acquéreur.

Afin d’être conforme à PCI DSS, vous êtes soumis à un questionnaire plus ou moins important selon le type de solution de paiement implémenté. Ce questionnaire est à retourner à votre banque acquéreur une fois par an (voir la partie ' SAQ ').

Autres certifications Worldline

ISO 9001

La norme ISO 9001 est une norme internationale de management de la qualité, utilisable par tous les organismes.

Elle spécifie les exigences de mise en oeuvre d'un système de management de la qualité, exigences à utiliser en interne ou à des fins de certification ou contractuelles. Cette norme porte essentiellement sur l'efficacité du système de management de la qualité à satisfaire les exigences des clients.

La certification 9001 s’effectue avec un auditeur externe Ernst & Young.

ISO 14001

La norme ISO 14001 est une norme internationale qui spécifie les exigences concernant les systèmes de management environnemental. Elle est à destination des organismes souhaitant améliorer leurs performances et atteindre leurs objectifs en matière d'environnement et de développement durable, en d'autres termes maîtriser et gérer de manière systématique leur impact sur l'environnement.

La certification 14001 s’effectue avec un auditeur externe Ernst & Young.

ISO 27001

La norme ISO 27001 est le standard internationalement reconnu pour le management de la sécurité de l’information dans les entreprises. Les audits de sécurité sont généralement construits autour de cette norme.

Elle décrit les exigences de mise en place d'un système de management de la sécurité de l'information (SMSI).

Le SMSI recense les mesures de sécurité, dans un périmètre défini, afin de garantir la protection des actifs de l'organisme.

L’objectif est de protéger les fonctions et informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion et sinistre informatique.

La certification 27001 s’effectue avec un auditeur externe Ernst & Young.