NEWSLETTER 05/2014 1 07 octobre 2014 Paiement sans espèces des frais de stationnement dans les systèmes de parking à barrière de Suisse Evaluation de la situation et perspectives, groupe de travail Trafic des paiements de ParkingSwiss Septembre 2014 / HS Le renforcement des exigences de sécurité régissant le traitement des cartes de crédit et de débit modifie au fil du temps les possibilités de paiement sans espèces. Cette newsletter donne des informations sur les solutions actuellement disponibles pour le paiement sans espèces des frais de stationnement dans les systèmes de parking à barrière de Suisse et montre des approches de solutions pour l'avenir. 1 Caisses automatiques 1.1 Possibilités de paiement sans espèces actuellement disponibles Un module de paiement certifié EMV 1 et PCI-DSS 2 (p.ex. Davinci VENDING) peut être intégré aux caisses automatiques pour le paiement des frais de stationnement avec des cartes de débit (Maestro, V PAY, Postfinance Card) et de crédit (MasterCard, VISA, etc.). Les modules de paiement capables de traiter toutes les cartes délivrées par des institutions bancaires Suisses et étrangères doivent disposer des modules suivants : - Clavier à code - Module combiné pour la lecture des bandes magnétiques et des puces avec contact EMV (lecteur motorisé à insertion ou à avalement) - Module de lecture sans contact pour les dispositifs NFC 3 (téléphone portable) et puces EMV-RFID 4 Si les mises à jour logicielles requises sont effectuées, le module de lecture EMV-RFID/NFC permet aussi d'effectuer le paiement par téléphone portable avec la solution récemment lancée par Aduno et Swisscom (application Tapit avec carte de crédit virtuelle sur la carte SIM). Il est actuellement encore possible de n'utiliser qu'un module de lecture combiné pour les bandes magnétiques et les puces avec contact EMV avec clavier PIN (sans module de lecture sans contact). Il faut cependant s'attendre à ce que les émetteurs des cartes de crédit 1 Les lettres EMV sont les initiales des trois sociétés ayant développé la norme de la puce avec contact : Europay International (aujourd'hui MasterCard Europe), MasterCard et VISA 2 PCI-DSS (Payment Card Industry Data Security Standard) est un ensemble de règles pour le trafic des paiements régissant le traitement des transactions par cartes de paiement. Il est repris par les principales organisations de cartes de crédit. 3 NFC : Near Field Communication 4 RFID : Radio-Frequency-Identification Page 1 sur 5
ne le permettent plus à l'avenir en Suisse et prescrivent impérativement un module de lecture sans contact supplémentaire. Cette directive est déjà une réalité dans différents pays de l'ue. 1.2 Futures solutions Etant donné qu à moyen terme, la plupart des cartes de crédit émises en Suisse et une partie des cartes de débit seront équipées d'une puce RFID, il est imaginable de renoncer à l'avenir à l'installation du lecteur combiné pour les puces avec contact et les bandes magnétiques et de n'utiliser qu'un module de lecture EMV-RFID/NFC avec clavier PIN pour réduire les frais d'investissements. Cependant, sans module de lecture des puces avec contact EMV, il n'est pas possible de payer avec des cartes de débit suisses et de nombreuses cartes de crédit étrangères qui ne sont pas encore équipées de puces RFID. Renoncer à avoir un clavier à code sur les caisses automatiques est peu judicieux. La saisie d'un code personnel aux caisses automatiques ne pose pas de problème aux utilisateurs et les possibilités d'économies financières sont faibles. Par contre, cela réduirait fortement les possibilités d'utilisation des cartes de paiement. Cela exclurait la Postfinance Card étant donné que cette carte demande impérativement la saisie du code. Exception faite de la carte de crédit MasterCard qui peut être traitée en ligne sans restrictions sans code avec un module de lecture des puces avec contact EMV, toutes les autres cartes de crédit ne sont acceptées sans code en plus que jusqu'à un montant donné (carte de débit Maestro et carte de crédit VISA : max. EUR 50.--). 2 Entrées et sorties 2.1 Possibilités de paiement sans espèces actuellement disponibles Sur les parkings signalisés, il est possible d'entrer et de sortir avec une carte de crédit (MasterCard, VISA etc.) sans utiliser les caisses automatiques. A cette occasion, on lit en Suisse toujours la bande magnétique de la carte de crédit. Cette procédure n'est pas considérée comme sûre étant donné que la carte est contrôlée hors ligne sans consultation du code. Il est donc possible d'avoir une utilisation abusive d'une carte volée (en cas de contrôles hors ligne, on n'a pas d'autorisation par les acquéreurs / émetteurs. Il n'est donc pas possible de vérifier si la carte est bloquée ou non). La solution-système actuelle pour les entrées et sorties avec carte de crédit au moyen de la bande magnétique n'est donc encore autorisée que pour une durée limitée en Suisse et devra être arrêtée dans un avenir proche. Les organisations de cartes de crédit ont communiqué le 30.06.2015 comme date butoir. On n'a aujourd'hui déjà plus de nouvelles mises en service. Page 2 sur 5
Depuis quelques années, il est possible d'entrer et de sortir des parkings suisses sans espèces sans passer aux caisses automatiques avec le badge ParkingCard équipé d'une puce RFID aux normes ISO. En règle générale, on a déjà un module de lecture RFID installé sur les bornes d'entrée et de sortie pour le traitement des locataires. Les frais de stationnement sont débités du compte utilisateur ParkingCard lorsque l'utilisateur sort du parking. Le décompte est effectué soit par paiement préalable soit par recouvrement direct / débit direct ou facture (uniquement pour les entreprises). Il faut aussi mentionner des solutions spécifiques au système de parking avec des cartes prépayées. Ces dernières ne peuvent en règle générale être utilisées que chez l'exploitant de parking ayant vendu la carte. 2.2 Future solution pour les entrées et sorties avec des cartes de crédit sans contact Etant donné qu à l'avenir, les cartes de crédit délivrées en Suisse seront en règle générale équipées d'une puce EMV-RFID et que la technologie sans contact RFID est désormais la norme pour entrer et sortir des parkings à barrière au moyen d'un badge de parking, les entrées et sorties sur la base de cette même technologie avec des cartes de crédit devront également être permises. Il faut cependant pour ce faire qu'il ne soit toujours pas nécessaire de saisir son code. Pour proposer une telle solution, les entrées et sorties doivent être équipées d'un module de lecture EMV-RFID/NFC. Etant donné que les cartes de crédit sans contact ne peuvent être traitées sans saisie du code que pour les montants < CHF 40.--, un lecteur de puces avec contact EMV supplémentaire devrait être installé à la sortie. Pour les montants supérieurs à CHF 40.--, il sera demandé à l'utilisateur d'insérer sa carte dans ce lecteur. Borne d'entrée Borne de sortie Le module de lecture EMV-RFID/NFC doit également pouvoir lire les badges RFID aux normes ISO usuels dans les parkings pour les locataires ainsi que pour les utilisateurs ParkingCard afin qu'un seul lecteur RFID soit nécessaire aux entrées et sorties. Au vu de l'arrêt prévisible de la solution actuelle d'entrée et de sortie par carte de crédit, ParkingSwiss va élaborer un cahier des charges pour cette solution en collaboration avec les organisations de cartes de crédit. Les conditions-cadres seront les suivantes : - La solution sera conçue de façon à ce qu'aucune certification PCI-DSS du système de parking ne soit nécessaire (utilisation de jetons pour anonymiser les données des cartes de crédit) - Lecteur de cartes sans contact certifié EMV pour les cartes de paiement utilisées aux entrées et sorties afin de pouvoir aussi lire et traiter les puces RFID non EMV aux normes ISO (par le biais d'une interface séparée) - Liberté de choix de l'acquéreur par l'exploitant Page 3 sur 5
3 Glossaire: Types de cartes de paiement pour le paiement sans espèces Les conditions d'acceptation sont définies en fonction des pays par les organisations de cartes de paiement. Les informations suivantes concernent la Suisse. 3.1 Cartes de débit Outre le lecteur de bande magnétique, les cartes disposent en principe d'une puce avec contact EMV (cercle rouge). Les bandes magnétiques ne sont utilisées que comme solution de repli si la puce avec contact ne peut pas être lue pour des raisons techniques. - Maestro (anciennement ec-direkt), carte de débit de MasterCard V PAY, carte de débit de Visa (traitement en ligne possible sans code jusqu'à un max. de EUR 50.-- pour les frais de stationnement si la caisse automatique ne dispose pas de clavier à code) - Postfinance Card (anciennement Postcard) (traitement exclusivement permis avec saisie du code) Postfinance a annoncé que la Postfinance Card devrait être équipée d'une puce EMV-RFID en 2015. On ne sait pas encore dans quelle mesure la saisie du code sera nécessaire. Des cartes Maestro dotées d'une puce EMV-RFID sont déjà en circulation dans différents pays. On peut partir du principe que les émetteurs suisses équiperont eux aussi les cartes Maestro d'une puce EMV-RFID à moyen terme. Les limites définies pour la saisie du code sont en règle générale équivalentes à celles qui prévalent pour les cartes de crédit (CHF 40.- -). 3.2 Cartes de crédit En règle générale, les cartes de crédit délivrées en Suisse (MasterCard, Visa, AMEXCO, etc.) disposent d'une bande magnétique et d'une puce avec contact EMV (cercle rouge). Les limites de montants suivantes s'appliquent aux caisses automatiques équipées de modules de paiement EMV sans possibilité de saisie du code : - VISA max. EUR 50.-- - MasterCard pas de limite de montant La plupart des émetteurs de cartes de crédit suisses ont depuis décidé de doter leurs cartes d'une puce EMV-RFID au plus tard au prochain renouvellement de la carte afin de compléter la puce avec contact EMV et la bande magnétique toujours utilisée pour le traitement sur la scène internationale et notamment aux Etats-Unis. Il est donc possible de lire la carte à une distance maximale de 4 cm par rapport au lecteur. Cette fonction est automatiquement activée sur les cartes affichant le symbole correspondant et peut à tout moment être utilisée sur les modules de paiement équipés de ce système. Page 4 sur 5
Aucune saisie du code n'est en règle générale nécessaire jusqu'à un montant de CHF 40.--. Pour des raisons de sécurité (en fonction de l'émetteur), le code peut cependant être aussi demandé pour de petits montants à intervalles irréguliers. 3.3 Systèmes de paiement sans espèces spécifiques à la branche 3.3.1 ParkingCard Un badge RFID aux normes ISO est nécessaire pour les entrées et sorties avec décompte des frais de stationnement par l'intermédiaire du système ParkingCard. Il est aussi possible d'utiliser des badges délivrés à d'autres fins (p.ex. badges pour les locataires) si ces derniers satisfont à la norme ISO définie. 3.3.2 Cartes prépayées spécifiques au système de parking Les cartes préparées spécifiques au système de parking sont équipées de différentes technologies d'identification (puce RFID propriétaire et aux normes ISO, bande magnétique, cartes à trous, etc.). Page 5 sur 5