Le paiement sur Internet



Documents pareils
EMV, S.E.T et 3D Secure

Le contexte. 1) Sécurité des paiements et protection du consommateur

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Proposer le paiement par carte a mes clients

Technologies informatiques appliquées au commerce électronique

Panorama sur les nouveaux modes de paiement

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Sécuriser le e-commerce avec la technologie XCA. «Une sécurité qui inspire la confiance»

Paiement sécurisé sur Internet

L e-commerce : sécurité et paiements en ligne

Guide d utilisation de PayPal e-terminal. Informations à usage professionnel uniquement

Management et Productivité des TIC

Une approche à multiples niveaux en matière de sécurité des cartes de paiement

Le paiement en ligne : l'état du droit face à la technique

Guide pratique pour la Sodexo Card

Faites confiance à la première solution française de paiement sur Internet.

Guide d implémentation. Réussir l intégration de Systempay

Bienvenue dans l univers du e-commerce (commerce en ligne)

Le e-commerce en France

1. Le service, en bref Avantages Contexte Clients actuels et cibles Description du service

Sodexo Card. Guide pratique pour la Sodexo Card. Mode d emploi et conseils pour une utilisation en toute sécurité

Paiements, les paiements échelonnés, le calcul des intérêts et la facturation mensuelle

Copyright Crypto-sud PROGRAMME DE FIDÉLITÉ TOTARA - CARTES MULTI-COMMERCES COMMUNICANTES CRYPTO-SUD

La payement par Carte Bancaire sur Internet

Entreprises. Extrait des Conditions Générales de Banque. Tarifs nets en vigueur au 1 er mai 2014 BANQUE ET ASSURANCES

De plus en plus de gens font leurs achats sur Internet, et l offre de produits et services en ligne est grandissante. Les moyens de paiement se

Connexion de la compte VIC avec votre ewallet de la plateforme 2Pay4You 22

Erreurs les plus fréquentes Guide de dépannage

Réaliser des achats en ligne

plateforme de paiements sécurisés sur internet Groupe Crédit Mutuel-CIC La carte d identité 2009

Une technologie de rupture

Plateforme Systempay. Correspondance entre SP PLUS et SYSTEMPAY Paiement Simple et en plusieurs fois

Particuliers, la Banque de France vous informe

pour vos ventes à distance

TRANSFERTS MONÉTAIRES PAR LE BIAIS DE CARTES

Formations certifiantes dans le domaine du paiement électronique

LA CARTE D IDENTITE ELECTRONIQUE (eid)

Systèmes de paiement: mode d'emploi

C est vital pour votre activité!

Les modalités de remboursement d une dette

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.

Mise en œuvre et sécurisation d une plateforme monétique pédagogique

UBS Commercial Cards Online Portal Manuel d utilisation

Règlement Spécifique DB Titanium Card

solutions de paiement par internet Confiance. Simplicité. Efficacité.

Ajouter le moyen de paiement e-chèque-vacances (ANCV) Systempay 2.3

EXPOSE. La SuisseID, qu est ce que c est? Secrétariat d Etat à l Economie SECO Pierre Hemmer, Chef du développement egovernment

GLOSSAIRE des opérations bancaires courantes

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

D exia CLF Banque. Conditions et Tarifs

«Paiement en ligne» : Que choisir pour vendre en ligne mon hébergement, activité?!

Particuliers, la Banque de France vous informe

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

14.1. Paiements et achats en ligne

GUIDE DES SOLUTIONS DE PAIEMENT SECURISE

Systèmes de paiement: mode d'emploi

2.1 Les présentes conditions générales régissent les conditions de vente et d utilisation de Ticket Premium.

SOLUTION DE PAIEMENT PAR INTERNET. Facilitateur de commerce

Karine PEREIRA Animatrice manager Cyber-base de la Nièvre FOURCHAMBAULT / LA CHARITE SUR LOIRE

INTRODUCTION. Intégration d un système de paiement en ligne dans votre site internet

Professionnels Extrait des Conditions Générales de Banque

Guide d Utilisation. Réglo Mobile

Site Web e-rcs GUIDE UTILISATEUR SAFERPAY V1.5

AMICOM. Société spécialisée dans la téléphonie par Internet AMICOM. Tel : (00-33) amicom-monde@hotmail.fr. «Au cœur du monde»

Les recommandations de la Banque de France

DOSSIER D INSCRIPTION au service de paiement sécurisé sur Internet PAYBOX SYSTEM

FOIRE AUX QUESTIONS PAIEMENT PAR INTERNET. Nom de fichier : Monetico_Paiement_Foire_aux_Questions_v1.7 Numéro de version : 1.7 Date :

Systèmes de paiement: mode d'emploi

Signature électronique. Romain Kolb 31/10/2008

Marchés publics de fournitures et services EMISSION DE CARTES D ACHATS ET PRESTATIONS ANNEXES CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (C.C.T.P.

Les 31 pays SEPA Union Européenne zone euro. Union Européenne zone non euro. Pays de l AELE (Association Européenne de Libre-Echange)

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Solution de fax en mode Cloud

Paiements sur site marchand et Paiements par présentation des outils marchands

Convention Beobank Online et Beobank Mobile

GUIDE DE CRÉATION ET D ACTIVATION D UN COMPTE PAYPAL POUR LES CLIENTS D E-TRANSACTIONS VERSION DU 13/05/2015

Option site e-commerce

PIECES COMPTABLES ET DOCUMENTS DE PAIEMENT

L authentification de NTX Research au service des Banques

Informations. sur la solution E-paiement de Saferpay

E-Commerce Tutoriels TABLE DES MATIÈRES. Tutoriel 1 EC 1.01 Qu est-ce que le commerce électronique

Guide Utilisateur Banque en Ligne Banque de Nouvelle Calédonie

Génération de scripts automatiques pour la sécurité des cartes bancaires nouvelle génération (EMV)

Conditions générales pour le paiement sans espèces (1/7)

Chèque-Formation et Chèque-Formation Langues virtuels : Guide d Utilisation à l usage des PME et des Indépendants

SIMPLIFIEZ-VOUS LE FAX GRÂCE AU CLOUD

SOLUTION D ENVOI DE SMS POUR PROFESSIONNELS

Conditions générales de vente

VOTRE GUIDE. Votre nouveau moyen de paiement sur mobile

Chapitre 5 : Les paiements et le change.

Petite introduction aux protocoles cryptographiques. Master d informatique M2

Guide démonstratif CIH Mobile v2

financières de Pôle Emploi Mme LE CALLONEC Sophie / M LERAY Jean Paul

Les solutions de paiement CyberMUT (Crédit Mutuel) et CIC. Qui contacter pour commencer la mise en place d une configuration de test?

fr (pf.ch/dok.pf) PF. Manuel e-payment Payment Service Providing PostFinance SA

PCI DSS un retour d experience

Règlement Spécifique Carte Bancaire DB

Transcription:

ITCE NFE 102 Année 2013-2014! Le paiement sur Internet F.-Y. Villemin (f-yv@cnam.fr) http://dept25.cnam.fr/itce Types de paiement! Paiement à la livraison! Paiement par virement / facture! Paiement par virement automatique! Paiement par cartes de crédits! Transmis par Fax! Transmis par l'internet ()! Futur: par protocole sécurisé! Paiement par micropaiement, ou par GSM 2! Paiement par Internet Types de paiement Moyens de paiement Paiement hors Internet (téléphone, fax, courrier) 1. Sonia génère un # aléatoire et y associe 10 Euros Porte-monnaie électronique 5. sonia envoie le nombre reçu de la banque Boutique Port-monnaie virtuel Carte bancaire Chèque Carte bancaire 2. Sonia crypte le # aléatoire Sans cryptage Avec cryptage # # 4. La banque de Sonia y ajoute sa signature électronique 6. La boutique envoie le nombre reçu à sa banque Avec authenfication Sans authenfication (n carte + date expiration) C-, E-comm Banque de Sonia 7. La banque de la boutique vérifie le nombre et crédite son compte de 10 euros Banque de la Boutique Par certificats Par carte à puce Avec intermédiation (nécessite un lecteur) financière Sans intermédiation financière 3! 3. La banque décode le message, vérifie l éméteur et débite 10 Euros 8. Le # aléatoire est ajouté à la liste des n utilisés 4!

Avantages :! les banques ne savent pas qui a dépensé quoi et où (anonymat)! système de "monnaie en ligne" : vérification de l'authenticité en temps réel par la banque émettrice! possibilité de Clearing interbancaire des monnaies électroniques! utilisation de la cryptographie à clé publique et de signatures numériques authentifiant les utilisateurs et garantissant contre les risques de répudiation Limites : Porte-monnaie électronique! contrôle des pouvoirs publics sur la création monétaire! gestion de la bibliothèque des clés publiques Relevé des échéances mensuelles Client Banque du client 1. N de carte cryté et signature électronnique 5. Autorisation 8. Informations vente 4. Vérification Traitement des informations de carte de crédit 2. Laisser-passer 6. OK Boutique 7. OK Cryptage Module de traitement (CyberCash, Verifone) 3. Vérification de l autenticité et contrôle du solde 5! 6! Relevé des échéances mensuelles Client Banque du client 1. N de PIN Informations vente détaillées 7. Autorisation 10. Informations vente 3. Confirmation par e-mail 6. Vérification Traitement des informations de carte de crédit 2. Vérification de l autenticité des informations du PIN et contrôle du solde 4. OK 8. OK Boutique 9. OK Module de traitement (First Virtual) 5. Vérification de l autenticité et contrôle du solde Cardholder 7. Payer Authentication Request 8. Transaction confirmation screen Issuer ACS 1. Cardholder enters card and personal details 6. Payer Authentication Request 10. Payer Authentication Response 9. Cardholder Authentication 3. Verify Enrollment Request 4. Verify Enrollment Response (inc. ACS URL) 11. Payer Authentication Response VISA DIRECTORY for 3D-Secure 13. Normal Authorisation process Visanet 2. Verify Enrollment Request 5. Verify Enrollment Response (inc. ACS URL) Plug-in Acquirer Visa Root Certificate Merchant 12. Merchant submits normal transaction 14. Acquirer sends transaction response Payment Gateway 7!

Cardholder 2. Payment authorisation request 3. Cardholder authentication 4. AAV request Issuer Wallet / Applet Wallet Server 1. Cardholder selects goods and proceeds to check out 5. Wallet server generates AAV and sends it to wallet 6. Wallet populates form with card account details and inputs AAV into hidden field 9. Issuer checks AAV UCAF/SPA (Europay) 10. Issuer sends normal authorisation response 7. Merchant sends payment request including the AAV 8. Acquirer sends payment request and AAV 11. Acquirer sends authorisation response Merchant Acquirer Autre intermédiaires :! Authorize.Net! CyberCash,! DataCash! Lloyds TSB CardNet! NetBanx! PayPal! Planet Payment Systems! Protx! SECPay! Secure Trading! Trivnet! Verisign Payment System! WorldPay! PicoPay : micropaiement par les bandeaux publicitaires 10! Cas de PayPal : Action Informations transmises 1. Nick se connecte à PayPal.com et s'enregistre. nom de Nick. adresse de Nick. e-mail de Nick 2. Nick déclare donner 50! à Sonia en entrant ses. numéro et date de la carte de Nick données de carte de crédit, l'e-mail de Sonia et le. montant de la transaction montant (30c + 2.2% du montant). e-mail de Sonia 3. La carte de Nick est débitée de 50! et un compte au nom de Sonia est créé et crédité de 50! 4. Sonia reçoit un e-mail de notification et un lien 5. Sonia se connecte à ce lien et s'enregistre. nom de Sonia. adresse de Sonia 6. Sonia peut transférer cet argent sur son compte bancaire ou sur un autre compte PayPal ou demander un chèque à PayPal (30c + 1.6% du montant) Chiffrement (128 bits) communication entre client et POS serveur. Pas de numéros de carte de crédit chez le commerçant (POS server). Contrôle validité du PAN, disponible, date de validité et liste noire. Contrôles moins précis que sur un terminal réel (CVV non contrôlé) Identité du porteur non contrôlée. Pas d authentification. Anonymat lié à Internet. Répudiation des transactions par le porteur aux frais du commerçant jusqu au Liability Shift. 11! 12!

Avantages :! sécurité pour l'acheteur! minimisation des risques de faux numéros de cartes de crédit pour les fournisseurs! acceptation de la transaction après autorisation bancaire, donc en limitant les risques de cartes de crédit refusées. Limites :! aucun chiffrement n'est "incassable" Perspectives :! accords avec des institutions bancaires et L'incapacité à identifier formellement l'acheteur est l'un des principaux points faibles des solutions Visa, Eurocard/Mastercard, IBM, Microsoft et Netscape ont développés un standard mondial pour le paiement sûr par carte de crédit sur Internet, le protocole Secured Electronic Transaction ( : www.setco.org) :! intégrant des fonctions d'! identification de l'acheteur! identification du marchand! identification de la banque! utilisant des certificats numériques pour identifier les parties en présence 13! 14! La carte du porteur doit être certifiée par un serveur et l'acheteur doit disposer d'un logiciel de paiement sur son ordinateur Les parties suivantes sont impliquées dans un paiement : satisfait aux exigences suivantes,:! Intégrité des données (signature numérique)! Authentification du titulaire de la carte! Authentification du commerçant! Confidentialité des données Acheteur:! Commerçant :! Passerelle de paiement :! navigateur Web! Portefeuille électronique avec code privé et certificat! serveur Web! logiciel POS pour commerçants avec code privé et certificat! passerelle de paiement avec code privé et certificat! 15! 16!

Portefeuille électronique ( Wallet) est le logiciel dont a besoin le titulaire de carte pour participer à. Il exécute le protocole du côté du titulaire de carte et mémorise le code et le certificat d'une ou plusieurs cartes Logiciel POS () pour commerçants est le logiciel dont a besoin le commerçant pour participer à. Il exécute le protocole du côté du commerçant Certificat () est une sorte de pièce d'identité qui permet aux principales parties impliquées dans (titulaire de carte, commerçant) de décliner leur identité. Dans le certificat du titulaire de carte, l'émetteur de carte atteste avoir fourni une carte de crédit au titulaire et engage sa responsabilité pour le titulaire. Dans le certificat du commerçant, le responsable du traitement des paiements par carte de crédit engage sa responsabilité pour le commerçant Passerelle de paiement () est le logiciel dont a besoin le responsable du traitement des paiements par carte de crédit pour participer à. Il exécute le protocole du côté du responsable du traitement 17! 18! 2. Lancement du portefeuille électronique et présentation de la facture. L'acheteur débloque le portefeuille électronique en indiquant son identification d'utilisateur et son mot de passe. La facture lui est alors présentée dans le portefeuille électronique 3. L'acheteur vérifie la facture, sélectionne l'une des cartes de crédit disponibles dans le portefeuille électronique et confirme le paiement. Le certificat du commerçant et celui de la passerelle de paiement sont vérifiés dans un premier temps. Un message est établi avec une valeur hash portant sur la facture, ainsi que la monnaie et le montant. Le message est ensuite signé par le titulaire de la carte (au moyen de son code secret), crypté et envoyé au commerçant avec le certificat du titulaire de la carte 19! 20!

6. Le commerçant commence par vérifier le certificat du titulaire de la carte (client) afin d'être certain qu'il a affaire à un titulaire de carte autorisé. Il fait une demande d'autorisation à la passerelle de paiement : Il envoie le message de l'acheteur avec son certificat (client), un message analogue de sa part (valeur hash, monnaie, montant) qui est ensuite signé par le commerçant (au moyen de son code secret ), crypté et complété par son certificat (commerçant) 5. La passerelle de paiement contrôle les points suivants: signature du titulaire de la carte signature du commerçant concordance des informations des deux messages (valeur hash de la facture, monnaie et montant). Si résultats positifs, la passerelle de paiement transmet alors la monnaie, le montant et le numéro de la carte de l'acheteur (numéro tiré du certificat) à l'ordinateur hôte d'autorisation, afin que ce dernier traite ces données 6. L'ordinateur hôte d'autorisation de l'émetteur des cartes de crédit s'assure qu'il existe un contrat valable avec le commerçant, que la carte n'est pas bloquée et que le plafond de la carte n'est pas dépassé 7. Le résultat de l'autorisation est renvoyé à la passerelle de paiement qui communique à son tour le résultat au serveur du commerçant 8. Lorsque la passerelle de paiement a autorisé l'achat, l'acheteur reçoit confirmation du bon déroulement de l'achat. Si l'achat est refusé, l'acheteur est informé du motif du refus 21! 22! Points forts de! Protocole harmonisé Visa Mastercard défini en 1996.! Réduction des Charge-backs.! Amélioration de la sécurité liée aux transactions sur Internet.! Amène un climat de confiance concernant le business sur Internet. Raisons de l échec de! Déploiement trop lent! Sous-estimation de l effort d intégration dans le magasin virtuel du commerçant.! Licence d utilisation non adapté au marché (trop cher pour le petit commerçant).! Pas de solutions intégrées pour les clients ( non portable).! Pas de marketing.! Pas de support Visa aux USA.! Pas d avantage financier offert par Visa / Eurocard et Cyber-Comm En France, le certificat n'est pas une preuve absolue de paiement. Le GIE Cartes bancaires et les banques ont donc eu l'idée d'utiliser la puce au lieu des certificats pour authentifier de façon forte les paiements C- (Chip-Secure Electronique Transaction), est un dispositif de paiement sur Internet sécurisé par carte à puce C- permet donc d'effectuer des paiements en France comme à l'étranger Pour les paiements internationaux, le système reste compatible avec les logiciels à travers une passerelle logicielle 23! 24!

et Cyber-Comm Groupement Cyber-Comm inclut Banques Populaires, BNP, Caisses d'épargne, CCF, Crédit agricole, Crédit Lyonnais, Crédit mutuel, La Poste, Société générale, Europay, Visa, Gemplus, France Télécom, Alcatel et Bull La solution garantit une sécurité absolue tant du côté du marchand que de celui de l'acheteur, mais elle requiert un lecteur de carte à puce (environ 25!) et l'installation d'un logiciel de paiement sur le poste client et Cyber-Comm Les Boîtes Noires Commerce Electronique (BNCE) sont des matériels sécurisés de cryptographie Les Gestionnaires de Télépaiement Internet gèrent les paiements nationaux pour le compte des banques des commerçants, et permettent d'offrir un service de délégation, sous certains montants, pour le compte des banques émettrices de cartes Les Traducteurs assurent la gestion des flux internationaux en jouant le rôle de Passerelles de Sécurité entre la France et l'international 25! 26! et Cyber-Comm et Cyber-Comm 27! 28!

et Cyber-Comm Yescard La yescard est une carte à puce programmable qui permettait de faire des transactions d achats sur quelques types d automates de paiement électronique (Diffusion de clefs sur Usenet) Fraude très localisée sur quelques sites :! En dessous d un seuil de transaction d achat, l authentification de la carte et de son porteur sont faits en local! Seuls les automates (carburant, titre de transport, location vidéo, etc.) sont concernés : " Les DAB/GAB requièrent une demande d autorisation en ligne " Les TPE chez les commerçants nécessiteraient la contre-façon visuelle de la carte ou une collusion Logiciel G0lee pour la fabrication de Yescard Migration EMV 5.1 et 5.2 en cours. A compter de janvier 2002, la clef VA (320 bits) n est plus utilisée, remplacée par une clef VS (768 bits) avec le durcissement du processus d authentification et de non répudiation (certificat d achat) 29! 30! Comparaisons En clair!!! C-! Intégrité des données! # # $ $ $ Authentification! #! #! $ $ $ Non-répudation! #! #! $ $ $ Assurance de paiement pour le commerçant! #! #! $ $ $ Confidentialité! # $ $ $ $ Simplicité d'utilisation! $ $ $ $ $ $ Simplicité de mise en œuvre! $ $ $ $ # $ Performances! $ $ $ $ # # $ 3-D Secure 3-D Secure a été développé par Visa pour augmenter le niveau de sécurité des transactions lors du paiement d'achats effectués sur des sites web 3-D Secure a été adopté par Mastercard Le protocole de 3-D Secure permet une meilleure authentification du détenteur de la carte en liant l'autorisation financière avec une authentification en ligne Cette authentification est basée sur un modèle comportant 3 domaines (3D) qui sont: le commerçant, la banque et le système de carte bancaire 31! 32!

3-D Secure 3-D Secure Selon la banque émettrice de la carte, pour s'authentifier, le client doit indiquer : 1/ son identifiant de banque en ligne, puis indiquer un des codes inscrit sur sa "carte de clés personnelles" (une grille de 64 codes à 4 chiffres dans laquelle il faut piocher le bon code en fonction de la ligne et de la colonne demandée par le site web) 2/ sa date de naissance* 3/ sa date de naissance et un code est envoyé par sms 4/ un mot de passe personnel, crée lors de la première utilisation 5/ son nom, le code postal de sa résidence et sa date de naissance 33! *La validation par la date de naissance présente un risque de fraude reste fort, car la date de naissance est facile à obtenir 34! Sources http://www.setco.org/ http://www.set.ch/ http://www.c-set.com/c-set.html http://www.e-comm.fr/internet.html http://www.ensam.inra.fr/infoservices/1998/liberi/paiement. html http://www.declic.net/francais/savoir/dossier/paiement.htm D. Kosiur "Understanding electronic commerce", Microsoft Press 1997 35!

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back