Guide de transmission sur le Réseau Acceptation de la Carte et traitement des opérations (RACTO) pour le Canada et les États-Unis

Transcription

1 Guide de transmission sur le Réseau Acceptation de la Carte et traitement des opérations (RACTO) pour le Canada et les États-Unis AMERICAN EXPRESS Expansion du réseau Renseignements privés et confidentiels d American Express POS020056, v1.4, 6 février

2

3 Exigences d American Express en matière de confidentialité Le présent document contient des secrets commerciaux et des renseignements confidentiels et privatifs d American Express. Il est interdit au destinataire de le reproduire, de l utiliser et de le divulguer, en totalité ou en partie, sauf à seule fin d évaluer les spécifications et les systèmes qui y sont décrits American Express Travel Related Services Company, Inc. Tous droits réservés. Aucune partie du présent document ne doit être reproduite sous quelque forme que ce soit ni par aucun moyen, électronique ou mécanique, y compris un système d archivage et de recherche d information, sans le consentement préalable écrit et explicite d American Express Travel Related Services Company, Inc. Le présent document contient des secrets commerciaux ainsi que des renseignements confidentiels et privatifs d American Express et des sociétés membres de son groupe qui ne doivent être divulgués à des tiers, en totalité ou en partie, sans le consentement écrit préalable d American Express

4

5 Rens. priv. et conf. d American Express Guide de transmission RACTO Liste des mises à jour Numéro Date Réviseur Approbateur Description /06/09 R. Wong J. Moore Page couverture : ajout de «pour le Canada et les États-Unis» dans le titre et légère reformulation de ce dernier. Pages 8 et 9 : changement de «Sprint» par «SprintLink». Page 25 : ajout de «Remarque : American Express ne prend pas en charge...». Pages 31 et 32 : ajout d une nouvelle section intitulée «Fonctionnalités supplémentaires pour les transferts de fichier» /24/07 R. Wong T. Witte Page v : ajout du paragraphe commençant par «Le présent guide fournit l adresse de différents sites Web» /23/06 R. Wong T. Witte Chang. général : changement de «client» par «marchand, établissement et fournisseur». Page 19 : Ajout des exigences relatives aux options Envoyer/recevoir et Envoyer/envoyer dans le tableau et ajout des définitions à la page suivante. Page 22 : Retrait de FTP et de HTTP du tableau. Page 23 : Retrait des renseignements sur HTTP et ajout de ceux sur HTTP/S. Pages 25 et 26 : Retrait des renseignements sur FTP et ajout de ceux sur FTP/S. Page 31 : Ajout de renseignements sur la compression des fichiers et retrait de l exemple de code MVS /25/06 R. Wong T Witte Page 19 : Retrait des «exemples» (colonne 3) du tableau /01/06 R. Wong J. Ames T Witte Première diffusion. 6 février 2009 POS ( ) i

6 Guide de transmission RACTO Rens. priv. et conf. d American Express Page intentionnellement laissée en blanc. ii POS ( ) 6 février 2009

7 Rens. priv. et conf. d American Express Guide de transmission RACTO Table des matières Avant-propos... v Structure... vi 1.0 Introduction Spécification pour le réseau et les services TCP/IP d American Express Introduction Adresses IP Routeurs et acheminement Protocole de contrôle de transmission et protocole Internet (TCP/IP) Services d accès et de connexion au réseau TCP/IP d American Express Relais de trame Configuration des redondances et équilibrage des charges par permutation circulaire (pour les autorisations en temps réel) Réseau privé virtuel (RPV) Configuration des redondances CVP à relais de trame unique et connexion RPV de secours Configuration des redondances et équilibrage des charges par permutation circulaire Relais de trame avec RPV à un site de secours Configuration des redondances et équilibrage des charges par permutation circulaire Connexions RVP Internet doubles Options de transfert de fichier Options relatives au logiciel client SecureTransport de Tumbleweed Logiciels clients de Tumbleweed Distribution du logiciel client SecureTransport de Tumbleweed Types de réseaux et protocoles Mise en œuvre du protocole HTTP/S Mise en œuvre du protocole HTTP/S Mise en œuvre du protocole FTP/S Exemples de sessions FTP Mise en œuvre du protocole SSH février 2009 POS ( ) iii

8 Guide de transmission RACTO Rens. priv. et conf. d American Express Table des matières 7.0 Mise en œuvre du protocole AS Exigences relatives au protocole AS Exigences relatives au transport HTTP/S Problème de transport Mise en œuvre de Connect:Direct Fonctionnalités supplémentaires pour les transferts de fichier Chiffrement et déchiffrement du fichier Conversion du jeu de caractères Multiples clés publiques Technologie du pousser de fichiers Appui offert pour les tests et la certification Annexe Enregistrement au portail de distribution du client Utilisation du portail de distribution du client...39 iv POS ( ) 6 février 2009

9 Rens. priv. et conf. d American Express Guide de transmission RACTO Avant-propos Le Guide de transmission par réseau pour l acceptation et le traitement des opérations a été rédigé à l intention des programmeurs qui développent des interfaces permettant aux ordinateurs centraux ou personnels des marchands et des établissements, des sociétés de traitement autorisées, des réalisateurs et des fournisseurs de logiciels indépendants de communiquer avec les systèmes d American Express. Ce guide fournit l adresse de sites Web où il est possible d obtenir un logiciel ou de l aide pour le développement d interfaces de communication avec les systèmes d American Express. Même si le contenu de ces sites a une portée mondiale, le texte et le matériel de certains de ces sites ne sont offerts qu en anglais. Ce guide fournit également des directives touchant les protocoles qui serviront à la mise en œuvre de l interface de transmission de l ordinateur d un marchand dans le réseau d intégration RLE d American Express. Il est écrit par American Express et s adresse aux programmeurs de systèmes des marchands. Terminologie Ces dernières années, la terminologie a évolué. Les nouveaux termes suivants pourraient être utilisés dans le présent document. Marchand, établissement et établissement affilié à Amex Ces termes font référence à une entreprise qui est autorisée à accepter des Cartes American Express et(ou) des Cartes émises par des partenaires d American Express comme mode de paiement pour des biens et (ou) des services. Société de traitement autorisée, société de traitement indépendante et banque administratrice Ces termes font référence à une entité qui traite les montants et échange des données avec American Express au nom du marchand. Présentateur Ce terme fait référence à un marchand, à un établissement, à un établissement affilié à Amex, à une société de traitement autorisée, à une société de traitement indépendante ou à un autre présentateur qui accède directement aux systèmes d American Express afin de présenter des données relatives au règlement. 6 février 2009 POS ( ) v

10 Guide de transmission RACTO Rens. priv. et conf. d American Express Structure Le présent document comprend les sections suivantes : 1.0 Introduction 2.0 Spécification pour le réseau et les services TCP/IP d American Express 3.0 Options de transfert de fichier 4.0 Mise en œuvre du protocole HTTP/S 5.0 Mise en œuvre du protocole FTP/S 6.0 Mise en œuvre du protocole SSH 7.0 Mise en œuvre du protocole AS2 8.0 Mise en œuvre de Connect:Direct 9.0 Fonctionnalités supplémentaires pour les transferts de fichier 10.0 Appui offert pour les tests et la certification 11.0 Annexe vi POS ( ) 6 février 2009

11 Rens. priv. et conf. d American Express Guide de transmission RACTO 1.0 Introduction Le présent guide fournit un aperçu des connexions de transmission American Express, utilisées en mode interactif ou passif, ainsi que des renseignements détaillés qui aideront l équipe technique du marchand à élaborer et à établir efficacement une connexion avec les systèmes d American Express. (Remarque : dans ce document, par marchand, on entend également les sociétés de traitement indépendantes qui présentent des données relatives à une autorisation ou à un paiement au nom d un établissement affilié à American Express.) Ce guide décrit également les utilitaires généraux courants servant à l échange de fichiers de données entre les applications du marchand et d American Express. Le réseau de transmissions d American Express permet aux marchands d accéder à un large éventail d applications et de services, qui varient selon la taille de l entreprise du marchand. Les marchands ne possédant qu un terminal point de vente (PdV) avec liaison téléphonique peuvent avoir des besoins relativement limités, alors que les grandes sociétés comptant bon nombre de magasins peuvent avoir à utiliser des services plus complexes, comme l autorisation et le règlement d opérations présentées par lots et la production de rapports connexes. Le présent document ne traite uniquement que des connexions utilisées pour transmettre les données relatives à ces fonctions. Les définitions de champ et les formats de fichiers sont expliqués dans d autres documents techniques et promotionnels d American Express (par exemple, la demande d autorisation est définie dans le Guide mondial des autorisations des opérations de crédit d American Express). Veuillez noter que des renseignements plus détaillés concernant les transmissions peuvent être trouvés dans d autres sources, notamment les manuels du fournisseur et les documents de référence relatifs aux normes. Le présent guide ne fournit que les instructions minimales nécessaires pour établir une connexion avec le réseau d American Express. 6 février 2009 POS ( ) 1

12 Guide de transmission RACTO Rens. priv. et conf. d American Express Page intentionnellement laissée en blanc. 2 POS ( ) 6 février 2009

13 Rens. priv. et conf. d American Express Guide de transmission RACTO 2.0 Spécification pour le réseau et les services TCP/IP d American Express La présente section fournit des renseignements aux marchands qui utilisent le TCP/IP comme protocole de transmission pour l échange de données avec American Express. Elle n inclut pas tous les détails techniques nécessaires et a pour objet de servir seulement de guide général. Nous encourageons les marchands à lire la présente spécification pour qu ils aient une meilleure compréhension des normes d American Express en matière de mise en œuvre du protocole TCP/IP. 2.1 Introduction TCP/IP est l abréviation du terme anglophone Transmission Control Protocol/Internet Protocol, deux protocoles qui font partie de l ensemble TCP/IP de protocoles et d utilitaires de transmissions interréseaux connexes. Le terme TCP/IP fait généralement référence à un ensemble de protocoles et de pratiques de réseau pouvant être utilisés pour interconnecter des ordinateurs. Le TCP/IP se compose des éléments suivants : Un groupe de protocoles interréseaux connexes, tels que TCP, IP et SNMP. Des applications et des utilitaires utilisant les protocoles TCP/IP, tels que TELNET, FTP et PING. Des supports et des appareils réseau utilisant les protocoles TCP/IP, comme les routeurs, les ponts, les passerelles et les modems. Le protocole TCP/IP fonctionne à partir d un modèle de réseaux systèmes ouverts, et la plupart des normes sont établies afin d être souples et indépendantes de tout système d exploitation ou de toute plate-forme matérielle. Par conséquent, en apportant de petites modifications au code de programme, la pile TCP/IP peut être ajoutée à un large éventail de systèmes, permettant ainsi à des ordinateurs dotés de systèmes d exploitation différents de communiquer entre eux. Le TCP/IP est un protocole de réseau plus ancien et plus évolué, qui a été amélioré au fil des ans. Sa stabilité et sa fiabilité font paraître les autres protocoles relativement inefficaces, et son utilisation pour le Web et Internet en a fait le protocole de réseau le plus courant dans le monde. American Express utilise le TCP/IP principalement pour sa souplesse, sa fiabilité et l ampleur de son usage. Ainsi, divers marchands peuvent accéder à son réseau et traiter des opérations en temps réel ou par lots. 6 février 2009 POS ( ) 3

14 Guide de transmission RACTO Rens. priv. et conf. d American Express 2.2 Adresses IP Chaque hôte d un réseau TCP/IP doit posséder une adresse de protocole Internet unique (adresse IP) afin de communiquer avec un autre hôte. Chaque adresse IP correspond à un numéro binaire de 32 bits, composé de zéros et de uns logiques. En pratique, une adresse IP s écrit dans un format décimal, c est-à-dire qu elle est composée de quatre nombres décimaux (un pour chaque segment de huit bits de l adresse) séparés par des points. Par exemple, l adresse IP binaire « » est écrite « » en format décimal. Il y a cinq classes d adresses IP. Classe Intervalle A à B à C à D à E à En général, les adresses des classes A, B et C sont utilisées pour la connectabilité des hôtes, et celles de la classe D, pour la multidiffusion. L usage de la classe E est réservé. La principale différence entre les adresses des classes A, B et C est le nombre de bits utilisés pour représenter le réseau et l ordinateur hôte. Adresses de classe A Les 8 premiers bits sont les plus significatifs et représentent le réseau, alors que les 24 bits restants représentent l ordinateur hôte. Adresses de classe B Les 16 premiers bits sont les plus significatifs et représentent le réseau, alors que les 16 bits restants représentent l ordinateur hôte. Adresses de classe C Les 24 premiers bits sont les plus significatifs et représentent le réseau, alors que les 8 bits restants représentent l ordinateur hôte. 4 POS ( ) 6 février 2009

15 Rens. priv. et conf. d American Express Guide de transmission RACTO À l intérieur de chaque classe (A, B et C), InterNIC réserve des blocs d adresses pour des utilisateurs du secteur privé qui ne veulent pas se connecter à Internet par l entremise des adresses comprises dans les plages indiquées précédemment. Classe Intervalles d adresses privées A à B à C à Bien qu il semble à première vue y avoir une abondance d adresses IP, il faut savoir qu avec l expansion d Internet, la quantité d adresses disponibles diminue rapidement. C est pourquoi bon nombre de sociétés utilisent couramment des adresses IP privées pour leurs réseaux internes. Toutefois, cette pratique peut entraîner des interruptions d opérations en raison de conflits d adresses se produisant au moment d établir l interopérabilité des réseaux. Par conséquent, les normes de mise en œuvre d American Express exigent que l ordinateur hôte d un marchand utilise une adresse IP publique enregistrée au nom de son entreprise ou obtenue auprès de son fournisseur d accès Internet (FAI). Si le fait d attribuer une adresse IP publique à un ordinateur hôte qui possédait une adresse IP privée constitue un problème, un routeur ou un pare-feu peut être utilisé afin d exécuter une traduction d adresse réseau (NAT). Normes de mise en œuvre d American Express en matière d adresses IP L ordinateur hôte doit avoir une adresse IP publique (ou une adresse IP qui est perçue comme publique grâce à la traduction d adresse réseau). Il est préférable que les adresses IP séquentielles soient fournies par le marchand ou la société de traitement, et qu elles proviennent de la plage d adresses IP publiques et enregistrées. Dans l éventualité où un marchand ou une société de traitement est incapable de fournir des adresses IP séquentielles publiques et enregistrées, American Express fournira des adresses IP séquentielles provenant de la plage d adresses privées février 2009 POS ( ) 5

16 Guide de transmission RACTO Rens. priv. et conf. d American Express 2.3 Routeurs et acheminement Comme il a déjà été mentionné, les ordinateurs hôtes doivent posséder des adresses IP pour pouvoir communiquer entre eux. Quand les hôtes IP sont situés sur différents réseaux, un appareil appelé «routeur» est utilisé. Cet appareil sert à l acheminement de données IP d un réseau à l autre. R1 Station A Network B Network A R2 R3 Station B Dans le scénario simple présenté ci-dessus : 1. Lorsque le poste A transmet des données au poste B, le paquet passe par le réseau A pour se rendre au routeur R1. 2. Le routeur R1 envoie par la suite le paquet vers le routeur R2, qui l expédie à son tour vers le routeur R3. 3. Le paquet passe ensuite par le réseau B pour finalement arriver au poste B. Pour qu un routeur puisse envoyer les données d un réseau à un autre, il doit savoir où acheminer les paquets. Dans cet exemple, les routeurs R1, R2 et R3 doivent recevoir des renseignements sur le réseau B avant qu un paquet IP puisse être transmis du poste A au poste B. Les routeurs peuvent recevoir ces renseignements des deux façons suivantes : (Manuellement) Acheminement statique Les renseignements sur l acheminement sont fournis par un administrateur de routeur. Protocole d acheminement dynamique Tous les routeurs partagent et mettent à jour automatiquement les renseignements sur l acheminement, sans intervention humaine. 6 POS ( ) 6 février 2009

17 Rens. priv. et conf. d American Express Guide de transmission RACTO Normes de mise en œuvre d American Express en matière d acheminement L acheminement statique est le type d acheminement le plus couramment utilisé pour la transmission de données entre American Express et les marchands ou les sociétés de traitement. American Express autorise et utilise aussi l acheminement dynamique avec les marchands et les sociétés de traitement. Le seul protocole dynamique qu American Express utilise pour communiquer avec une société indépendante est le BGP (Border Gateway Protocol). Le numéro de système autonome (ASN) utilisé par American Express dans le cadre de cet échange est un ASN privé. Un filtrage doit être exécuté afin de limiter les routes qui sont échangées entre les deux entités. Les tables d acheminement complètes ne seront pas échangées au moyen du protocole dynamique. 2.4 Protocole de contrôle de transmission et protocole Internet (TCP/IP) Le protocole Internet (IP) sert à l acheminement d un datagramme Internet (paquet de données) entre les ordinateurs hôtes. Un datagramme Internet est composé de renseignements d en-tête (qui sont nécessaires à l envoi du paquet de données à un réseau ou à un ordinateur hôte éloigné, au moyen de l adressage IP) et de la partie correspondant aux données (qui est envoyée vers une application par un protocole de plus haut niveau). Le protocole Internet détermine si le datagramme est destiné à un ordinateur hôte sur le réseau local dans l interréseau. Il peut également reconstituer des datagrammes fragmentés, mais la fonction de reprise sur incident n est pas fournie et est laissée aux protocoles de plus haut niveau, comme le TCP. L utilisation du TCP/IP pour le traitement des messages (p. ex. les messages d autorisation) Lorsque le marchand utilise le TCP/IP pour envoyer des messages de demande d autorisation et recevoir les messages de réponse ou d autres messages semblables, il doit fournir et prendre en charge la partie client de la connexion TCP/IP. Le logiciel client doit établir et maintenir la connexion active entre les interfaces tant et aussi longtemps qu elle sera utilisée. En d autres termes, la connexion devrait être maintenue entre les envois de message afin de réduire au maximum le surdébit causé par les déconnexions et reconnexions à répétition. De plus, le logiciel client devrait comprendre une logique afin de vérifier périodiquement si la connexion a été coupée et, le cas échéant, de la rétablir. Toutefois, si les messages sont envoyés seulement à certaines heures du jour, par exemple entre 8 h et 11 h, le client devrait mettre fin à la connexion durant la période d inactivité. Le logiciel client devrait alors rétablir automatiquement la connexion au moment de la reprise de la transmission le jour suivant. Cela est particulièrement vrai si la ligne de transmission doit être partagée par plusieurs marchands. 6 février 2009 POS ( ) 7

18 Guide de transmission RACTO Rens. priv. et conf. d American Express Les messages de demande d autorisation devraient être envoyés de manière asynchrone afin d augmenter l efficacité de l opération, c est-à-dire que le logiciel client ne devrait pas avoir à attendre une réponse à une demande précédemment envoyée avant de pouvoir envoyer un autre message. Le logiciel client doit inclure une logique qui associe les réponses aux demandes correspondantes. Les messages sont envoyés en tant que chaînes d octets de taille variable ( octets maximum). Les messages de demande doivent être précédés d un code de taille du champ de deux octets, correspondant à un nombre entier sans signe, dans le format binaire «réseau petit-boutiste et gros-boutiste» (c.-à-d. l octet le plus significatif en premier, suivi du moins significatif). La valeur du code de taille du champ doit refléter les tailles combinées du code de deux octets et du champ de données du message de demande. Les messages de réponse (renvoyés par le serveur) renfermeront un code de taille du champ, formaté de façon semblable, qui reflétera les tailles combinées du code de deux octets et du champ de données du message de réponse. American Express prend en charge l écoute de plusieurs interfaces sur le même port. Par conséquent, le marchand devrait être en mesure d établir plusieurs connexions TCP à ce même port, et ce, de façon simultanée. Format de données Taille des données Paquet de données Taille des données Un nombre entier sans signe, de deux octets Paquet de données Taille variable pouvant aller jusqu à octets. 8 POS ( ) 6 février 2009

19 Rens. priv. et conf. d American Express Guide de transmission RACTO 2.5 Services d accès et de connexion au réseau TCP/IP d American Express American Express a conçu un réseau TCP/IP qui est redondant, polyvalent et insensible aux défaillances du réseau ou de l ordinateur hôte. Il est utilisé par des marchands ayant divers besoins, et ce, dans bon nombre d endroits dans le monde. Afin de prendre en charge différentes stratégies de télécommunication TCP/IP, American Express a divers sites informatiques aux États-Unis et est en mesure de prendre en charge les connexions physiques suivantes : Relais de trame (par AT&T, MCI et SprintLink) Réseau privé virtuel (RPV) Internet (HTTPS, SSH, FTP sécurisé, AS2) 6 février 2009 POS ( ) 9

20 Guide de transmission RACTO Rens. priv. et conf. d American Express Relais de trame Le relais de trame permet la commutation par paquets, à l échelle de l interface, entre les appareils de l usager (c.-à-d. les routeurs, les ponts et les ordinateurs hôtes) et le matériel réseau (c.-à-d. les nœuds de commutation). Les appareils de l usager sont souvent appelés «équipement terminal de traitement de données (ETTD)», alors que le matériel réseau qui communique avec l ETTD est souvent appelé «équipement terminal de circuit de données (ETCD)». Le réseau qui fournit l interface du relais de trame est un réseau de données public administré par l entreprise de télécommunications (p. ex., AT&T, MCI ou SprintLink). Le relais de trame est un protocole de couche liaison de données. Comme interface réseau, le relais de trame correspond au même type de protocole que X.25. Toutefois, il diffère de celui-ci de façon significative sur les plans de la fonctionnalité et du format. Ainsi, le relais de trame est un protocole plus simple. Il est ainsi plus performant et plus efficace. Servant d interface entre les appareils de l utilisateur et le matériel réseau, le relais de trame permet de multiplexer statistiquement bon nombre de transmissions de données logiques (appelés «circuits virtuels») sur une seule liaison physique. Il y a deux types de circuits virtuels : le circuit virtuel permanent (CVP) et le circuit virtuel commuté (CVC). Dans le cas des CVP, la liaison logique est permanente. Il n est donc pas nécessaire d établir une communication. Les CVC demandent l établissement d une communication, laquelle est coupée lorsque la transmission est terminée. Les relais de trame ne prennent en charge que les CVP. Parce que de multiples CVP sont multiplexés sur un port physique unique, le réseau (et l appareil qui y est connecté) différencie les multiples CVP au moyen d un code de connexion de liaison de données. Habituellement, le code de connexion de liaison de données n a qu une signification locale. Ainsi, il pourrait être le même à chaque bout de la transmission (ou différent). Toutefois, le code de connexion de liaison de données doit être unique sur le même port. En pratique, les codes de connexion de liaison de données de «0» à «15» et de «1008» à «1023» sont réservés pour des fonctions spéciales. Donc, les codes de connexion de liaison de données habituellement choisis ont une valeur allant de «16» à «1007». Avec le relais de trame, le débit binaire moyen qu un circuit virtuel individuel peut faire passer par la ligne d accès menant au réseau de l entreprise de télécommunications est défini au moyen du débit minimal garanti. Le débit binaire est mesuré sur une période de temps, et le réseau ne peut que garantir le débit binaire fondé sur le débit minimal garanti. Toute donnée excédant le débit minimal garanti peut être écartée. Par conséquent, il est important de connaître la quantité de données d application qui passent par le CVP individuel, afin de s assurer que le débit minimal garanti n est pas dépassé. 10 POS ( ) 6 février 2009

21 Rens. priv. et conf. d American Express Guide de transmission RACTO Exigences relatives au service de relais de trame Un routeur qui prend en charge la fonction de relais de trame, p. ex., Cisco, Nortel (anciennement Bay) ou 3Com. Un circuit et un port d accès à la trame locaux. Remarque : l Annexe D définie par la norme ANSI est le seul type d interface de gestion locale (LMI) utilisé actuellement par American Express. De plus, les standards d encapsulation de relais de trame qu American Express respecte sont ceux de l IETF. Une unité de service de canal et une unité de service numérique pour couper l accès. Une évaluation du débit binaire moyen (il ne doit pas dépasser le débit minimal garanti). Normes d American Express en matière de mise en œuvre d un service de relais de trame Routeur Intervalle d entretien L intervalle d entretien doit être programmé pour mettre en service l interface LMI. Cet intervalle a une valeur de 10 secondes par défaut et, selon le protocole LMI, doit être inférieur à celui du commutateur. Unité de service de canal et une unité de service numérique Débit minimal garanti La norme d American Express est de 64 Ko ou plus. Le débit est fondé sur le volume de trafic. Circuit et port d accès Les marchands gèrent leur accès local au réseau d un fournisseur de service de relais de trame et en sont responsables, et American Express gère son accès local et en est responsable. Connexion TCP Connectée de façon permanente en état ÉTABLIE. Connexions TCP multiples Connexions simultanées à un numéro de port TCP. Type de circuit Actuellement, les connexions MPLS à un port IP ne sont pas prises en charge par le réseau American Express. Les connexions MPLS à un relais de trame sont autorisées si la conversion est faite dans le nuage réseau avant que les données n atteignent le réseau American Express. Les sociétés de traitement indépendantes ne sont pas autorisées à utiliser la commande Ping/ICMP pour transmettre des données aux ordinateurs hôtes d American Express. 6 février 2009 POS ( ) 11

22 Guide de transmission RACTO Rens. priv. et conf. d American Express Configuration des redondances et équilibrage des charges par permutation circulaire (pour les autorisations en temps réel) Pour la transmission en temps réel et au moyen du protocole TCP/IP des messages associés aux autorisations, American Express vise à atteindre un niveau de disponibilité du réseau et des ordinateurs hôtes qui permettra de compléter avec succès chaque opération. Dans cette optique, les marchands qui choisissent cette méthode de transmission des autorisations des opérations par carte doivent pouvoir équilibrer les charges par permutation circulaire entre deux CVP à relais de trame. L équilibrage des charges par permutation circulaire est fondé sur les opérations, c est-à-dire que l ordinateur hôte du marchand doit pouvoir transmettre des données sur les opérations en temps réel, en séquence alternante, à deux ordinateurs hôtes d American Express situés à deux endroits différents. Voir la figure et l explication ci-dessous. Amex Host Site A Amex Router Carrier A Frame Services Merchant Site B Amex Router Carrier B Frame Services Router Merchant Host Amex Host Dans cet exemple, le marchand utilise deux CVP (de deux entreprises de télécommunications : A et B) connectés à deux sites American Express différents. À chaque site, un ordinateur hôte est configuré pour accepter les demandes d autorisation transmises en temps réel au moyen de l interface de connexion TCP/IP de l ordinateur hôte du marchand. En utilisant l équilibrage des charges par permutation, l ordinateur hôte du marchand envoie la première opération à l ordinateur hôte du site A d American Express, la deuxième, à l ordinateur hôte du site B, la troisième, au site A, la quatrième, au site B, et ainsi de suite. Veuillez noter que cette configuration rend l accès au réseau possible en tout temps, même si une composante tombe en panne. Normes d American Express en matière de mise en œuvre pour les autorisations en temps réel par TCP/IP Deux CVP sont exigés pour l équilibrage des charges et la redondance. L ordinateur hôte du marchand doit envoyer des messages par permutation circulaire. 12 POS ( ) 6 février 2009

23 Rens. priv. et conf. d American Express Guide de transmission RACTO Réseau privé virtuel (RPV) Un RPV est un réseau privé qui utilise l Internet public afin de connecter des utilisateurs, des entreprises ou des sites informatiques éloignés entre eux. Plutôt que d utiliser une connexion spécialisée, comme un relais par trame ou une ligne privée, un RPV Internet utilise des connexions virtuelles acheminées par Internet à partir du réseau privé d une entreprise vers celui d une autre entreprise. Chaque partenaire est en mesure de bénéficier de sa connexion Internet existante, économisant ainsi les frais relatifs aux connexions par relais de trame et lignes louées privées. La confidentialité et la sécurité des données sont assurées par l utilisation de protocoles de tunnellisation et de chiffrement. Les données sont chiffrées à la périphérie d un réseau, transférées sur Internet comme toute autre donnée, puis déchiffrées une fois qu elles atteignent la périphérie du réseau de réception. (Le chiffrement est le processus qui consiste à faire passer un message, appelé texte en clair, par un algorithme mathématique afin de produire un cryptogramme. Le déchiffrement est le processus contraire.) Ce trafic chiffré agit comme s il était dans un tunnel entre les deux réseaux. Cette solution utilise l IPSec (IP Security), qui est un ensemble de protocoles ouverts servant à protéger les communications privées sur les réseaux IP, comme Internet. En termes clairs, l IPSec fournit des tunnels protégés entre deux homologues. Ces appareils homologues doivent être conformes à IPSec (par exemple, des routeurs, des concentrateurs RPV et des pare-feu). Les administrateurs de système définissent les paramètres utilisés pour chiffrer et protéger les paquets de données qui seront transportés par le tunnel. Quand l homologue IPSec perçoit un paquet de données, il crée le tunnel protégé approprié et envoie le paquet à l homologue distant, par ce tunnel. (La tunnellisation consiste à encapsuler un protocole dans un autre.) Les paquets de données privées sont protégés par les fonctions de chiffrement, d authentification ou de contrôle d intégrité, puis sont enchâssés dans des paquets IP afin d être transportés dans Internet. Les paquets tunnellisés sont déchiffrés à la réception, puis acheminés à destination par l intranet du destinataire. Ces tunnels sont composés d ensembles d associations de sécurité qui sont établis entre les deux homologues IPSec. Afin que deux appareils puissent échanger des données protégées, ils doivent s entendre sur les algorithmes cryptographiques à utiliser. Cette entente entre les homologues est appelée association de sécurité (AS) et spécifie les algorithmes d authentification et de chiffrement qui doivent être utilisés, les clés de session partagées, la durée de vie des clés, la durée de vie de l AS, etc. Il y a deux types ou deux étapes d AS : l étape 1 ou l AS IKE (échange de clés Internet) et l étape 2 ou l AS IPSec. L AS IKE est bidirectionnelle et fournit une voie de transmission protégée entre les deux parties, qui peut être utilisée afin de négocier d autres transmissions. L AS IPSec est unidirectionnelle et utilisée pour la transmission réelle entre les appareils. Veuillez noter que pour qu une transmission bidirectionnelle fonctionne deux AS IPSec doivent être établies une dans chaque direction. 6 février 2009 POS ( ) 13

24 Guide de transmission RACTO Rens. priv. et conf. d American Express Les technologies qui composent cette solution RPV IPSec sont les suivantes : 3DES (chiffrement de 168 bits) Chiffre un bloc de données trois fois avec trois clés différentes. SHA (variante de HMAC) SHA (Secure Hash Algorithm) est un algorithme de hachage sécurisé. HMAC est une variante de hachage par clés utilisée pour authentifier les données. SHA a une puissance de 160 bits. ESP L ESP (Encapsulation Security Payload) est un protocole de sécurité chargé de la confidentialité du trafic IP ainsi que des fonctions d authentification et d anti-réinsertion. La confidentialité est obtenue par le chiffrement. Les algorithmes de chiffrement dépendent généralement d une valeur, appelée «clé», pour chiffrer et déchiffrer les données. L ESP chiffre les renseignements concernant le protocole de plus haut niveau (p. ex., l en-tête du TCP) et les données qui doivent être transmises. Exigences relatives au service RPV Le marchand doit posséder un appareil conforme au protocole IPSec capable de mettre fin aux connexions RPV. Cet appareil peut également être appelé un routeur, un concentrateur, un parefeu, etc. Remarque : l interface publique de cet appareil RPV doit pouvoir être contactée par Internet (c est-à-dire que son adresse doit être une adresse IP enregistrée publiquement). L ordinateur hôte du marchand doit avoir une adresse IP publique enregistrée au nom de l entreprise du marchand ou obtenue auprès du fournisseur d accès Internet de ce dernier. Le marchand doit avoir une connexion Internet. Les pare-feu Internet du marchand doivent permettent l utilisation des protocoles et des ports suivants pour assurer la connexion au RPV. Port 500/UDP (ISAKMP) ESP (ou Protocole 50) Facultatif : Port 4500/UDP (NAT Traversal) Normes d American Express en matière de mise en œuvre du service RPV Appareils RPV Les marchands possèdent leurs appareils RPV et en sont responsables, et American Express possède ses appareils RPV et en est responsable. Connexion Internet Les marchands gèrent leur accès local à Internet et en sont responsables, et American Express gère ses accès locaux à Internet et en est responsable. Pare-feu Internet Les marchands doivent s assurer que leurs pare-feu sont configurés de façon à permettre la circulation du trafic RPV provenant d American Express. American Express doit aussi s assurer que son pare-feu ne bloque pas la circulation du trafic RPV provenant des appareils des marchands. 14 POS ( ) 6 février 2009

25 Rens. priv. et conf. d American Express Guide de transmission RACTO Configuration des redondances CVP à relais de trame unique et connexion RPV de secours Pour la transmission des messages associés aux autorisations de lots et le transfert de fichiers, American Express vise à atteindre un niveau de disponibilité du réseau et des ordinateurs hôtes qui permettra de compléter avec succès chaque opération. Dans cette optique, les marchands qui choisissent cette méthode de transmission des données doivent être en mesure de détecter une défaillance dans la connexion principale puis, le cas échéant, de rediriger les données vers la connexion de secours. Voir la figure et l explication ci-dessous. Dans cet exemple, le marchand utilise un CVP connecté à un ordinateur hôte unique d American Express. Il utilise également une connexion RPV à un second ordinateur hôte d American Express. À chaque site, l ordinateur hôte est configuré pour accepter des demandes de transmission par connexion TCP/IP, provenant de l ordinateur hôte du marchand. L ordinateur hôte du marchand envoie toutes les données au serveur Stratus situé au site A American Express, ou reçoit toutes les données de celui-ci. Si aucune réponse n est reçue après plusieurs essais, l application devrait envoyer les données par la connexion RPV de secours, ou les recevoir par celle-ci. Veuillez noter que cette configuration rend l accès au réseau possible en tout temps, même si une composante tombe en panne. Ce scénario peut également être utilisé pour la transmission de messages associés aux autorisations d opération en temps réel, où la fonction de permutation circulaire entre deux CVP à relais de trame n est pas disponible ou prise en charge. Normes d American Express en matière de mises en œuvre Un CVP est exigé, et une connexion RPV est exigée pour la fonction de redondance. L ordinateur hôte du marchand doit principalement envoyer ou recevoir les messages par une connexion à relais de trame. En cas de défaillance, l application devrait rediriger le trafic vers une connexion RPV de secours. 6 février 2009 POS ( ) 15

26 Guide de transmission RACTO Rens. priv. et conf. d American Express Configuration des redondances et équilibrage des charges par permutation circulaire Relais de trame avec RPV à un site de secours Ce scénario est semblable à celui décrit à la page 15 : une composante RPV a été ajoutée pour créer un site de secours. La connexion par relais de trame constitue la principale façon de se connecter à l ordinateur d American Express pour la transmission des messages associés aux autorisations d opération en temps réel et de lots. Si un problème survient au site du marchand, la connexion avec l ordinateur d American Express peut être rétablie à partir d un site de secours, au moyen du RPV. Il est possible de configurer la connexion RPV au site de secours du marchand pour qu elle inclut l équilibrage des charges par permutation circulaire. Normes d American Express en matière de mises en œuvre Le marchand est responsable de la relation avec le site de secours et son fournisseur. Le site de secours doit avoir accès à Internet. L ordinateur hôte du marchand doit envoyer des messages par permutation circulaire. 16 POS ( ) 6 février 2009

27 Rens. priv. et conf. d American Express Guide de transmission RACTO Configuration des redondances et équilibrage des charges par permutation circulaire Connexions RVP Internet doubles Pour la transmission en temps réel et au moyen du protocole TCP/IP des messages associés aux autorisations, American Express vise à atteindre un niveau de disponibilité du réseau et des ordinateurs hôtes qui permettra de compléter avec succès chaque opération. Dans cette optique, les marchands qui choisissent cette méthode de transmission des données doivent pouvoir équilibrer les charges par permutation circulaire entre deux connexions RPV. L équilibrage des charges par permutation circulaire fonctionne à partir d une opération, c est-à-dire que l ordinateur hôte du marchand doit pouvoir transmettre des données sur les opérations en temps réel, en séquence alternante, à deux ordinateurs hôtes d American Express situés à deux endroits différents. Voir la figure et l explication ci-dessous. Dans cet exemple, le marchand établit deux connexions RPV avec deux ordinateurs hôtes d American Express différents. À chaque site informatique, un ordinateur hôte est configuré pour accepter des demandes d autorisation en temps réel au moyen de l interface de connexion TCP/IP de l ordinateur hôte du marchand. En utilisant l équilibrage des charges par permutation, l ordinateur hôte du marchand envoie la première opération à l ordinateur hôte du site A d American Express, la deuxième, à l ordinateur hôte du site B, la troisième, au site A, la quatrième, au site B, et ainsi de suite. Veuillez noter que cette configuration rend l accès au réseau possible en tout temps, même si une composante tombe en panne. Normes d American Express en matière de mises en œuvre Deux connexions RPV sont exigées pour l équilibrage des charges et la redondance. L ordinateur hôte du marchand doit envoyer les messages par permutation circulaire. 6 février 2009 POS ( ) 17

28 Guide de transmission RACTO Rens. priv. et conf. d American Express Page intentionnellement laissée en blanc. 18 POS ( ) 6 février 2009

29 Rens. priv. et conf. d American Express Guide de transmission RACTO 3.0 Options de transfert de fichier American Express offre bon nombre d options de transfert de fichier par protocole IP. Notre objectif est d utiliser des protocoles de transfert de fichier correspondant aux normes de l industrie lorsque cela est possible. Les présentateurs peuvent acheter des produits prêts à utiliser, compatibles avec ces protocoles de transfert de fichier tels qu ils sont pris en charge par le réseau American Express. Bien que les clients puissent choisir un produit qui n est pas présenté dans les exemples énumérés relativement à chaque norme, les Services de fichiers d American Express ne peuvent répondre aux besoins spéciaux découlant de ce choix ni garantir la réussite de la mise en œuvre du produit. Voici les protocoles de transfert de fichier correspondant aux normes de l industrie pris en charge. Protocole de transfert de fichier Envoyer/ Recevoir Envoyer/ Envoyer Description AS2 X X Cette norme correspond à un protocole de transfert de fichier de serveur à serveur, basé sur HTTP. Elle peut être utilisée pour envoyer de façon sécuritaire tout type de fichier par connexion IP (y compris par Internet). Le groupe Drummond teste l interopérabilité des produits des fournisseurs. Vérifiez que l interopérabilité du produit du client a été testée sur le site Web du groupe Drummond. REMARQUE : Les protocoles AS2 exigeront l utilisation d un certificat numérique. FTPS (RFC-2238) X Norme de l industrie utilisant le protocole FTP et une voie de transmission SSL. La norme n est pas stricte, car aucune agence n atteste l interopérabilité des produits FTPS. SSH X Protocole de transfert de fichier semblable au protocole FTP, qui s exécute sur une voie de transmission chiffrée par SSH. Connect:Direct et Secure + X Connect:Direct est un progiciel qui permet de transférer des données vers divers systèmes d exploitation. HTTPS X Protocole HTTP avec chiffrement SSL (security socket layer) aux fins de sécurité. Navigateur normal X Cette option fonctionne avec n importe quel navigateur normal. Elle est destinée aux clients qui utilise le transfert de fichier interactif. Remarque : Voir l explication d «envoyer/recevoir» et d «envoyer/envoyer», à la page suivante. 6 février 2009 POS ( ) 19

30 Guide de transmission RACTO Rens. priv. et conf. d American Express Que signifie ENVOYER/RECEVOIR? ENVOYER/recevoir Le marchand ou la société de traitement doit ENVOYER les données (p. ex., un fichier de règlement) à American Express en lançant un transfert de fichier afin de transmettre le fichier et de le téléverser dans les systèmes d American Express. Envoyer/RECEVOIR Le marchand ou la société de traitement doit RECEVOIR les données (p. ex., un avis de transmission ou des fichiers EPRAW ou EPTRN) d American Express en lançant un transfert de fichier afin d extraire et de télécharger le fichier des systèmes d American Express. Que signifie ENVOYER/ENVOYER? ENVOYER/ENVOYER Le marchand ou la société de traitement doit ENVOYER les données (p. ex., un fichier de règlement) à American Express en lançant un transfert de fichier afin de transmettre le fichier et de le téléverser dans les systèmes d American Express. Envoyer/ENVOYER American Express ENVERRA les données (p. ex., un avis de transmission ou des fichiers EPRAW ou EPTRN) au marchand ou à la société de traitement en lançant un transfert de fichier afin de transmettre le fichier et de le télécharger dans les systèmes du marchand ou de la société de traitement. 20 POS ( ) 6 février 2009

31 Rens. priv. et conf. d American Express Guide de transmission RACTO 3.1 Options relatives au logiciel client SecureTransport de Tumbleweed En plus des protocoles normaux précédemment nommés, American Express offre bon nombre d options exigeant l installation d un logiciel sur le site du client. Le logiciel client privilégié est SecureTransport de Tumbleweed. Il est offert sur de nombreuses plateformes et vient avec bon nombre d options d interfaces Logiciels clients de Tumbleweed Les logiciels clients SecureTransport utilisant les lignes de commande sont offerts pour les systèmes d exploitation UNIX et Linux, ainsi que pour la plateforme AS/400 prenant en charge Java ou une version plus récente de ce langage. Un logiciel client utilisant une interface graphique pour poste autonome est offert pour les systèmes d exploitation Windows de 32 bits. SecureTransport 4.5 prend en charge les logiciels clients SecureTransport suivants : Logiciel client SecureTransport Windows Client, versions 3.0, 3.5, 4.0, 4.2, 4.2.1h SecureTransport Command Line (FDX) Client, version 4.5 Description Interface graphique pour les transferts de fichiers pour le protocole HTTP/S. De plus, il permet d établir l horaire des téléchargements en amont et en aval, et de voir l historique des transferts de fichier. L interface par ligne de commande FDX est offerte sous Windows, Linux RedHat, AIX, HPUX et Solaris. Des renseignements spécifiques concernant l installation et l utilisation de ces logiciels clients peuvent être trouvés dans les guides de l utilisateur de Tumbleweed suivants : Tumbleweed SecureTransport Native and Java Clients User s Guide Release 4.3 Tumbleweed SecureTransport Windows Client User s Guide Release 4.2 Tumbleweed SecureTransport Command Line User s Guide Release février 2009 POS ( ) 21

32 Guide de transmission RACTO Rens. priv. et conf. d American Express Distribution du logiciel client SecureTransport de Tumbleweed American Express offre un site de téléchargement du logiciel client SecureTransport de Tumbleweed. Le site est géré par cette dernière. Pour pouvoir télécharger le logiciel client, le marchand recevra une clé d enregistrement. Aux fins du processus d enregistrement, le marchand doit fournir une adresse électronique qui servira à recevoir la clé d enregistrement et un lien pointant vers le site de téléchargement. Une fois enregistré sur le site, le marchand sera en mesure de télécharger le logiciel client. Il est important que les renseignements relatifs à l enregistrement soient actualisés, car ils serviront à envoyer des avis de mise à niveau des logiciels clients. Veuillez consulter la section 10.2 pour obtenir des instructions détaillées concernant le processus de téléchargement. American Express enverra par courriel des renseignements sur la clé et un lien pointant vers le site permettant de télécharger le logiciel client. Il est important d informer American Express de toute modification de coordonnées, car l adresse électronique sert aussi à aviser le client des mises à niveau du logiciel Types de réseaux et protocoles Le tableau suivant donne un bref aperçu des types de réseaux et des protocoles qui peuvent servir à transférer des fichiers par ces réseaux. Protocole Connect: Connect: FTP/S HTTP/S SSH AS2 direct / direct Secure + Réseau Internet Relais de trame RPV sur Internet 22 POS ( ) 6 février 2009

33 Rens. priv. et conf. d American Express Guide de transmission RACTO 4.0 Mise en œuvre du protocole HTTP/S En entrant dans le système d American Express au moyen du protocole HTTP/S, le marchand est dirigé vers un répertoire personnel, contenant trois sous-répertoires : inbox (boîte de réception), outbox (boîte d envoi) et sent (éléments envoyés). Pour envoyer un fichier, passez au sous-répertoire inbox et transmettez le fichier. Celui-ci sera récupéré dans outbox. Les fichiers envoyés précédemment sont stockés dans le sous-répertoire sent (jusqu à ce qu ils soient supprimés du système). 4.1 Mise en œuvre du protocole HTTP/S Paramètres de connexion Internet American Express URL de test URL de production Code d utilisateur Mot de passe Nom(s) de fichier(s) Port (HTTP/S) (HTTP/S) <Attribué par Amex> <Attribué par Amex> <Attribué(s) par Amex> 443 (HTTP/S) Extranet American Express (p. ex., ligne privée, ligne automatique) URL de test URL de production Code d utilisateur Mot de passe Nom(s) de fichier(s) Port (HTTP/S) (HTTP/S) <Attribué par Amex> <Attribué par Amex> <Attribué(s) par Amex> 443 (HTTP/S) 6 février 2009 POS ( ) 23