Les nouvelles normes d'autentification pour vos paiements par carte bancaire...
Nous recevons de nombreuses questions concernant l'autentification "forte" demandée par notre site internet lors d'un paiement par carte bancaire.
Ces nouvelles normes et "contraintes" permettent de protéger vos transactions bancaires par internet.
Contactez votre banque pour plus d'informations sur ces nouvelles normes de sécurité mais notez toujours que sur le site Pierro-Astro' nous ne stockons aucune information bancaire, tous les renseignements sont directement transmis à la banque et avec tous les moyens modernes de sécurisation et cryptage !
Pour plus d'informations concernant les nouvelles directives européennes de protection des transactions bancaires : Cliquez-ici !
Le renforcement de la sécurité des paiements en ligne (BDF)
Qu’est-ce que l’authentification forte et à quoi sert-elle ?
L’authentification forte implique la confirmation d’au moins deux facteurs d’authentification de catégories différentes parmi les trois catégories suivantes : i) la possession (une clé, un téléphone portable, etc.) ; ii) la connaissance (un mot de passe) et iii) l’inhérence (une empreinte digitale). Dans une grande majorité des cas, l’authentification forte implique l’ouverture de l’application mobile de banque en ligne de l’utilisateur et la saisie d’un mot de passe (ou le contrôle de l’empreinte digitale) sur un téléphone préalablement enregistré par l’établissement teneur de compte. Cette méthode remplace l’envoi d’un SMS sur le téléphone portable, qui ne remplit qu’un seul des deux critères s’il n’est pas associé à la confirmation d’un mot de passe.
L’authentification forte permet de renforcer significativement la sécurité pour la connexion à votre espace de banque en ligne et pour l’émission de paiements. Un utilisateur malveillant ne pourrait accéder à l’espace d’un autre utilisateur avec le seul mot de passe. Lors d’un paiement par carte sur Internet, la saisie des informations de la carte de paiement n’est pas suffisante pour effectuer la transaction. L’authentification forte prévue par la DSP2 est plus sécurisée que le seul SMS car il n’est pas impossible d’intercepter les SMS de confirmation de paiement envoyés par les établissements teneurs de comptes (technique du SIM Swapping).
Un établissement bancaire est-il tenu de proposer plusieurs dispositifs d’authentification forte ?
La réglementation n’impose pas aux établissements de proposer plusieurs dispositifs d’authentification forte. Toutefois, les établissements de la Place française se sont engagés, dans le cadre de l’Observatoire de la sécurité des moyens de paiement (OSMP), à proposer plusieurs dispositifs, en particulier pour les publics ne disposant pas de smartphones et ne pouvant donc installer les solutions mobiles des banques françaises permettant une authentification forte. Les solutions alternatives qui pourraient être proposées sont les suivantes :
- le maintien du code envoyé par SMS ou par serveur vocal associé à un code personnel. Dans ce cas de figure, le consommateur valide la transaction sur Internet en saisissant dans deux champs distincts : i) le code reçu par SMS ou par serveur vocal interactif et ii) un code personnel statique qui lui a été communiqué par sa banque (par exemple, le code d’accès à sa banque en ligne). La cinématique de paiement est donc globalement inchangée, moyennant l’ajout d’un champ de saisie supplémentaire sur la page de validation, ce qui constitue une solution de continuité.
- l’utilisation d’un dispositif physique mis à disposition par la banque, en particulier pour la clientèle « sédentaire » qui effectue ses achats en ligne systématiquement depuis son domicile. Dans ce cas de figure, la banque a équipé le consommateur d’un dispositif lui permettant de s’authentifier de manière sécurisée, et qui peut prendre différentes formes : générateur de codes doté d’un clavier de saisie, clef USB, lecteur de QR code, etc. Dans ce cas, la banque doit veiller à apporter à son client tout le support et l’assistance nécessaires à la bonne prise en main de ce dispositif.