SlideShare a Scribd company logo

Sécurité et Moyens de Paiements

Download as PPTX, PDF
Darkmira
Darkmira

Conférence "Sécurité & Moyens de Paiements" au séminaire e-commerce de l'ECITV Paris par Frédéric Baillon, Président de Darkmira.

Internet
1 of 43
Sécurité et Moyens de Paiements ECITV - 18 Juin 2015
Plan • Présentation • C’est quoi la sécurité ? • Pourquoi sécuriser une application ? • Comment fonctionne un paiement en ligne ? • E-Commerce, des nouveaux risques • Moyens de paiements • Protection des paiements • Prestataires de paiements
Présentation Frédéric BAILLON Président de Darkmira fbaillon@darkmira.fr Plusieurs années dans différents environnements traitant de sécurité
C’est quoi la sécurité ? Quand peut on dire que nous sommes en sécurité ?
Penser la sécurité Comment pense-t-on la sécurité ? C’est quoi la sécurité ?
Exercice subversif C’est quoi la sécurité ?
Fonctionnement d’une serrure C’est quoi la sécurité ? Images depuis http://korben.info/sensibilisation-au-lockpicking.html
Fonctionnement d’une serrure C’est quoi la sécurité ? Images depuis http://korben.info/sensibilisation-au-lockpicking.html
Je n’ai pas la clé • Le crochetage • Les bumpkeys et les pickguns, • L’impression, la copie de clé illicite et la fabrication de passe-partout... C’est quoi la sécurité ?
Le crochetage C’est quoi la sécurité ?
Pourquoi sécuriser une application ?
Aspect juridique Un accroissement des responsabilités des dirigeants face à la sécurité des informations numériques • + de protection des données • + de traçabilité • Nul n’est censé ignorer la loi • Sensibilisation du personnel interne / externe • Mettre l’entreprise en conformité avec la législation Engagement de la responsabilité civile et / ou pénale • Directive européenne : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amendes Pourquoi sécuriser une application ?
OWASP OWASP : Open Web Application Security Project - Organisation mondiale à but non lucratif http://www.owasp.org Son rôle : sensibiliser à la sécurité des Applications Web pour aider à prendre les bonnes décisions en matière de sécurité Evènements et présence : ● Des conférences à travers le monde ● Des listes de diffusion spécifiques ● Des chapitres locaux Des matériels : ● documentations (Top10, Cheats Sheets, Normes, Guides, …) ● outils (Samy, ZAP) ● code (Librairies) Pourquoi sécuriser une application ?
Fonctionnement du web Pourquoi sécuriser une application ? Fonctionnement du web
Injection SQL Pourquoi sécuriser une application ? Dès lors qu’un utilisateur peut interagir avec le site, il peut aussi entrer des informations non attendues. Une requête SQL classique pour la vérification de mots de passe est SELECT * from admins WHERE login='$login' AND password='$password' Que se passe-t-il si je rentre pour l’identifiant ? ' OR 1=1# la requête devient alors SELECT * from admins WHERE login='' OR 1=1
Méditation créative 1 2 3 4 5 6 7 8 9 relier les 9 trésors 4 lignes droites sans lever le stylo Pourquoi sécuriser une application ?
Comment fonctionne un paiement en ligne ? 1ère étape Le site marchand ou le PSP (Payment Service Provider) génère le formulaire pour collecter les données de la carte du client et l’envoi au navigateur du client. 2ième étape Le client saisit les informations de sa carte et valide le formulaire. Le navigateur envoie donc les données de la carte au PSP ou au site marchand. 3ième étape Les données sont reçues par le PSP ou le site marchand et transmises au système de paiement pour autorisation. Les données doivent absolument être chiffrées lors du transit entre les différentes parties
E-commerce Le paiement sans contact • fait directement à partir d'une carte ou d'un téléphone mobile Le e-commerce • possible à partir d’un numéro de carte bleue et d’une date de fin de validité
E-commerce La sécurité E-Commerce • doit être partie intégrante du processus de sécurité d’une application • a ses propres spécificités et est un des principaux (et des plus visibles) composants affectant l’utilisateur final au travers de ses paiements sur Internet
Moyens de paiements Carte bleue Vous avez vraiment besoin d’explication ? E-carte bleue • service bancaire qui génère un numéro de carte éphémère et pour un montant maximum pour chaque transaction à réaliser sur Internet • le numéro de carte bancaire réelle n’est pas utilisé et n’apparaît donc pas dans la transaction • le montant maximum de l’e-carte est défini et le marchand ne pourra pas utiliser un montant supérieur
Moyens de paiements M-Paiement • toutes les transactions effectuées depuis un téléphone mobile, le paiement peut être débité • d’une carte bancaire • d’un porte-monnaie électronique • d’une facture d’opérateur téléphonique • 4 catégories de paiements par mobile • paiement en ligne • paiement sans contact sur une borne • transfert d’argent de mobile à mobile • paiement par SMS • Exemples de technologies • Internet Mobile • NFC • SMS • QR Code • Bluetooth
Moyens de paiements Google Wallet • système de paiement mobile développé par Google • permet de stocker ses cartes de débits, crédits, … • peut utiliser la technologie NFC pour le paiement sans contact avec les terminaux de paiements Depuis 2013, Google a intégré Gmail et Google Wallet pour pouvoir envoyer de l’argent en pièce jointe d’e-mails. • le code PIN à 4 chiffres de l’application peut être trouvé assez rapidement grâce au bruteforce (10 000 combinaisons) • facilement sujet à des attaques dès lors qu’une faille est découverte sur le système du téléphone car stocké directement en crypté sur le téléphone • il est également recommandé de ne pas “rooté” son téléphone Android
Moyens de paiements Et bien d’autres • Apple Pay • Amazon Payment • Paypal (porte-monnaie électronique) • ...
Pré requis Pré requis essentiels d’une bonne sécurité E-commerce • Intégrité • Non répudiation • Authenticité • Confidentialité • Chiffrement • Disponibilité Protection des paiements
Mesures Des mesures à prendre pour assurer la confiance • Chiffrement • Signature Digital • Certificats de sécurité Protection des paiements
HTTPS • Couplage du protocole HTTP avec une couche de chiffrement (comme SSL) • Protocole de transfert hypertexte sécurisé • Permet à l’utilisateur de vérifier l’identité du site Web • Certificat d’authentification émis par une autorité tierce réputée fiable • Garantit la confidentialité et l’intégrité des données transmises entre le navigateur du client et le serveur • Un meilleur référencement du site e-commerce (http://googlewebmastercentral.blogspot.fr/2014/08/https-as-ranking-signal.html) Protection des paiements
Certificat SSL • signé par un tiers de confiance qui assure le lien entre l’entité numérique (le site) et l’entité physique (la société) • active le chiffrement des donnés au travers du protocole HTTPS • 2 méthodes de chiffrement : clés asymétriques et clés symétriques • Plusieurs types de certificats • X.509 standard : certificat classique, chiffrement entre 40bits et 256bits • X.509 étendu : affiche l’indicateur EV (Extended Validation) • X.509 wildcard : permet de rendre générique une partie du domaine (ex : *.darkmira.fr -> www.darkmira.fr, tour.darkmira.fr, mais pas darkmira.fr) • X.509 multisite : certificat contenant une liste de noms de domaine
Certificat SSL
Certificat SSL • Certificate • Version • Serial Number • Algorithm ID • Issuer • Validity • Not Before • Not After • Subject • Subject Public Key Info • Public Key Algorithm • Subject Public Key • Issuer Unique Identifier (optional) • Subject Unique Identifier (optional) • Extensions (optional) • … • Certificate Signature Algorithm • Certificate Signature
Certificat SSL Protection des paiements
Tokenisation Problématique : Les données sensibles associées à la carte de paiement et à son détenteur ne doivent être détenues que entre l’acheteur et la banque / système de paiement. Tokenisation - solution sécurisée appliquée aux paiements en ligne • solution récente • Apple Pay l’intègre depuis son lancement en 09/2014 • Visa et Mastercard approuve au même moment la tokenisation comme solution de sécurisation des transactions (en particulier sans carte) => En cas de vol ou de failles permettant de lire les données, le risque induit par la transmission de données sensibles est grandement réduit. Protection des paiements
Tokenisation Les tokens doivent • remplacer les données sensibles par des substituts • n’ont aucun lien avec les données • être créés à partir de caractères / nombres aléatoires et doivent n'avoir aucun lien avec les données qu'ils remplacent • avoir le même format, la même taille et les mêmes caractéristiques que les données originales Norme EMV - https://www.emvco.com/specifications.aspx?id=263 Protection des paiements
3D Secure • Protocole sécurisé (basé sur XML) de paiement sur Internet • Utilisé par Visa et Mastercard (appelation Verified by Visa et Mastercard SecureCode) puis American Express ... • Ajoute une couche de sécurité aux paiements en ligne en demandant une information d’identification en plus de l’information financière Une des méthodes principales pour combattre la fraude • Redirige le client sur une page spécialisée de la banque pour renseigner une ou plusieurs informations personnelles • envoi d’un code par sms sur son téléphone • un mot de passe • une date de naissance • un e-mail Protection des paiements
3D Secure passe une commande Utilisateur essaye de payer en renseignant les informations de sa carte 3D Secure demande des informations pour identifier l’utilisateur (ex. : code par SMS) Informations non valides Transaction refusée Continue avec la transaction Protection des paiements
3D Secure Protection des paiements
Card Security Code Code de sécurité • valide l’authenticité de la carte utilisée lors d’une transaction financière • valide que le consommateur a bien la carte en main • imprimé sur le devant ou le dos des cartes de crédits • créé pour les paiements où le code PIN ne peut être utilisé (téléphone, mail, achat sur internet) • différents noms suivants les cartes (CVN2, CVC2, CID, CVV2, …) Apparition • Mastercard 1997 • American Express 1999 • Visa 2001 Les paiement sans contact ont leur propre système de code généré électroniquement comme le ICVV ou le Dynamic CVV Protection des paiements
Card Security Code La PCI DSS interdit le stockage du CSC lors d’une transaction • un marchand ne doit ainsi pas stocker ce code dans son système lorsque vous lui fournissez • si les données de transactions sont volées, le pirate n’obtient pas le code et ne peut pas effectuer d’autres achats Le code de sécurité n’est pas inclus dans la bande magnétique ni la carte à puce • donc n’est pas transmis automatiquement lors d’une transaction face à face avec un marchand Protection des paiements
Card Security Code 3 numéros sur le dos de la carte pour Visa / Mastercard 4 numéros sur le devant pour American Express Il est recommandé de retenir ce numéro et de l’effacer de la carte Protection des paiements
Chaque banque française (CIC, HSBC, BNP, …) propose plusieurs services pour intégrer leur solution de paiement à votre site e-commerce. Chaque formule apporte plus ou moins de fonctionnalités et supports : • leur kit API (à intégrer à votre site e-commerce) • la page de paiement international • le paiement multi-devise • la gestion multi-compte / multi-site • le support • … Pour la plupart, le kit propose sur le site des paiements par : • Cartes bancaires ou cartes privatives (Aurore, American Express, …) • Paiement par débit du compte via Paypal • Facilité de paiements via la mise en place de crédits en ligne Il convient ainsi de comparer les différentes banques / services et leurs tarifs : • des frais d’ouvertures • un abonnement mensuel • des commissions sur les ventes Les solutions bancaires Prestataires de paiements
Les solutions Paypal • qui ne connaît pas Paypal ? • créé en 1998, racheté par Ebay en 2002 • service de paiements en ligne pour payer ses achats sur internet, recevoir des paiements, transférer de l’argent ou en recevoir • inscription gratuite et ne nécessite pas l’obtention d’un contrat de vente à distance • montant fixe par vente de quelques centimes + commission sur les ventes (possibilité d’un abonnement mensuel pour bénéficier de tarifs + avantageux) Paypal propose la possibilité de ne pas avoir à saisir sa carte bancaire à chaque transaction d’achat • possibilité de renseigner son compte bancaire ou sa carte de crédit pour débit lors d’une transaction • compte protégé uniquement par un e-mail et un mot de passe (nécessité de fournir un mot de passe fort) Prestataires de paiements
La solution Stripe • Simple d’utilisation et opérationnel rapidement • Installation rapide, peu de configuration • possibilité d’intégrer Stripe sans avoir à ce créer un compte marchand • s’intègre très facilement aux checkouts, modules existants pour les CMS • montant fixe de 0,30cts + 2,9% sur les ventes • accessible actuellement dans peu de pays (malgré une bêta en France) • Supporte l’Apple Pay et les transactions Bitcoin Prestataires de paiements
Autres solutions • Payplug • HiPay • ... ou pour des besoins adaptés à un pays précis, ex: le brésil, PagSeguro
Merci QUESTIONS ?

Recommended

la sécurité dans la commerce electronique
la sécurité dans la commerce electroniquela sécurité dans la commerce electronique
la sécurité dans la commerce electroniqueMouna Slama
 
Le Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentauxLe Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentauxAppsolute Digital
 
Présentation du portail du e-consommateur
Présentation du portail du e-consommateurPrésentation du portail du e-consommateur
Présentation du portail du e-consommateurMade In Morocco
 
Le paiement en ligne
Le paiement en ligneLe paiement en ligne
Le paiement en ligneBenoît Boutry
 
présentation PowerPoint pfe 2022 réaliser par Youssef nemmaoui.pptx
présentation PowerPoint pfe 2022 réaliser par Youssef nemmaoui.pptxprésentation PowerPoint pfe 2022 réaliser par Youssef nemmaoui.pptx
présentation PowerPoint pfe 2022 réaliser par Youssef nemmaoui.pptxMustaphaNouaman
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Présentation PFE
Présentation PFEPrésentation PFE
Présentation PFESemah Mhamdi
 

Recommended

la sécurité dans la commerce electronique
la sécurité dans la commerce electroniquela sécurité dans la commerce electronique
la sécurité dans la commerce electroniqueMouna Slama
 
Le Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentauxLe Marketing Digital: introduction aux fondamentaux
Le Marketing Digital: introduction aux fondamentauxAppsolute Digital
 
Présentation du portail du e-consommateur
Présentation du portail du e-consommateurPrésentation du portail du e-consommateur
Présentation du portail du e-consommateurMade In Morocco
 
Le paiement en ligne
Le paiement en ligneLe paiement en ligne
Le paiement en ligneBenoît Boutry
 
présentation PowerPoint pfe 2022 réaliser par Youssef nemmaoui.pptx
présentation PowerPoint pfe 2022 réaliser par Youssef nemmaoui.pptxprésentation PowerPoint pfe 2022 réaliser par Youssef nemmaoui.pptx
présentation PowerPoint pfe 2022 réaliser par Youssef nemmaoui.pptxMustaphaNouaman
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Présentation PFE
Présentation PFEPrésentation PFE
Présentation PFESemah Mhamdi
 
Presentation du projet_de_fin_d_etudes
Presentation du projet_de_fin_d_etudesPresentation du projet_de_fin_d_etudes
Presentation du projet_de_fin_d_etudesHassen BEN SLIMA
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiquesAmadou Dary diallo
 
Présentation NAC-NAP PPT HARIFI Madiha
Présentation NAC-NAP PPT HARIFI Madiha Présentation NAC-NAP PPT HARIFI Madiha
Présentation NAC-NAP PPT HARIFI MadihaHarifi Madiha
 
Etude sur la veille stratégique en Tunisie.
Etude sur la veille stratégique en Tunisie.Etude sur la veille stratégique en Tunisie.
Etude sur la veille stratégique en Tunisie.Mariem SELLAMI
 
Application de gestion des projets en J2EE (Spring-Hibernate) avec architectu...
Application de gestion des projets en J2EE (Spring-Hibernate) avec architectu...Application de gestion des projets en J2EE (Spring-Hibernate) avec architectu...
Application de gestion des projets en J2EE (Spring-Hibernate) avec architectu...Saâd Zerhouni
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2Ben Abdelwahed Slim
 
Introduction au Marketing digital
Introduction au Marketing digital Introduction au Marketing digital
Introduction au Marketing digital abir turki
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
rapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFErapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFEDonia Hammami
 
Conception et Réalisation d’une Plateforme Web de Gestion des achats
Conception et Réalisation d’une Plateforme Web de Gestion des achats Conception et Réalisation d’une Plateforme Web de Gestion des achats
Conception et Réalisation d’une Plateforme Web de Gestion des achats Ayed CHOKRI
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Nawres Farhat
 
Creation projet e commerce
Creation projet e commerceCreation projet e commerce
Creation projet e commerceKhabbab HADHRI
 
Conception et réalisation d'une application web et mobile de e-commerce
Conception et réalisation d'une application web et mobile de e-commerceConception et réalisation d'une application web et mobile de e-commerce
Conception et réalisation d'une application web et mobile de e-commerceAHMEDBELGHITH4
 
les style d'architecture
les style d'architecture les style d'architecture
les style d'architecture Mouna Maazoun
 
Mise en place d'une autorité de certification (PKI) sous windows server 2008
Mise en place d'une autorité de certification (PKI) sous windows server 2008 Mise en place d'une autorité de certification (PKI) sous windows server 2008
Mise en place d'une autorité de certification (PKI) sous windows server 2008 Youcef Aliarous
 
RFID
RFIDRFID
RFIDWafa Lakhdhar
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile Raoua Bennasr
 
5 the-new-flat
5 the-new-flat5 the-new-flat
5 the-new-flatMohammad Ali
 
Ad track study Type 2
Ad track study Type 2Ad track study Type 2
Ad track study Type 2Therefore Consultancy and Services Pvt. Ltd.
 

More Related Content

What's hot

Presentation du projet_de_fin_d_etudes
Presentation du projet_de_fin_d_etudesPresentation du projet_de_fin_d_etudes
Presentation du projet_de_fin_d_etudesHassen BEN SLIMA
 
Présentation NAC-NAP PPT HARIFI Madiha
Présentation NAC-NAP PPT HARIFI Madiha Présentation NAC-NAP PPT HARIFI Madiha
Présentation NAC-NAP PPT HARIFI MadihaHarifi Madiha
 
Etude sur la veille stratégique en Tunisie.
Etude sur la veille stratégique en Tunisie.Etude sur la veille stratégique en Tunisie.
Etude sur la veille stratégique en Tunisie.Mariem SELLAMI
 
Application de gestion des projets en J2EE (Spring-Hibernate) avec architectu...
Application de gestion des projets en J2EE (Spring-Hibernate) avec architectu...Application de gestion des projets en J2EE (Spring-Hibernate) avec architectu...
Application de gestion des projets en J2EE (Spring-Hibernate) avec architectu...Saâd Zerhouni
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2Ben Abdelwahed Slim
 
Introduction au Marketing digital
Introduction au Marketing digital Introduction au Marketing digital
Introduction au Marketing digital abir turki
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
rapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFErapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFEDonia Hammami
 
Conception et Réalisation d’une Plateforme Web de Gestion des achats
Conception et Réalisation d’une Plateforme Web de Gestion des achats Conception et Réalisation d’une Plateforme Web de Gestion des achats
Conception et Réalisation d’une Plateforme Web de Gestion des achats Ayed CHOKRI
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Nawres Farhat
 
Creation projet e commerce
Creation projet e commerceCreation projet e commerce
Creation projet e commerceKhabbab HADHRI
 
Conception et réalisation d'une application web et mobile de e-commerce
Conception et réalisation d'une application web et mobile de e-commerceConception et réalisation d'une application web et mobile de e-commerce
Conception et réalisation d'une application web et mobile de e-commerceAHMEDBELGHITH4
 
les style d'architecture
les style d'architecture les style d'architecture
les style d'architecture Mouna Maazoun
 
Mise en place d'une autorité de certification (PKI) sous windows server 2008
Mise en place d'une autorité de certification (PKI) sous windows server 2008 Mise en place d'une autorité de certification (PKI) sous windows server 2008
Mise en place d'une autorité de certification (PKI) sous windows server 2008 Youcef Aliarous
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile Raoua Bennasr
 

What's hot (20)

Presentation du projet_de_fin_d_etudes
Presentation du projet_de_fin_d_etudesPresentation du projet_de_fin_d_etudes
Presentation du projet_de_fin_d_etudes
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
Présentation NAC-NAP PPT HARIFI Madiha
Présentation NAC-NAP PPT HARIFI Madiha Présentation NAC-NAP PPT HARIFI Madiha
Présentation NAC-NAP PPT HARIFI Madiha
 
Etude sur la veille stratégique en Tunisie.
Etude sur la veille stratégique en Tunisie.Etude sur la veille stratégique en Tunisie.
Etude sur la veille stratégique en Tunisie.
 
Application de gestion des projets en J2EE (Spring-Hibernate) avec architectu...
Application de gestion des projets en J2EE (Spring-Hibernate) avec architectu...Application de gestion des projets en J2EE (Spring-Hibernate) avec architectu...
Application de gestion des projets en J2EE (Spring-Hibernate) avec architectu...
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2
 
Introduction au Marketing digital
Introduction au Marketing digital Introduction au Marketing digital
Introduction au Marketing digital
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
rapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFErapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFE
 
Conception et Réalisation d’une Plateforme Web de Gestion des achats
Conception et Réalisation d’une Plateforme Web de Gestion des achats Conception et Réalisation d’une Plateforme Web de Gestion des achats
Conception et Réalisation d’une Plateforme Web de Gestion des achats
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
 
Creation projet e commerce
Creation projet e commerceCreation projet e commerce
Creation projet e commerce
 
Conception et réalisation d'une application web et mobile de e-commerce
Conception et réalisation d'une application web et mobile de e-commerceConception et réalisation d'une application web et mobile de e-commerce
Conception et réalisation d'une application web et mobile de e-commerce
 
les style d'architecture
les style d'architecture les style d'architecture
les style d'architecture
 
Mise en place d'une autorité de certification (PKI) sous windows server 2008
Mise en place d'une autorité de certification (PKI) sous windows server 2008 Mise en place d'une autorité de certification (PKI) sous windows server 2008
Mise en place d'une autorité de certification (PKI) sous windows server 2008
 
RFID
RFIDRFID
RFID
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
 

Viewers also liked

Réconcilier développement économique et développement humain
Réconcilier développement économique et développement humainRéconcilier développement économique et développement humain
Réconcilier développement économique et développement humainADHERE RH
 
Επαναληπτικό θεωρίας Λογιστική 2
Επαναληπτικό θεωρίας Λογιστική 2Επαναληπτικό θεωρίας Λογιστική 2
Επαναληπτικό θεωρίας Λογιστική 2Alexandros Tsikolatas
 
Minha arte preferida 2º ano por simone helen drumond de carvalho
Minha arte preferida 2º ano por simone helen drumond de carvalhoMinha arte preferida 2º ano por simone helen drumond de carvalho
Minha arte preferida 2º ano por simone helen drumond de carvalhoSimoneHelenDrumond
 
Wine: Selling to consumers / Wine Business Innovation Summit 2014, Münich
Wine: Selling to consumers / Wine Business Innovation Summit 2014, MünichWine: Selling to consumers / Wine Business Innovation Summit 2014, Münich
Wine: Selling to consumers / Wine Business Innovation Summit 2014, MünichGiampiero Nadali
 
Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...
Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...
Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...Indian dental academy
 

Viewers also liked (12)

5 the-new-flat
5 the-new-flat5 the-new-flat
5 the-new-flat
 
Ad track study Type 2
Ad track study Type 2Ad track study Type 2
Ad track study Type 2
 
Réconcilier développement économique et développement humain
Réconcilier développement économique et développement humainRéconcilier développement économique et développement humain
Réconcilier développement économique et développement humain
 
Επαναληπτικό θεωρίας Λογιστική 2
Επαναληπτικό θεωρίας Λογιστική 2Επαναληπτικό θεωρίας Λογιστική 2
Επαναληπτικό θεωρίας Λογιστική 2
 
Minha arte preferida 2º ano por simone helen drumond de carvalho
Minha arte preferida 2º ano por simone helen drumond de carvalhoMinha arte preferida 2º ano por simone helen drumond de carvalho
Minha arte preferida 2º ano por simone helen drumond de carvalho
 
How Healthy is Your PPM
How Healthy is Your PPMHow Healthy is Your PPM
How Healthy is Your PPM
 
Tva
TvaTva
Tva
 
Wine: Selling to consumers / Wine Business Innovation Summit 2014, Münich
Wine: Selling to consumers / Wine Business Innovation Summit 2014, MünichWine: Selling to consumers / Wine Business Innovation Summit 2014, Münich
Wine: Selling to consumers / Wine Business Innovation Summit 2014, Münich
 
1 acquaintance
1 acquaintance1 acquaintance
1 acquaintance
 
Solos
SolosSolos
Solos
 
Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...
Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...
Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...
 
Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...
Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...
Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...
 

Similar to Sécurité et Moyens de Paiements

e-commerce et sécurié
e-commerce et sécuriée-commerce et sécurié
e-commerce et sécuriéBrahim Belghmi
 
Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018corsica.io
 
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)Alice and Bob
 
E paiement (2)
E paiement (2)E paiement (2)
E paiement (2)Maeyy
 
French_iSignthis Brochures
French_iSignthis BrochuresFrench_iSignthis Brochures
French_iSignthis BrochuresJohn Karantzis
 
Guide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électroniqueGuide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électroniqueIdaraty.tn
 
5 Atrait - Concours
5 Atrait - Concours5 Atrait - Concours
5 Atrait - Concoursmmmaroc
 
powerpoint de la séance1.2 E-commerce and Internet Marketing
powerpoint de la séance1.2 E-commerce and Internet Marketingpowerpoint de la séance1.2 E-commerce and Internet Marketing
powerpoint de la séance1.2 E-commerce and Internet Marketingsciafrique
 
Internet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie HospitalièreInternet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie HospitalièreADIPh
 
Devoxx 2019 authentification
Devoxx 2019 authentificationDevoxx 2019 authentification
Devoxx 2019 authentificationPascal Abaziou
 
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...Paysite-cash France
 
Un secteur à 100% conforme aux exigences de la loi 09/08.
Un secteur à 100% conforme aux exigences de la loi 09/08.Un secteur à 100% conforme aux exigences de la loi 09/08.
Un secteur à 100% conforme aux exigences de la loi 09/08.Made In Morocco
 
Comment obtenir un certificat SSL pour sécuriser son site internet?
Comment obtenir un certificat SSL pour sécuriser son site internet? Comment obtenir un certificat SSL pour sécuriser son site internet?
Comment obtenir un certificat SSL pour sécuriser son site internet? ssleuropa
 

Similar to Sécurité et Moyens de Paiements (20)

Chapitre 2
Chapitre 2Chapitre 2
Chapitre 2
 
e-commerce et sécurié
e-commerce et sécuriée-commerce et sécurié
e-commerce et sécurié
 
E paiement
E paiementE paiement
E paiement
 
Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018
 
Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018
 
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
 
E paiement (2)
E paiement (2)E paiement (2)
E paiement (2)
 
Paiements électronique
Paiements électroniquePaiements électronique
Paiements électronique
 
Guide e commerce
Guide e commerceGuide e commerce
Guide e commerce
 
French_iSignthis Brochures
French_iSignthis BrochuresFrench_iSignthis Brochures
French_iSignthis Brochures
 
Guide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électroniqueGuide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électronique
 
5 Atrait - Concours
5 Atrait - Concours5 Atrait - Concours
5 Atrait - Concours
 
powerpoint de la séance1.2 E-commerce and Internet Marketing
powerpoint de la séance1.2 E-commerce and Internet Marketingpowerpoint de la séance1.2 E-commerce and Internet Marketing
powerpoint de la séance1.2 E-commerce and Internet Marketing
 
Internet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie HospitalièreInternet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie Hospitalière
 
Devoxx 2019 authentification
Devoxx 2019 authentificationDevoxx 2019 authentification
Devoxx 2019 authentification
 
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
 
Paiement en ligne
Paiement en lignePaiement en ligne
Paiement en ligne
 
Un secteur à 100% conforme aux exigences de la loi 09/08.
Un secteur à 100% conforme aux exigences de la loi 09/08.Un secteur à 100% conforme aux exigences de la loi 09/08.
Un secteur à 100% conforme aux exigences de la loi 09/08.
 
SSL strip
SSL stripSSL strip
SSL strip
 
Comment obtenir un certificat SSL pour sécuriser son site internet?
Comment obtenir un certificat SSL pour sécuriser son site internet? Comment obtenir un certificat SSL pour sécuriser son site internet?
Comment obtenir un certificat SSL pour sécuriser son site internet?
 

Sécurité et Moyens de Paiements

  • 1. Sécurité et Moyens de Paiements ECITV - 18 Juin 2015
  • 2. Plan • Présentation • C’est quoi la sécurité ? • Pourquoi sécuriser une application ? • Comment fonctionne un paiement en ligne ? • E-Commerce, des nouveaux risques • Moyens de paiements • Protection des paiements • Prestataires de paiements
  • 3. Présentation Frédéric BAILLON Président de Darkmira fbaillon@darkmira.fr Plusieurs années dans différents environnements traitant de sécurité
  • 4. C’est quoi la sécurité ? Quand peut on dire que nous sommes en sécurité ?
  • 5. Penser la sécurité Comment pense-t-on la sécurité ? C’est quoi la sécurité ?
  • 7. Fonctionnement d’une serrure C’est quoi la sécurité ? Images depuis http://korben.info/sensibilisation-au-lockpicking.html
  • 8. Fonctionnement d’une serrure C’est quoi la sécurité ? Images depuis http://korben.info/sensibilisation-au-lockpicking.html
  • 9. Je n’ai pas la clé • Le crochetage • Les bumpkeys et les pickguns, • L’impression, la copie de clé illicite et la fabrication de passe-partout... C’est quoi la sécurité ?
  • 10. Le crochetage C’est quoi la sécurité ?
  • 11. Pourquoi sécuriser une application ?
  • 12. Aspect juridique Un accroissement des responsabilités des dirigeants face à la sécurité des informations numériques • + de protection des données • + de traçabilité • Nul n’est censé ignorer la loi • Sensibilisation du personnel interne / externe • Mettre l’entreprise en conformité avec la législation Engagement de la responsabilité civile et / ou pénale • Directive européenne : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amendes Pourquoi sécuriser une application ?
  • 13. OWASP OWASP : Open Web Application Security Project - Organisation mondiale à but non lucratif http://www.owasp.org Son rôle : sensibiliser à la sécurité des Applications Web pour aider à prendre les bonnes décisions en matière de sécurité Evènements et présence : ● Des conférences à travers le monde ● Des listes de diffusion spécifiques ● Des chapitres locaux Des matériels : ● documentations (Top10, Cheats Sheets, Normes, Guides, …) ● outils (Samy, ZAP) ● code (Librairies) Pourquoi sécuriser une application ?
  • 14. Fonctionnement du web Pourquoi sécuriser une application ? Fonctionnement du web
  • 15. Injection SQL Pourquoi sécuriser une application ? Dès lors qu’un utilisateur peut interagir avec le site, il peut aussi entrer des informations non attendues. Une requête SQL classique pour la vérification de mots de passe est SELECT * from admins WHERE login='$login' AND password='$password' Que se passe-t-il si je rentre pour l’identifiant ? ' OR 1=1# la requête devient alors SELECT * from admins WHERE login='' OR 1=1
  • 16. Méditation créative 1 2 3 4 5 6 7 8 9 relier les 9 trésors 4 lignes droites sans lever le stylo Pourquoi sécuriser une application ?
  • 17. Comment fonctionne un paiement en ligne ? 1ère étape Le site marchand ou le PSP (Payment Service Provider) génère le formulaire pour collecter les données de la carte du client et l’envoi au navigateur du client. 2ième étape Le client saisit les informations de sa carte et valide le formulaire. Le navigateur envoie donc les données de la carte au PSP ou au site marchand. 3ième étape Les données sont reçues par le PSP ou le site marchand et transmises au système de paiement pour autorisation. Les données doivent absolument être chiffrées lors du transit entre les différentes parties
  • 18. E-commerce Le paiement sans contact • fait directement à partir d'une carte ou d'un téléphone mobile Le e-commerce • possible à partir d’un numéro de carte bleue et d’une date de fin de validité
  • 19. E-commerce La sécurité E-Commerce • doit être partie intégrante du processus de sécurité d’une application • a ses propres spécificités et est un des principaux (et des plus visibles) composants affectant l’utilisateur final au travers de ses paiements sur Internet
  • 20. Moyens de paiements Carte bleue Vous avez vraiment besoin d’explication ? E-carte bleue • service bancaire qui génère un numéro de carte éphémère et pour un montant maximum pour chaque transaction à réaliser sur Internet • le numéro de carte bancaire réelle n’est pas utilisé et n’apparaît donc pas dans la transaction • le montant maximum de l’e-carte est défini et le marchand ne pourra pas utiliser un montant supérieur
  • 21. Moyens de paiements M-Paiement • toutes les transactions effectuées depuis un téléphone mobile, le paiement peut être débité • d’une carte bancaire • d’un porte-monnaie électronique • d’une facture d’opérateur téléphonique • 4 catégories de paiements par mobile • paiement en ligne • paiement sans contact sur une borne • transfert d’argent de mobile à mobile • paiement par SMS • Exemples de technologies • Internet Mobile • NFC • SMS • QR Code • Bluetooth
  • 22. Moyens de paiements Google Wallet • système de paiement mobile développé par Google • permet de stocker ses cartes de débits, crédits, … • peut utiliser la technologie NFC pour le paiement sans contact avec les terminaux de paiements Depuis 2013, Google a intégré Gmail et Google Wallet pour pouvoir envoyer de l’argent en pièce jointe d’e-mails. • le code PIN à 4 chiffres de l’application peut être trouvé assez rapidement grâce au bruteforce (10 000 combinaisons) • facilement sujet à des attaques dès lors qu’une faille est découverte sur le système du téléphone car stocké directement en crypté sur le téléphone • il est également recommandé de ne pas “rooté” son téléphone Android
  • 23. Moyens de paiements Et bien d’autres • Apple Pay • Amazon Payment • Paypal (porte-monnaie électronique) • ...
  • 24. Pré requis Pré requis essentiels d’une bonne sécurité E-commerce • Intégrité • Non répudiation • Authenticité • Confidentialité • Chiffrement • Disponibilité Protection des paiements
  • 25. Mesures Des mesures à prendre pour assurer la confiance • Chiffrement • Signature Digital • Certificats de sécurité Protection des paiements
  • 26. HTTPS • Couplage du protocole HTTP avec une couche de chiffrement (comme SSL) • Protocole de transfert hypertexte sécurisé • Permet à l’utilisateur de vérifier l’identité du site Web • Certificat d’authentification émis par une autorité tierce réputée fiable • Garantit la confidentialité et l’intégrité des données transmises entre le navigateur du client et le serveur • Un meilleur référencement du site e-commerce (http://googlewebmastercentral.blogspot.fr/2014/08/https-as-ranking-signal.html) Protection des paiements
  • 27. Certificat SSL • signé par un tiers de confiance qui assure le lien entre l’entité numérique (le site) et l’entité physique (la société) • active le chiffrement des donnés au travers du protocole HTTPS • 2 méthodes de chiffrement : clés asymétriques et clés symétriques • Plusieurs types de certificats • X.509 standard : certificat classique, chiffrement entre 40bits et 256bits • X.509 étendu : affiche l’indicateur EV (Extended Validation) • X.509 wildcard : permet de rendre générique une partie du domaine (ex : *.darkmira.fr -> www.darkmira.fr, tour.darkmira.fr, mais pas darkmira.fr) • X.509 multisite : certificat contenant une liste de noms de domaine
  • 29. Certificat SSL • Certificate • Version • Serial Number • Algorithm ID • Issuer • Validity • Not Before • Not After • Subject • Subject Public Key Info • Public Key Algorithm • Subject Public Key • Issuer Unique Identifier (optional) • Subject Unique Identifier (optional) • Extensions (optional) • … • Certificate Signature Algorithm • Certificate Signature
  • 31. Tokenisation Problématique : Les données sensibles associées à la carte de paiement et à son détenteur ne doivent être détenues que entre l’acheteur et la banque / système de paiement. Tokenisation - solution sécurisée appliquée aux paiements en ligne • solution récente • Apple Pay l’intègre depuis son lancement en 09/2014 • Visa et Mastercard approuve au même moment la tokenisation comme solution de sécurisation des transactions (en particulier sans carte) => En cas de vol ou de failles permettant de lire les données, le risque induit par la transmission de données sensibles est grandement réduit. Protection des paiements
  • 32. Tokenisation Les tokens doivent • remplacer les données sensibles par des substituts • n’ont aucun lien avec les données • être créés à partir de caractères / nombres aléatoires et doivent n'avoir aucun lien avec les données qu'ils remplacent • avoir le même format, la même taille et les mêmes caractéristiques que les données originales Norme EMV - https://www.emvco.com/specifications.aspx?id=263 Protection des paiements
  • 33. 3D Secure • Protocole sécurisé (basé sur XML) de paiement sur Internet • Utilisé par Visa et Mastercard (appelation Verified by Visa et Mastercard SecureCode) puis American Express ... • Ajoute une couche de sécurité aux paiements en ligne en demandant une information d’identification en plus de l’information financière Une des méthodes principales pour combattre la fraude • Redirige le client sur une page spécialisée de la banque pour renseigner une ou plusieurs informations personnelles • envoi d’un code par sms sur son téléphone • un mot de passe • une date de naissance • un e-mail Protection des paiements
  • 34. 3D Secure passe une commande Utilisateur essaye de payer en renseignant les informations de sa carte 3D Secure demande des informations pour identifier l’utilisateur (ex. : code par SMS) Informations non valides Transaction refusée Continue avec la transaction Protection des paiements
  • 36. Card Security Code Code de sécurité • valide l’authenticité de la carte utilisée lors d’une transaction financière • valide que le consommateur a bien la carte en main • imprimé sur le devant ou le dos des cartes de crédits • créé pour les paiements où le code PIN ne peut être utilisé (téléphone, mail, achat sur internet) • différents noms suivants les cartes (CVN2, CVC2, CID, CVV2, …) Apparition • Mastercard 1997 • American Express 1999 • Visa 2001 Les paiement sans contact ont leur propre système de code généré électroniquement comme le ICVV ou le Dynamic CVV Protection des paiements
  • 37. Card Security Code La PCI DSS interdit le stockage du CSC lors d’une transaction • un marchand ne doit ainsi pas stocker ce code dans son système lorsque vous lui fournissez • si les données de transactions sont volées, le pirate n’obtient pas le code et ne peut pas effectuer d’autres achats Le code de sécurité n’est pas inclus dans la bande magnétique ni la carte à puce • donc n’est pas transmis automatiquement lors d’une transaction face à face avec un marchand Protection des paiements
  • 38. Card Security Code 3 numéros sur le dos de la carte pour Visa / Mastercard 4 numéros sur le devant pour American Express Il est recommandé de retenir ce numéro et de l’effacer de la carte Protection des paiements
  • 39. Chaque banque française (CIC, HSBC, BNP, …) propose plusieurs services pour intégrer leur solution de paiement à votre site e-commerce. Chaque formule apporte plus ou moins de fonctionnalités et supports : • leur kit API (à intégrer à votre site e-commerce) • la page de paiement international • le paiement multi-devise • la gestion multi-compte / multi-site • le support • … Pour la plupart, le kit propose sur le site des paiements par : • Cartes bancaires ou cartes privatives (Aurore, American Express, …) • Paiement par débit du compte via Paypal • Facilité de paiements via la mise en place de crédits en ligne Il convient ainsi de comparer les différentes banques / services et leurs tarifs : • des frais d’ouvertures • un abonnement mensuel • des commissions sur les ventes Les solutions bancaires Prestataires de paiements
  • 40. Les solutions Paypal • qui ne connaît pas Paypal ? • créé en 1998, racheté par Ebay en 2002 • service de paiements en ligne pour payer ses achats sur internet, recevoir des paiements, transférer de l’argent ou en recevoir • inscription gratuite et ne nécessite pas l’obtention d’un contrat de vente à distance • montant fixe par vente de quelques centimes + commission sur les ventes (possibilité d’un abonnement mensuel pour bénéficier de tarifs + avantageux) Paypal propose la possibilité de ne pas avoir à saisir sa carte bancaire à chaque transaction d’achat • possibilité de renseigner son compte bancaire ou sa carte de crédit pour débit lors d’une transaction • compte protégé uniquement par un e-mail et un mot de passe (nécessité de fournir un mot de passe fort) Prestataires de paiements
  • 41. La solution Stripe • Simple d’utilisation et opérationnel rapidement • Installation rapide, peu de configuration • possibilité d’intégrer Stripe sans avoir à ce créer un compte marchand • s’intègre très facilement aux checkouts, modules existants pour les CMS • montant fixe de 0,30cts + 2,9% sur les ventes • accessible actuellement dans peu de pays (malgré une bêta en France) • Supporte l’Apple Pay et les transactions Bitcoin Prestataires de paiements
  • 42. Autres solutions • Payplug • HiPay • ... ou pour des besoins adaptés à un pays précis, ex: le brésil, PagSeguro