bandeau-moyens-paiements.png

Paiement Sécurisé


La sécurité

Notre partenaire de paiement PayPlug a fait de la sécurité de ses transactions en ligne une priorité.

Comment les données sont-elles protégées ?

Lorsque vos clients procèdent à un achat sur votre site via PayPlug, ceux-ci sont dirigés vers une page de paiement PayPlug entièrement sécurisée grâce au protocole HTTPS. Le processus de paiement est donc effectué directement sur le serveur sécurisé PayPlug.

Les données sensibles, telles que le numéro de carte bancaire du client et sa date d’expiration, 
sont entièrement chiffrées et protégées grâce à un protocole TLS afin d’empêcher que les informations échangées puissent être interceptées en clair par un tiers au cours de la transaction.

Les numéros de carte sont chiffrés instantanément et ne sont pas accessibles par les commerçants PayPlug. De plus, PayPlug ne conserve pas les numéros de carte et s’appuie sur une infrastructure sécurisée qui respecte la norme internationale PCI-DSS. Pour en savoir plus sur cette norme, cliquez ici.

Toutes les pages du site web PayPlug, ainsi que les liens de transmission sont sécurisés en TLS et bénéficient d’un certificat de sécurité Thawte Extended Validation.
 

Qu'est-ce que le SSL et le TLS ?


Les acronymes SSL ("Secure Socket Layer") et TLS ("Transport Layer Security") sont des protocoles de sécurité destinés à assurer la confidentialité des informations échangées sur Internet entre des applications et des utilisateurs. Ces technologies permettent donc de transmettre vos informations de carte bancaire de façon entièrement sécurisée.

Le TLS est une nouvelle version plus sûre du SSL. Il est constitué de deux couches : le Protocole TLS Record (enregistrement) et le Protocole TLS Handshake ("poignée de main").

La première couche fournit une connexion sécurisée grâce à des méthodes telles que comme DAE (Data Encryption Standard, ou “standard de chiffrement de données” en français). Elle peut également être utilisée sans chiffrement.
La seconde couche permet au serveur et à l’ordinateur de s’identifier l’un par rapport à l’autre puis de choisir ensemble un algorithme de chiffrement et des clés secrètes avant de commencer à s’envoyer des données ou des messages.

Afin d’assurer la sécurité des paiements par carte lors d’achats sur des sites e-commerce, il est crucial que les solutions de paiement implémentent et maintiennent des normes de sécurité très strictes. En effet, le traitement et la sécurisation des opérations par carte est un sujet très sensible, toute vulnérabilité pouvant être exploitée par des cybercriminels.

La conformité à la norme PCI-DSS permet de lutter contre les vulnérabilités et permet de protéger les données des porteurs de carte.

Depuis 2016, PayPlug est PCI-DSS (actuellement 3.2), cette certification est renouvelée tous les ans. PayPlug est également présent dans le listing publié par Visa Europe chaque année et dont la dernière version est disponible ici.

Le ROC (report of compliance) est également mis à disposition des banques et acquéreurs qui le demandent.
 

Qu'est-ce que la certification PCI-DSS ?

La certification PCI-DSS constitue un ensemble d’exigences concernant des procédures et aspects techniques et opérationnels. Le but de cette norme est de protéger les données de carte bancaire et toute autre information sensible devant être traitée, transmise ou sauvegardée. Nous pouvons notamment citer les institutions financières et leurs besoins en terme d'infrastructure et de logiciels informatiques.

Ces exigences sont établies par le conseil des normes de sécurité PCI dont les parties prenantes sont les membres fondateurs : American Express, Discover, JCB, MasterCard, Visa.
Le conseil a pour objectif, de diffuser, développer et améliorer les normes de sécurité existantes dans le secteur des paiements par carte.

Les procédures et points de contrôle requis par la norme PCI-DSS sont indispensables afin d’assurer la protection des paiements sur les sites e-commerce, notamment le numéro de carte, la date d’expiration, le nom du porteur et le code de sécurité (CVV).


Les thèmes principaux de la norme PCI-DSS sont les suivants :
 

Concevoir et maintenir un réseau et une infrastructure sécurisée.

La mise en place de mesures de sécurité concernant les réseaux permet d’empêcher les cybercriminels de pénétrer l’infrastructure de la solution de paiement et d’accéder à des données sensibles.
 

Mettre en place un programme de gestion des vulnérabilités

La procédure de gestion des vulnérabilités vise à rechercher en permanence des failles de sécurité dans l’infrastructure réseau et serveurs. Cela inclut le matériel, les logiciels, processus et normes mises en place.
 

Implémentation de fortes mesures de contrôle d’accès. 

 

Maintenir une politique d’information sur la sécurité