Mme Nejla BelouizdadDirectrice Organisation et Sécurité Monétique
TEL: +213 (0) 21 56 25 00.FAX: +213 (0) 21 56 18 98.
E-mail : [email protected], Rue des fréres Bouadou (Ex Ravin de la femme Sauvage) Bir Mourad Rais , ALGER
EMV
PLAN1. Présentation de Satim
2. Sécurité de la Transaction Monétique Interbancaire
3. La certification appliquée à la transaction de paiement EMV ( Paiement de proximité sur TPE )
4. Règles de sécurité appliquées au paiement en ligne par carte
2SICE2011
PRESENTATION DE SATIM
3
La Société d’Automatisation des Transactions Interbancaires et de
Monétique « SATIM » a été créée en 1995 par les Banques
Publiques suivantes : la BNA, la BADR, la BEA, la CNEP, le CPA, la
BDL , AL BARAKA et la CNMA.
Elle est devenue aujourd’hui l’opérateur du secteur financier
spécialisé dans la promotion et dans les prestations de services en
rapport avec la modernisation, la normalisation et les transactions
.monétiques interbancaires
PRESENTATION DE SATIM
4SICE2011
ARCHITECTURE DU SYSTEME MONETIQUE INTERBANCAIRE
Centre de Pré-compensation Interbancaire (CPI) Emetteurs
SATIM
Acquéreurs
Spécifications Techniques
Normes Interbancaires
Tarification Interbancaire
Règles de Sécurité
GABAgence Bancaire
Centre de Personnalisation
TPECommerçant
19 Membres Adhérents
SITE WEB
5
HOST
SICE2011
MEMBRES ADHÉRENTS AU SYSTÈME
MONÉTIQUE INTERBANCAIRE
19 membres adhérents :18 banques
Algérie Poste
6SICE2011
PRINCIPALES MISSIONS DE LA SATIM
Assure la gestion des flux transactionnels interbancaires
Met en place et développe les moyens de paiement électronique.
La SATIM est l’opérateur monétique interbancaire Algérien
Assure également une veille pour se maintenir au niveau des évolutions technologiques en matière de monétique.
Garantie la Sécurité de toute transaction monétique
Dispositifs de Sécurité
INTERBANCARITESECURITE
& CONFIANCE
VEILLE
TECHNOLOGIQUESERVICES
Intégration, Gestion & Assistance DAB/GAB & TPEPersonnalisation cartesAcquisition Transactions/RoutageTraitement des litigesGestion des Bases de données porteurs & commerçants
Standards internationaux
EMV
7
Cryptographie
SICE2011
Normes & Règles de sécurité
LES OBJECTIFS DES STANDARDS INTERNATIONAUX EMV
Assurer l’interopérabilité En standardisant les échanges carte/terminal
Lutter contre la fraude
En renforçant la sécuritéTechnologie PUCE, Certificats numériques, Clés Cryptographiques (RSA,3DES), …
EMV
8SICE2011
9
SECURITE DE LA TRANSACTION MONETIQUE INTERBANCAIRE
EMV
Satim est l’opérateur monétique interbancairechargé de garantir la sécurité pour toutetransaction monétique.
10
SECURITE DE LA TRANSACTION MONETIQUE INTERBANCAIRE
SICE2011
11
Centre de Gestion des Clés
cryptographiques
Personnalisation
Cartes
Préparation des données pistes et
puces
Autorisation
Vérification PIN
Retrait sur piste magnétique
Paiement sur Puce EMV
Code Confidentiel
(PIN)
Génération &
Impression
Acquisition
PIN 3DES
Transchiffrement
Gestion des clés DAB/TPE
SECURITE DE LA TRANSACTION MONETIQUE INTERBANCAIRE
SICE2011
12
OBJECTIF DE LA SECURITE DU RESEAU MONETIQUE INTERBANCAIRE
Centre de Gestion des Clés
cryptographiques
Personnalisation
Cartes
Autorisation
Code Confidentiel
(PIN)
Acquisition Objectif CommunAuthentification de
la carte et du Porteur
Garantir une transaction sans risque de fraude
SICE2011
13
PARAMETRES D’AUTHENTIFICATION
Ou sont-ils stockés
Carte à Puce
Séc
uri
téDesign monolithique rend l’accès aux circuits interne de la puce, la duplication ou la copie très difficile.
verrouillage ,physique et logique de la puce, irréversible après chaque étape du processus de fabrication
La puce est dotée de détecteurs d’intrusions: carte devient muette
Utilisation de données sécuritaires depuis sa fabrication jusqu’à sa personnalisation
• N° Série Unique (écriture irréversible)
• Verrouillées par des clés secrètes
Fabriquant Puce
• Références émetteur(uniques)
• N° série de la carte Unique
• Verrouillées par des clés secrètes/code secret
Fabriquant Carte
(Initialisation) • Données porteur
• Clés cryptographiques
Personnalisation
Le réseau monétique interbancaire à adopté la technologie de la carte à puce qui s'accompagne de plusieurs
avantages.
SICE2011
14
Données client
(Spécifiques à
chaque carte)
Identification application
Données de gestion de risque
Données système de
l’application
Données cryptographiques
Nom
N° carte
Date de début de validité
Date Exp
Code service
Piste ISO 2
Autres…
Règles d’utilisation de la carte
Méthode d’authentification
Code pays de l’émetteur (Banque)
Code devise
Autres…
Nombre de transactions autorisées en Off-line
Montant MAX cumulé des TRX approuvées en off-line
Autres…
Identifiant de l’application (AID)
Nom application(CIB)
Langages utilisés
Autres…
PARAMETRES D’AUTHENTIFICATION
Le Réseau Monétique Interbancaire Algérien utilise la méthode d’Authentification SDA
SICE2011
15
Données cryptographiques
EMV Standards Internationaux EMV
1234Code Confidentiel (PIN)
3 D E S
3 Clés Triple DES
PARAMETRES D’AUTHENTIFICATION
Signature numérique Certificat Numérique
1 Paire de clés RSA Emetteur
(Public/Privée)
SICE2011
LA CERTIFICATION ELECRONIQUE
APPLIQUEE A LA MONETIQUE
EMV
16
CERTIFICAT ÉLECTRONIQUE
Document numérique attestant de la propriété d’une clé publique par une
Entité : identification
Format : Réseau Internationaux adapté à la carte domestique
Comprend: Clé publique
Exposant
Longueur du modulo de la clé publique
Nom de l’émetteur: Etablissement financier
BIN ISO émetteur (délivré par APACS)
AID (Application Identification Number)
Date d’expiration de la clé
Numéro de série
17SICE2011
SIGNATURE ÉLECTRONIQUE
Intégrité, non répudiation et authentification
Empreinte
d + S
hachageh(d)
CodageClé privée
Signature S
S DécodageClé publique
h(d)hachage
dh(d)=
Donnée
d
18SICE2011
19
Organisme commun pour garantir la confidentialité,
l'authentification, l'intégrité
et la non-répudiation.
Infrastructure à Clés Publiques (ICP) ou PKI (Public Key
des clés certifie et signature utilise des mécanismes de Infrastructure) :
publiques qui permettent de chiffrer et de signer des messages ainsi que des
données.
Dans le domaine de la certification électronique appliquée à la monétique,
SATIM assure le rôle de tiers de confiance dans le processus de traitement
d’une transaction de paiement par carte.
SICE2011
20
EMV OBJECTIFS DE L’INFRASTRUCTURE PKI
Sécuriser les transactions financières entre les membres du système de paiement
Garantie que les parties sont Authentifiées
AcquéreurEmetteur
SATIM (Tiers de Confiance)
SICE2011
21
EMV OBJECTIFS DE L’INFRASTRUCTURE PKI
Sécuriser les transactions financières entre les membres du système de paiement
AcquéreurEmetteur
SATIM (Tiers de Confiance)
La confidentialité : chiffrer les données transmises
L’intégrité : être assuré que les données transmises ne sont pas altérées
La non répudiation : avoir la preuve que le message a bien été reçu par les deux
partiesSICE2011
LA CERTIFICATION APPLIQUEE POUR LE
PAIEMENT SUR TPE ( PROXIMITE )
EMV
22
Etape 1 : Certification de la clé publique de l’émetteur (SDA)
SATIMTiers de Confiance
Clé Privée
Ss (Satim)
Clé Publique
Ps (Satim)
Emetteur
Clé Privée Si
(Emetteur)
Clé Publique
Pi (Emetteur)
• La clé publique de l’émetteur Pi est certifiée par Satim
qui agit en tiers de confiance.
Terminal
Acquéreur
Si, Pi générées par Satim pour les émetteurs 1
Pi Certifiée
avec Ss
Satim certifie PiEt génère un certificat de Pi avec Ss
2
PROCESSUS DE CERTIFICATION
23SICE2011
Etape 2 : Distribution des clés & Personnalisation
Emetteur
Clé Privée Si
(Emetteur)
Clé Publique
Pi (Emetteur)
Pi Certifiée
avec Ss
SATIMTiers de Confiance
Clé Privée
Ss (Satim)
Clé Publique
Ps (Satim)
Terminal
Acquéreur
La clé Publique de Satim est
chargée dans tous les TPE1’
Satim (émetteur) charge dans
la carte : SDA, Pi certifiée,
données
2
Utilisée pour la
création de la
signature numérique
de la carte
Satim (émetteur) génère la SDA basée sur le N° carte & autres données
1
24
PROCESSUS DE CERTIFICATION
• La signature est unique par carte (SDA)
• Pi est unique par émetteur
• Ps est la même pour tous les TPE
SICE2011
Le TPE vérifie l’authenticité de l’émetteur
Récupération de la clé publique de l’émetteur
Clé Publique
émetteur certifiée
Signée avec la clé privée de Satim1
Avec la clé publique de Satim, le
TPE vérifie la valeur de :
La clé publique de l’émetteur
2
Clé
Publique
Satim
PROCESSUS D’AUTHENTIFICATION
25
Etape 3: Authentification
SICE2011
Le TPE vérifie que les données sensibles sont intègres
Vérification de la signature de données sensibles
Données sensibles1
Signature des données sensibles (condensé des
données sensibles signé avec la clé privée de
l’émetteur )
2
Le TPE compare le condensé recalculé avec celui retrouvé au point (3)
5
PROCESSUS D’AUTHENTIFICATION
26
3 Avec la clé publique de Satim, le condensé des données sensibles est retrouvé
4 Le TPE recalcule le condensé
Etape 3: Authentification
Clé
Publique
Satim
SICE2011
RÈGLES DE SÉCURITÉ APPLIQUÉES
AU PAIEMENT EN LIGNE PAR CARTE
27
Le paiement en ligne par carte bancaire est le mode depaiement le plus utilisé par les internautes et ne cesse des’accroitre grâce à la confiance établie qui se renforce avec larégularité des paiements.
La confiance dans la sécurité des transactions en ligne est l’un des leviers majeurs du développement du paiement sur Internet
PAIEMENT EN LIGNE
SICE2011 28
Les nouvelles normes de sécurité mises en place, par les organismes internationaux, pour contrer le risque de fraude, reposent sur des règles de sécurité auxquelles tous les intervenant dans la transaction de paiement en ligne doivent respecter.
Parmi ces règles nous citerons :
Utilisation de la norme PCI-DSS (Payment Card Industry Data
Security Standard) pour la protection des données cartes ( protection du Réseaux, cryptage des Bases de données, gestion des mots de passe, règles d’archivage, protection contre les VIRUS, …)Sécurisation des échanges par des certificats SSL
Utilisation du Protocol 3D-Secure
SECURITE DU PAIEMENT EN LIGNE
SICE2011 29
3D-Secure est un protocole qui définit les relations entre les parties impliquées dans la transaction de paiement en ligne :
Le Domaine Emetteur : responsable de l’activation du porteur et de son authentification .
Le Domaine Interbancaire : facilite les échanges entre les deux autres domaines avec un protocole commun et des services partagés.
Le domaine acquéreur : responsable de l’intégration de l’entreprise par la signature d’une convention.
SECURITE DU PAIEMENT EN LIGNE
SICE2011 30
3D-SECURE ou NON ?
3D-SECURE• Authentification: Utilisation
d’un "secret ou donnée sensible" partagé entre le porteur et sa banque au moment de la transaction.
• Engage la responsabilité du porteur
• L’entreprise est assurée d’être payée puisqu’un principe de non répudiation des transactions a été mis en place.
NON 3D-SECURE• L’entreprise qui supporte la
fraude
• Le client est remboursé en cas de répudiation de la transaction.
• Les données de la carte peuvent être interceptées par un tiers.
SICE2011 31
CINEMATIQUE DE LA TRANSACTION de Paiement en ligne 3D-SECURE
Achat et paiement par Internet 1
2
Notification Entreprise avec un ID paiement
Affiche la réponse du serveur d’autorisation Rediriger le client vers l’URL Entreprise
8
6
Rediriger le client vers la plateforme de paiement en ligne
4
Centre Interbancaire
Autorisation/Switch
Demande
d ’autorisation7
Internet
SICE2011 32
Site WEB
Entreprise
5
PLATEFORMEPAIEMENT EN LIGNE
Mme Nejla BelouizdadDirectrice Organisation et Sécurité Monétique
TEL: +213 (0) 21 56 25 00.FAX: +213 (0) 21 56 18 98.
E-mail : [email protected], Rue des fréres Bouadou (Ex Ravin de la femme Sauvage) Bir Mourad Rais , ALGER
Top Related