Lire - ARPT

EMV
Mme Nejla Belouizdad
Directrice Organisation et Sécurité Monétique
TEL: +213 (0) 21 56 25 00.
FAX: +213 (0) 21 56 18 98.
E-mail : [email protected]
46, Rue des fréres Bouadou (Ex Ravin de la femme Sauvage) Bir Mourad Rais , ALGER
PLAN
1. Présentation de Satim
2. Sécurité de la Transaction Monétique Interbancaire
3. La certification appliquée à la transaction de
paiement EMV ( Paiement de proximité sur TPE )
4. Règles de sécurité appliquées au paiement en ligne
par carte
SICE2011
2
PRESENTATION DE SATIM
3
PRESENTATION DE SATIM
La Société d’Automatisation des Transactions Interbancaires et de
Monétique « SATIM » a été créée en 1995 par les Banques
Publiques suivantes : la BNA, la BADR, la BEA, la CNEP, le CPA, la
BDL , AL BARAKA et la CNMA.
Elle est devenue aujourd’hui l’opérateur du secteur financier
spécialisé dans la promotion et dans les prestations de services en
rapport avec la modernisation, la normalisation et les transactions
monétiques interbancaires.
SICE2011
4
ARCHITECTURE DU SYSTEME MONETIQUE INTERBANCAIRE
TPE
Commerçant
SITE WEB
GAB
Agence Bancaire
Centre de Personnalisation
SATIM
19 Membres Adhérents
Acquéreurs
Centre de Pré-compensation
Interbancaire (CPI)
Spécifications Techniques
Normes Interbancaires
Tarification Interbancaire
Règles de Sécurité
SICE2011
Emetteurs
HOST
5
MEMBRES ADHÉRENTS AU SYSTÈME
MONÉTIQUE INTERBANCAIRE
19 membres adhérents :
18 banques
Algérie Poste
SICE2011
6
PRINCIPALES MISSIONS
DE LA SATIM
La SATIM est l’opérateur monétique interbancaire Algérien
Garantie la Sécurité de toute
transaction monétique
Assure la gestion des flux
transactionnels
interbancaires
Dispositifs de
Sécurité
INTERBANCARITE
SECURITE
& CONFIANCE
Cryptographie
Normes & Règles de sécurité
Standards
internationaux
EMV
Met en place et
développe les moyens
de paiement
électronique.
VEILLE
TECHNOLOGIQUE
Assure également une veille pour se
maintenir au niveau des évolutions
technologiques en matière de
monétique.
SICE2011
SERVICES
Intégration, Gestion & Assistance DAB/GAB
& TPE
Personnalisation cartes
Acquisition Transactions/Routage
Traitement des litiges
Gestion des Bases de données porteurs &
7
commerçants
LES OBJECTIFS DES STANDARDS INTERNATIONAUX EMV
 Assurer l’interopérabilité

En standardisant les échanges carte/terminal
EMV
 Lutter contre la fraude

En renforçant la sécurité
Technologie PUCE, Certificats numériques, Clés Cryptographiques (RSA,3DES), …
SICE2011
8
SECURITE DE LA TRANSACTION
MONETIQUE INTERBANCAIRE
EMV
9
SECURITE DE LA TRANSACTION
MONETIQUE INTERBANCAIRE
 Satim est l’opérateur monétique interbancaire
chargé de garantir la sécurité pour toute
transaction monétique.
SICE2011
10
SECURITE DE LA TRANSACTION
MONETIQUE INTERBANCAIRE
Personnalisation
Cartes
Préparation des
données pistes et
puces
Autorisation
Acquisition
Centre de Gestion
des Clés
cryptographiques
PIN 3DES
Transchiffrement
Vérification PIN
Retrait sur piste
magnétique
Paiement sur Puce
EMV
Gestion des clés
DAB/TPE
Code
Confidentiel
(PIN)
Génération &
SICE2011
Impression
11
OBJECTIF DE LA SECURITE DU RESEAU MONETIQUE
INTERBANCAIRE
Personnalisation
Cartes
Acquisition
Centre de Gestion
des Clés
cryptographiques
Autorisation
Objectif Commun
Authentification de
la carte et du
Porteur
Code
Confidentiel
(PIN)
Garantir une transaction
sans risque de fraude
SICE2011
12
PARAMETRES D’AUTHENTIFICATION
Ou sont-ils stockés
Le réseau monétique interbancaire à adopté la technologie de la carte à puce qui s'accompagne de plusieurs
avantages.
Design monolithique rend l’accès aux circuits interne de la puce, la duplication ou la
copie très difficile.
verrouillage ,physique et logique de la puce, irréversible après chaque étape du
processus de fabrication
Carte à
Puce
La puce est dotée de détecteurs d’intrusions: carte devient muette
Sécurité
Utilisation de données sécuritaires depuis sa fabrication jusqu’à sa personnalisation
Fabriquant Carte
(Initialisation)
• N° Série Unique (écriture
irréversible)
• Verrouillées par des clés
secrètes
• Références
émetteur(uniques)
• N° série de la carte
Unique
• Verrouillées par des clés
secrètes/code secret
Fabriquant Puce
SICE2011
• Données porteur
• Clés cryptographiques
Personnalisation
13
PARAMETRES D’AUTHENTIFICATION
Le Réseau Monétique Interbancaire Algérien utilise la méthode d’Authentification SDA
Identifiant de l’application
(AID)
Nom application(CIB)
Langages utilisés
Autres…
Données client Nom
Identification
application
(Spécifiques à
chaque carte)
Données
cryptographiques
N° carte
Date de début de validité
Date Exp
Code service
Piste ISO 2
Autres…
Données
système de
l’application
Données de
gestion de risque
Nombre de transactions
autorisées en Off-line
Montant MAX cumulé des
TRX approuvées en off-line
Autres…
SICE2011
Règles d’utilisation de la carte
Méthode d’authentification
Code pays de l’émetteur (Banque)
Code devise
Autres…
14
PARAMETRES D’AUTHENTIFICATION
EMV
Standards Internationaux EMV
Code Confidentiel (PIN)
1234
3 Clés Triple DES
Données
cryptographiques
3DES
1 Paire de clés RSA Emetteur
(Public/Privée)
Signature numérique
SICE2011
Certificat Numérique
15
LA CERTIFICATION ELECRONIQUE
APPLIQUEE A LA MONETIQUE
EMV
16
CERTIFICAT ÉLECTRONIQUE
 Document numérique attestant de la propriété d’une clé publique par une
Entité : identification
 Format : Réseau Internationaux adapté à la carte domestique
 Comprend:
 Clé publique
 Exposant
 Longueur du modulo de la clé publique
 Nom de l’émetteur: Etablissement financier
 BIN ISO émetteur (délivré par APACS)
 AID (Application Identification Number)
 Date d’expiration de la clé
 Numéro de série
SICE2011
17
SIGNATURE ÉLECTRONIQUE
 Intégrité, non répudiation et authentification
 Empreinte
Donnée
hachage
h(d)
d
Codage
Clé privée
Signature
S
d+S
S
Décodage
Clé publique
h(d) =
h(d)
SICE2011
hachage
d
18
Organisme commun pour garantir la confidentialité,
l'authentification, l'intégrité
et la non-répudiation.
Infrastructure à Clés Publiques (ICP) ou PKI (Public Key
Infrastructure) :utilise des mécanismes de signature et certifie des clés
publiques qui permettent de chiffrer et de signer des messages ainsi que des
données.
Dans le domaine de la certification électronique appliquée à la monétique,
SATIM assure le rôle de tiers de confiance dans le processus de traitement
d’une transaction de paiement par carte.
SICE2011
19
EMV
OBJECTIFS DE L’INFRASTRUCTURE PKI
Sécuriser les transactions financières entre les membres du système de paiement
SATIM
(Tiers de Confiance)
Emetteur
Acquéreur
Garantie que les parties sont Authentifiées
SICE2011
20
EMV
OBJECTIFS DE L’INFRASTRUCTURE PKI
Sécuriser les transactions financières entre les membres du système de paiement
SATIM
(Tiers de Confiance)
Emetteur
La confidentialité : chiffrer les données transmises
L’intégrité
Acquéreur
: être assuré que les données transmises ne sont pas altérées
La non répudiation : avoir la preuve que le message a bien été reçu par les deux
parties
SICE2011
21
LA CERTIFICATION APPLIQUEE POUR LE
PAIEMENT SUR TPE ( PROXIMITE )
EMV
22
PROCESSUS DE CERTIFICATION
Etape 1 : Certification de la clé publique de l’émetteur (SDA)
SATIM
Emetteur
1
Tiers de Confiance
Acquéreur
Si, Pi générées par Satim pour les émetteurs
Clé Privée Si
(Emetteur)
Clé Publique
Pi (Emetteur)
Clé Privée
Ss (Satim)
2
Pi Certifiée
avec Ss
Clé Publique
Ps (Satim)
Satim certifie Pi
Et génère un certificat de Pi avec Ss
Terminal
• La clé publique de l’émetteur Pi est certifiée par Satim
qui agit en tiers de confiance.
SICE2011
23
PROCESSUS DE CERTIFICATION
Etape 2 : Distribution des clés & Personnalisation
SATIM
Emetteur
Clé Privée Si
(Emetteur)
Utilisée pour la
création de la
signature numérique
de la carte
Clé Publique
Pi (Emetteur)
1
Clé Privée
Ss (Satim)
Satim (émetteur) génère la SDA
basée sur le N° carte & autres
données
Clé Publique
Ps (Satim)
1’
Pi Certifiée
avec Ss
2
Acquéreur
Tiers de Confiance
Satim (émetteur) charge dans
la carte : SDA, Pi certifiée,
données
La clé Publique de Satim est
chargée dans tous les TPE
Terminal
• La signature est unique par carte (SDA)
• Pi est unique par émetteur
• Ps est la même pour tous les TPE
SICE2011
24
PROCESSUS D’AUTHENTIFICATION
Etape 3: Authentification
Récupération de la clé publique de l’émetteur
Clé Publique
émetteur certifiée
1
Clé
Publique
Satim
Signée avec la clé privée de Satim
2
Avec la clé publique de Satim, le
TPE vérifie la valeur de :
La clé publique de l’émetteur
Le TPE vérifie l’authenticité de l’émetteur
SICE2011
25
PROCESSUS D’AUTHENTIFICATION
Etape 3: Authentification
Vérification de la signature de données sensibles
1
2
3
Données sensibles
Clé
Publique
Satim
Signature des données sensibles (condensé des
données sensibles signé avec la clé privée de
l’émetteur )
Avec la clé publique de Satim, le condensé des
données sensibles est retrouvé
5
4
Le TPE recalcule le condensé
Le TPE compare le condensé recalculé avec
celui retrouvé au point (3)
Le TPE vérifie que les données sensibles sont intègres
SICE2011
26
RÈGLES DE SÉCURITÉ APPLIQUÉES
AU PAIEMENT EN LIGNE PAR CARTE
27
PAIEMENT EN LIGNE
Le paiement en ligne par carte bancaire est le mode de
paiement le plus utilisé par les internautes et ne cesse de
s’accroitre grâce à la confiance établie qui se renforce avec la
régularité des paiements.
La confiance dans la sécurité des transactions en ligne est l’un
des leviers majeurs du développement du paiement sur
Internet
SICE2011
28
SECURITE DU PAIEMENT EN LIGNE
Les nouvelles normes de sécurité mises en place, par les organismes
internationaux, pour contrer le risque de fraude, reposent sur des
règles de sécurité auxquelles tous les intervenant dans la transaction
de paiement en ligne doivent respecter.
Parmi ces règles nous citerons :
Utilisation de la norme PCI-DSS (Payment Card Industry Data
Security Standard) pour la protection des données cartes (
protection du Réseaux, cryptage des Bases de données, gestion
des mots de passe, règles d’archivage, protection contre les
VIRUS, …)
Sécurisation des échanges par des certificats SSL
Utilisation du Protocol 3D-Secure
SICE2011
29
SECURITE DU PAIEMENT EN LIGNE
3D-Secure est un protocole qui définit les relations entre les
parties impliquées dans la transaction de paiement en ligne :
 Le Domaine Emetteur : responsable de l’activation du porteur
et de son authentification .
 Le Domaine Interbancaire : facilite les échanges entre les deux
autres domaines avec un protocole commun et des services
partagés.
 Le domaine acquéreur : responsable de l’intégration de
l’entreprise par la signature d’une convention.
SICE2011
30
3D-SECURE ou NON ?
3D-SECURE
NON 3D-SECURE
• Authentification: Utilisation
d’un "secret ou donnée sensible"
partagé entre le porteur et sa
banque au moment de la
transaction.
• Engage la responsabilité du
porteur
• L’entreprise est assurée d’être
payée puisqu’un principe de
non répudiation des transactions
a été mis en place.
• L’entreprise qui supporte la
fraude
• Le client est remboursé en cas de
répudiation de la transaction.
• Les données de la carte peuvent
être interceptées par un tiers.
SICE2011
31
CINEMATIQUE DE LA TRANSACTION de Paiement en ligne
3D-SECURE
Site WEB
Entreprise
1 Achat et paiement par Internet
4
Rediriger le client vers la
plateforme de paiement en ligne
Internet
2
5
6
PLATEFORME
PAIEMENT EN LIGNE
8 Affiche la réponse du serveur d’autorisation
Rediriger le client vers l’URL Entreprise
SICE2011
7
Notification Entreprise
avec un ID paiement
Demande
d ’autorisation
Centre
Interbancaire
Autorisation/Switch
32
Mme Nejla Belouizdad
Directrice Organisation et Sécurité Monétique
TEL: +213 (0) 21 56 25 00.
FAX: +213 (0) 21 56 18 98.
E-mail : [email protected]
46, Rue des fréres Bouadou (Ex Ravin de la femme Sauvage) Bir Mourad Rais , ALGER