Que dois je faire des numéros de Carte Bleue ?

carte de crédit

Que faire des numéros de carte bleue ? C’est la question que doit se poser tout e-commerçant.

Daniel a déjà publié un long billet sur ce sujet. La solution la plus simple reste de déporter ce problème sur le site d’un prestataire de paiement. Par contre si on choisit de traiter soi même ces numéros il faut s’assurer de la sécurité au travers d’audits réguliers obligatoires.

Mes derniers déboires m’ont mis le nez sur des problèmes que je ne soupçonnais même pas.

L’article de 01Net affirme

Une attitude un peu légère quand on sait que les responsables de la société risquent une peine de 5 ans d’emprisonnement et 300 000 euros d’amende pour ne pas avoir pris toutes les précautions afin de protéger les données de leurs clients. C’est le tarif prévu par l’article 34 de la Loi informatique et libertés.

Vu que le texte de loi est illisible (pour moi en tout cas), je ferais confiance à 01NET

Je suis aussi tombé sur un texte de la CNIL : Délibération n° 03-034 du 19 juin 2003 portant adoption d’une recommandation relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance

La présente recommandation a pour objet, (…), de préciser les garanties minimales à respecter lors de la mise en œuvre, par les professionnels, de traitements afférents au numéro de carte bancaire.

  • La collecte et la conservation du numéro de carte bancaire dans un traitement automatisé d’informations nominatives doit s’effectuer (…) dans le respect de finalités déterminées et légitimes ;
  • Le traitement automatisé du numéro de carte bancaire doit faire l’objet d’une déclaration à la CNIL décrivant avec précision la finalité poursuivie, dans les conditions prévues à l’article 16 de la loi du 6 janvier 1978. Le manquement à cette obligation est constitutif d’une infraction pénale (article 226-17 du Code pénal) ;
  • La finalité première de l’utilisation d’un numéro de carte bancaire est la réalisation d’une transaction, qu’elle soit ponctuelle ou à exécutions successives, c’est à dire le complet paiement d’un prix en contrepartie de la délivrance d’un bien ou la prestation d’un service.

Sur la sécurité des traitements

La Commission observe que les pratiques liées à la collecte du numéro de carte bancaire entraînent la multiplication de bases de données pouvant faire l’objet d’une réutilisation frauduleuse, en particulier lorsque ces bases de données sont accessibles sur internet.

La Commission considère en conséquence que les responsables de traitements devraient prendre les mesures organisationnelles et techniques appropriées afin de préserver la sécurité, l’intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation, détournement, communication ou modification non autorisés.

(…) elle recommande que :

  • les responsables de traitements utilisent uniquement des systèmes de paiement en ligne sécurisés conformes à l’état de l’art et à la réglementation applicable ;
  • les responsables de traitements ne mémorisent pas les informations relatives au cryptogramme visuel (CVV2) de la carte bancaire de leurs clients ;
  • s’agissant des mesures organisationnelles propres aux responsables de traitement, ces derniers adoptent une politique de gestion stricte des habilitations de leur personnel ne donnant accès au numéro de carte bancaire des clients que lorsque cela est rigoureusement nécessaire et aux seules personnes exerçant des fonctions liées à la finalité déclarée. Les responsables devraient s’assurer que les numéros de cartes bancaires apparaissent toujours de façon tronquée sur l’écran des salariés habilités (…)
  • dès lors que le numéro de carte bancaire est enregistré dans une base de donnée, les commerçants aient recours à des procédés techniques permettant de crypter de manière irréversible le numéro de la carte bancaire dès que la transaction a été réalisée ; (…)

  Sur la durée de conservation

  • la conservation du numéro de carte bancaire dans un traitement automatisé d’informations nominatives doit s’effectuer (…) pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles l’information est exigée. Cette durée doit faire l’objet d’une déclaration à la Commission. Le fait de conserver cette information au delà de la durée prévue dans la déclaration est constitutif d’une infraction pénale (article 226-20 du Code pénal) ;
  • toute conservation du numéro de carte bancaire d’un client suppose que des mises à jour régulières soient effectuées afin de supprimer les numéros de cartes bancaires périmés.

La Commission estime en conséquence que les responsables de traitements devraient promouvoir, pour le commerce électronique, l’utilisation de moyens de paiement électronique sécurisés alternatifs garantissant l’anonymat des paiements réalisés par leurs clients.

Allez, je résume :

  • On doit se déclarer à la CNIL,
  • On doit avoir une sécurité dans l’état de l’art,
  • On ne conserve pas le cryptogramme,
  • On empêche l’affichage du numéro complet aux salariés de l’entreprise,
  • On crypte de manière irréversible le numéro lorsqu’il a été utilisé,
  • On ne conserve pas les numéros quand l’achat est terminé ou quand la date d’expiration est passée,
  • On garantit l’anonymat des paiements.

Il faut quand même garder à l’esprit que c’est une recommandation avec des rappels à la loi. Ce n’est pas une loi…

Source de l’illustration

7 Replies to “Que dois je faire des numéros de Carte Bleue ?”

  1. @ aranud

    t’as oublié de dire je crois que la CNIL interdit strictement la conservation du cryptogramme.

    Elle entend par numero de cb les 16 chriffres et la date d’expir uniquement.
    par contre les 16 chiffres ne doivent pas apparaitre clairement en totalité , mais parteiellement ( les premiers)

    Ces numeros servent de preuves de commandes pour le site marchand.

    le GIE interdit egalement la conservation du cryptogramme.

    le site marchand peut effectuer abusivement des prelevements s’il possede le cryptogramme d’une part et etre sujet à des piratages d’autre part etant donnée que les coordonnées bancaires sont completes et visibles;

  2. non non, c’est écrit : “On ne conserve pas le cryptogramme”
    idem pour la recommandation de cacher une partie du numéro.

    Par contre j’ai compris que ce sont des recommandations et non des obligations

  3. @ arnaud

    excuse j avais pas tout lu car c’est assez long,

    Il doit y avoir une peine qui s’ajoute quand une société conserve les cryptogrammes comme visiblement cest le cas ici ?

    cette peine n’est pas comptablilisée dans le pb de sécurisation des données confidentielles.

    Que penses tu de la non sécurisation egalement des comptes perso des annonceurs ?

    en tout cas je pense que tu n’as rien a te reprocher et que tu as le soutient comme laurent de beaucoup de monde ici.

    Entreparticuliers ne t a pas ecouté malgré tes messages, tu as fait ce que tu pouvais pourtant . ils ont réagit comme il l’avait fait pour ralblog , betement par voie judiciaire pour faire pression sans regarder le fond du probleme.

    c’est dommage.

  4. Je pense effectivement qu’il y a un gros risque de se faire rattraper par la justice. Mais j’ai beaucoup de mal à lire les texte de loi qui mériteraient d’être écrit dans un français courant 🙂
    La non sécurisation des comptes perso est un autre problème. C’est un peu comme si j’achetais une voiture sans pouvoir enlever la clé et fermer les portes… Vu ces gros problèmes j’ai des doutes sur leur possibilité de retracer les IP des personnes qui effectuent des modifications sur les annonces.

    Je n’ai rien à me reprocher si ce n’est la forme qui était un peu cavalière. La réaction en face était disproportionnée alors j’ai moins de remords 🙂

  5. Tombé par hasard sur cette article. Je cherchais en vain les articles de lois et infos sur ce cas précis et j’ai tout sur une page.

    Bravo et merci d’en avoir parlé.

    D.

  6. Comment fait-on en cas d’abonnement payé par CB?
    On doit générer un prélèvement tous les mois (par exemple), et là il nous faut toutes les coordonnées de la carte (n°, crytogramme, expiration).
    Comment fait l’iStores?
    Comment fait paypal?
    Comment fait Amazon?

  7. Un complément d’information, trouvé sur le site de la cnil, qui semble plus récent (et plus à jour?) que la recommandation de 2003 citée par Arnaud :
    http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/declarer-un-fichier/declaration/mon-secteur-dactivite/mon-theme/je-dois-declarer/declaration-selectionnee/dec-mode/DISPLAYSINGLEFICHEDECL/dec-uid/9/?tx_oxcscnildeclaration_pi1%5Bsauid%5D=0&tx_oxcscnildeclaration_pi1%5Btuid%5D=0&cHash=09ffcc8c1f

    en particulier:
    ” Données relatives aux moyens de paiement : RIP ou RIB, numéro de la transaction, numéro de chèque, numéro de carte bancaire.”

    et

    ” Sécurité

    Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité des données, notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

    En cas d’utilisation d’un service de communication au public en ligne, le responsable de traitement prend les mesures nécessaires pour se prémunir contre tout accès non autorisé au système de traitement automatisé de données.

    Lorsqu’un moyen de paiement à distance est utilisé, le responsable de traitement doit prendre les mesures organisationnelles et techniques appropriées afin de préserver la sécurité, l’intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation, détournement, communication ou modification non autorisés en recourant à des systèmes de paiement sécurisés conformes à l’état de l’art et à la réglementation applicable.”

    Donc, a priori, on peut bien enregistrer des n° de cartes bleues ou des RIB, et “tout ce qu’il faut pour traiter un paiement à distance”, ce qui inclut le cryptogramme, du moment qu’on fait “ce qu’il faut” pour en assurer la confidentialité. Maintenant, il me reste à trouver quelle est la “réglementation applicable” !

Leave a Reply

Your email address will not be published. Required fields are marked *