Certifications & Normes

DEFINITION


L’EMV (Europay MasterCard Visa) est une norme imposée par les réseaux internationaux Visa et MasterCard afin d’assurer l’interopérabilité mondiale des paiements par carte à puce dans un environnement particulièrement sécuritaire.


Basée sur la technologie de la puce, la norme EMV a été conçue dans un contexte multi-applicatif. Ceci permet à la carte bancaire de supporter plusieurs applications en sus de celles de paiement et de retrait utilisées.


ORGANISME DE GESTION



  •   EMVCo

CONFORMITE EXIGEE



  •   GIM-UEMOA

  •   Membres

  •   Personnalisateurs de cartes

  •   Fabricants de terminaux de paiement

AVANTAGES


L’EMV est un enjeu important pour les banques car elle leur permet de renforcer la sécurité lors de l’utilisation de la carte, cette dernière étant notamment plus difficile à contrefaire. Par ailleurs, l’offre multi-applicative qu’elles peuvent développer grâce à la puce leur donne l’opportunité d’intégrer des services non bancaires dans leurs produits monétiques.


L’apport sécuritaire majeur de l’EMV est le renforcement de la protection contre la fraude à travers plusieurs facteurs concomitants :



  • Lutte contre la contrefaçon des cartes à piste magnétique grâce à leur remplacement par des cartes à puces.

  • Lutte contre l’utilisation frauduleuse des cartes perdues ou volées grâce à la généralisation (au niveau international) de l’usage du code confidentiel (code PIN) pour authentifier le porteur.

  • Amélioration de la gestion du risque porteur par l’émetteur (via, par exemple, des demandes d’autorisation qui seront générées en fonction des caractéristiques de la transaction en cours, mais également des transactions précédentes enregistrées sur la carte, du profil du porteur, …). 

  • Amélioration de l’authentification de la transaction (à travers l’authentification de la carte, de l’émetteur, etc.).

 


Et également un bref rappel historique sur le Transfert de responsabilité (en anglais Liability shift)



  • Transfert de Responsabilité EMV :  

En Février 2003, le conseil d’administration de VISA EUROPE établissait le principe du Transfert de Responsabilité ainsi que les règles le régissant, en Octobre 2003 la zone CEMEA adoptait les mêmes règles.


L’application du Transfert de Responsabilité devenait effective le 01 Janvier 2005 au niveau de la zone VISA EUROPE, et plus tard le 01 Janvier 2006 au niveau de la zone CEMEA.


En début d’année 2005, le conseil d’administration de Visa International entérinait un accord bilatéral entre les zones Visa CEMEA et Visa EUROPE portant sur le principe du Transfert de Responsabilité.


Cet accord devait voir son effectivité à compter du 1er Janvier 2006, selon ces mêmes accords il était stipulé que les transactions ATM n’étaient pas concernées dans une première phase et qu’elles devraient l’être dans un futur proche.


Ainsi en Octobre 2006, un amendement fût rajouté par le conseil d’administration de VISA INTL  sur les accords  portant sur le principe du Transfert de Responsabilité déjà en vigueur entre la zone VISA CEMEA et la zone VISA EUROPE et précisait que désormais les transactions ATM seraient concernées par le Transfert de Responsabilité avec comme date d’effectivité le  01 Juillet 2008;


Including ATM Transactions



  • Impact chez l’Acquéreur

Les acquéreurs au travers de leurs Gabs qui ne seront pas en mesure de traiter des transactions par carte à puce EMV s’exposent à des risques de fraude en cas de contrefaçons de cartes à puce émises par la zone VISA EUROPE.



  • Impact chez  l'Emetteur

Les émetteurs qui auront investi dans la technologie puce EMV bénéficieront de la protection liée au principe de Transfert de Responsabilité au moment où leurs cartes seront utilisées dans des distributeurs non certifiés EMV.



  • Résumé des Règles du Transfert de Responsabilité

Si dans deux zones concernées par le Transfert de Responsabilité, un émetteur est aux normes EMV et un acquéreur ne l’est pas, et que l’utilisation frauduleuse d’une carte EMV ait été favorisée du fait du non alignement de l’acquéreur aux normes EMV, la Responsabilité est engagée du côté de l’acquéreur, par contre dans le cas où les deux parties sont aux normes EMV, et que la transaction s’est faite au moyen d’une lecture de la puce et que le pin a été contrôlé, l’émetteur sera responsable de la transaction ou à défaut en cas de contestation il devra se référer aux règles Opérationnelles Internationales de VISA (VIOR)



  •  les transactions Intra Régionales entre un émetteur membre de la zone CEMEA et un Acquéreur membre de la zone CEMEA,  les règles du Transfert de Responsabilité s’appliquent à toutes les transactions dont la carte était présente, effectuées le ou après le 01 Janvier 2006, ceci intègre aussi les transactions ATM.

  • Pour les transactions Inter Régionales avec la zone VISA EUROPE (ex transaction entre un émetteur de la zone VISA CEMEA et un acquéreur de la zone VISA EUROPE ou l’inverse), les règles du Transfert de Responsabilité s’appliquent à toutes les transactions frauduleuses dont la carte était présente  (exceptées les transactions ATM) effectuées le ou après le 01 Janvier 2006.

                        

Définition

  • PCI DSS : Payment Card Industry Data Security Standard

Organisme de gestion

  • PCI Security Standards Council

Conformité exigée

  • Acteurs qui capturent, transportent, stockent et/ou traitent des données de cartes bancaires.
  • Centres de traitement monétique (processeurs, service provider…)
  • Commerces de proximité
  • Marchands sur internet
  • Réseaux de transport
  • Centres d’appels
  • Banques
  • Emetteurs de cartes
  • Personnalisateurs des cartes
  • Fabricants des terminaux de payement
  • Providers des applications de paiement

Avantages pour le GIM-UEMOA et ses Membres

  • Assurer la sécurité globale du réseau régionale GIM
  • Mettre en place chez les Membres et les partenaires du GIM, des dispositifs adéquats pour assurer une meilleure sécurité des informations de cartes bancaires en particulier et des systèmes d’information en général en terme de confidentialité, d’intégrité, de disponibilité
  • Lutter contre les fuites de données  et  les attaques de système communément appelées  « Data Breach »
  • Protéger les données sensibles des porteurs de cartes hébergées (Numéro de la carte, nom du porteur, date d’expiration de la carte, données confidentielles
  • Répondre aux exigences réglementaires des partenaires internationaux  Visa (via son programme Account Information Security – AIS), MasterCard (par son projet Site Data Protection-SDP)
  • Mieux lutter contre les fraudes par cartes bancaires
  • Disposer des avantages concurrentiels sur le marché en matière de sécurité des données et d’une meilleure image vis-à-vis de ses partenaires

Domaine des normes PCI concernés

  • La conformité PCI DSS des systèmes d’information
  • La conformité PCI PA DSS des applications de paiement
  • La conformité PCI PTS des terminaux de paiement (GAB, TPE, …)
  • Les spécifications de sécurité PCI : HSM, ATM, P2PE…

Définition

Le 3D Secure est un protocole sécurisé de paiement sur Internet pour permettre aux marchands de limiter les risques de fraude sur Internet, liés aux tentatives d’usurpation d’identité. Il consiste à s’assurer, lors de chaque paiement en ligne, que la carte est utilisée par son véritable titulaire.

Conformité exigée

  •   GIM-UEMOA
  •   Membres
  •   Commerçants

Avantages

  • Sécurisation des transactions garanties : réduction de la fraude chez les marchands et pour les internautes

Protection des données à caractère personnel

  • Cible
    • Les lois relatives à la protection des données à caractère personnel sont en vigueur dans certains pays de la zone UEMOA.

Conformité exigée

  •   GIM-UEMOA
  •   Membres
  •   Etc

Avantages

  •   Satisfaire aux exigences légales et réglémentaires
  •   Eviter les pénalités

Définition

ISO 22301, la norme internationale pour le Management de la Continuité d’Activité (SMCA) est la structure formelle de continuité des activités. La norme ISO 22301 prend en compte toutes les mesures qui permettent d'assurer la continuité des activités métiers. Elle permet d’élaborer un plan de continuité d’activité qui va maintenir le fonctionnement pendant et après toute interruption de service.

Conformité exigée

  • GIM-UEMOA
  • Membres

Avantages

  • Préparer des ripostes et faire face aux sinistres afin d’assurer la continuité, et le cas échéant la reprise des activités sur tout le réseau interbancaire GIM.
  • Mieux gérer les risques liés aux interruptions de service (elle s’adresse aux activités critiques au sens des conséquences  d’une interruption).
  • Donner confiance aux intervenants clés et aux partenaires du GIM par la conformité et l’engagement aux meilleures pratiques mondialement reconnues

Définition

Le Management de la Sécurité des Information (SMSI) désigne l'approche systémique par laquelle une organisation veille à la sécurité des informations sensibles. Construit selon un processus de management du risque, un SMSI englobe les personnes, les processus et les systèmes. Cette solution est utile aux organisations de tous secteurs et de toutes tailles qui tiennent à la confidentialité, la disponibilité, l’intégrité et la traçabilité (preuves) de leurs informations.

Conformité exigée

  • GIM-UEMOA
  • Membres

Avantages

  • Ensemble de mesures de sécurité complet et touchant tous les secteurs du métier de l’organisation
  • Complémentaire aux normes PCI DSS
  • Meilleure image de l’organisation vis-à-vis de ses partenaires
  • Certification

actu_events

search

savoir

epargne

espace

faq

Nos membres :

Scroll To Top