{"id":303,"date":"2011-06-13T18:44:28","date_gmt":"2011-06-13T16:44:28","guid":{"rendered":"http:\/\/blog.pushitup.com\/?p=303"},"modified":"2011-06-13T18:44:28","modified_gmt":"2011-06-13T16:44:28","slug":"enregistrement-du-numero-de-carte-bancaire-pour-des-paiements-recurrents","status":"publish","type":"post","link":"https:\/\/blog.pushitup.com\/index.php\/2011\/06\/13\/enregistrement-du-numero-de-carte-bancaire-pour-des-paiements-recurrents\/","title":{"rendered":"Enregistrement du num\u00c3\u00a9ro de carte bancaire pour des paiements r\u00c3\u00a9currents"},"content":{"rendered":"<p>J&rsquo;ai longtemps cherch\u00c3\u00a9 des informations fiables sur ce qu&rsquo;on avait le droit de faire, et surtout de ne pas faire, concernant l&rsquo;enregistrement d&rsquo;un num\u00c3\u00a9ro de carte bancaire sur un site de ecommerce.<\/p>\n<p>A priori, la r\u00c3\u00a9f\u00c3\u00a9rence \u00c3\u00a0 suivre est la norme PCI DSS, et j&rsquo;ai trouv\u00c3\u00a9 <a href=\"http:\/\/www.xmco.fr\/article-paiement-bancaire-securises.html\" target=\"_blank\">ici <\/a>un r\u00c3\u00a9sum\u00c3\u00a9 des meilleures pratiques \u00c3\u00a0 suivre :<\/p>\n<ul>\n<li><strong>Traitez les transactions imm\u00c3\u00a9diatement<\/strong> sur le site ou externalisez cette t\u00c3\u00a2che aupr\u00c3\u00a8s de votre banque ou d&rsquo;un PSP (Payment Service Provider).<\/li>\n<li><strong>Ne stockez pas les num\u00c3\u00a9ros de carte de cr\u00c3\u00a9dit<\/strong>. Si ces num\u00c3\u00a9ros doivent \u00c3\u00aatre stock\u00c3\u00a9s, vous devez absolument suivre \u00c3\u00a0 la lettre les recommandations du PCI DSS en les chiffrant fortement (AES-256, RSA-2048&#8230;). Nous recommandons fortement de ne pas stocker les num\u00c3\u00a9ros sur les cartes de cr\u00c3\u00a9dit. Le marchand est cependant autoris\u00c3\u00a9 \u00c3\u00a0 conserver un hash du num\u00c3\u00a9ro de carte (de pr\u00c3\u00a9f\u00c3\u00a9rence SHA-256), cela lui permet de pouvoir confronter a posteriori un num\u00c3\u00a9ro de carte. Le marchand peut \u00c3\u00a9galement conserver les 6 premiers et les 4 derniers chiffres du num\u00c3\u00a9ro de carte.<\/li>\n<li><strong>Ne stockez jamais les cryptogrammes visuels CVV2<\/strong>. Ces codes constituent des champs de validation utilis\u00c3\u00a9s par les syst\u00c3\u00a8mes bancaires pour prot\u00c3\u00a9ger vos paiements et contr\u00c3\u00b4ler la validit\u00c3\u00a9 de la carte. [Ce sont en quelque sorte les mots de passe de la carte].<strong>Le stockage de ces donn\u00c3\u00a9es est strictement interdit<\/strong> par le PCI DSS. Le marchand stockant ces codes d&rsquo;une fa\u00c3\u00a7on volontaire ou non s&rsquo;expose \u00c3\u00a0 de tr\u00c3\u00a8s fortes amendes.<\/li>\n<li><strong>Minimisez l&rsquo;environnement de traitement des cartes<\/strong>. En d&rsquo;autres mots, utilisez un seul serveur identifi\u00c3\u00a9 pour toutes les op\u00c3\u00a9rations sur les cartes et s\u00c3\u00a9curisez-le de fa\u00c3\u00a7on drastique : patchs de s\u00c3\u00a9curit\u00c3\u00a9, mots de passe complexes et surveillance.<\/li>\n<li><strong>Supprimez tous les acc\u00c3\u00a8s d&rsquo;administration externes<\/strong>. La majorit\u00c3\u00a9 des cas de piratage de donn\u00c3\u00a9es bancaires a \u00c3\u00a9t\u00c3\u00a9 r\u00c3\u00a9alis\u00c3\u00a9e via une interface d&rsquo;administration laiss\u00c3\u00a9e accessible depuis Internet (interface http ou ligne de commande ftp\/ssh\/&#8230;). Interdisez donc tous ces types d&rsquo;acc\u00c3\u00a8s depuis Internet : les administrateurs doivent \u00c3\u00aatre physiquement dans les locaux ou alors utilisez un jeton d&rsquo;authentification non-rejouable de type RSA SecurId.<\/li>\n<\/ul>\n<p>Et pour ceux qui, comme moi, utilisent le module \u00ab\u00a0<a href=\"http:\/\/www.paybox.com\" target=\"_blank\">Paybox Direct Plus<\/a>\u00a0\u00bb pour mettre en place des paiements r\u00c3\u00a9currents, pensez bien \u00c3\u00a0 utiliser le code d&rsquo;activit\u00c3\u00a9 &lsquo;027&rsquo;, qui indique un paiement r\u00c3\u00a9current et ne n\u00c3\u00a9cessite donc pas l&rsquo;envoi du CVV2, qui ne doit surtout pas \u00c3\u00aatre conserv\u00c3\u00a9 !<\/p>\n","protected":false},"excerpt":{"rendered":"<p>J&rsquo;ai longtemps cherch\u00c3\u00a9 des informations fiables sur ce qu&rsquo;on avait le droit de faire, et surtout de ne pas faire, concernant l&rsquo;enregistrement d&rsquo;un num\u00c3\u00a9ro de carte bancaire sur un site de ecommerce. A priori, la r\u00c3\u00a9f\u00c3\u00a9rence \u00c3\u00a0 suivre est la norme PCI DSS, et j&rsquo;ai trouv\u00c3\u00a9 ici un r\u00c3\u00a9sum\u00c3\u00a9 des meilleures pratiques \u00c3\u00a0 suivre :&hellip; <a class=\"more-link\" href=\"https:\/\/blog.pushitup.com\/index.php\/2011\/06\/13\/enregistrement-du-numero-de-carte-bancaire-pour-des-paiements-recurrents\/\">Poursuivre la lecture <span class=\"screen-reader-text\">Enregistrement du num\u00c3\u00a9ro de carte bancaire pour des paiements r\u00c3\u00a9currents<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[9],"tags":[],"class_list":["post-303","post","type-post","status-publish","format-standard","hentry","category-developpement-web","entry"],"_links":{"self":[{"href":"https:\/\/blog.pushitup.com\/index.php\/wp-json\/wp\/v2\/posts\/303","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.pushitup.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.pushitup.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.pushitup.com\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.pushitup.com\/index.php\/wp-json\/wp\/v2\/comments?post=303"}],"version-history":[{"count":0,"href":"https:\/\/blog.pushitup.com\/index.php\/wp-json\/wp\/v2\/posts\/303\/revisions"}],"wp:attachment":[{"href":"https:\/\/blog.pushitup.com\/index.php\/wp-json\/wp\/v2\/media?parent=303"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.pushitup.com\/index.php\/wp-json\/wp\/v2\/categories?post=303"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.pushitup.com\/index.php\/wp-json\/wp\/v2\/tags?post=303"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}