J’ai longtemps cherché des informations fiables sur ce qu’on avait le droit de faire, et surtout de ne pas faire, concernant l’enregistrement d’un numéro de carte bancaire sur un site de ecommerce.
A priori, la référence à suivre est la norme PCI DSS, et j’ai trouvé ici un résumé des meilleures pratiques à suivre :
- Traitez les transactions immédiatement sur le site ou externalisez cette tâche auprès de votre banque ou d’un PSP (Payment Service Provider).
- Ne stockez pas les numéros de carte de crédit. Si ces numéros doivent être stockés, vous devez absolument suivre à la lettre les recommandations du PCI DSS en les chiffrant fortement (AES-256, RSA-2048…). Nous recommandons fortement de ne pas stocker les numéros sur les cartes de crédit. Le marchand est cependant autorisé à conserver un hash du numéro de carte (de préférence SHA-256), cela lui permet de pouvoir confronter a posteriori un numéro de carte. Le marchand peut également conserver les 6 premiers et les 4 derniers chiffres du numéro de carte.
- Ne stockez jamais les cryptogrammes visuels CVV2. Ces codes constituent des champs de validation utilisés par les systèmes bancaires pour protéger vos paiements et contrôler la validité de la carte. [Ce sont en quelque sorte les mots de passe de la carte].Le stockage de ces données est strictement interdit par le PCI DSS. Le marchand stockant ces codes d’une façon volontaire ou non s’expose à de très fortes amendes.
- Minimisez l’environnement de traitement des cartes. En d’autres mots, utilisez un seul serveur identifié pour toutes les opérations sur les cartes et sécurisez-le de façon drastique : patchs de sécurité, mots de passe complexes et surveillance.
- Supprimez tous les accès d’administration externes. La majorité des cas de piratage de données bancaires a été réalisée via une interface d’administration laissée accessible depuis Internet (interface http ou ligne de commande ftp/ssh/…). Interdisez donc tous ces types d’accès depuis Internet : les administrateurs doivent être physiquement dans les locaux ou alors utilisez un jeton d’authentification non-rejouable de type RSA SecurId.
Et pour ceux qui, comme moi, utilisent le module « Paybox Direct Plus » pour mettre en place des paiements récurrents, pensez bien à utiliser le code d’activité ‘027’, qui indique un paiement récurrent et ne nécessite donc pas l’envoi du CVV2, qui ne doit surtout pas être conservé !