LA
MONETIQUE
Le
terme MONETIQUE désigne communement l'ensemble des systèmes
impliqués dans le traitement d'une transaction financière
entre un client et un commercant.
On
distingue généralement 3 sous ensembles :
Le
système EMETTEUR
Il
s'agit des moyens de paiements utilisés par les clients
pour régler leurs achats : cartes de paiement ou de fidélité,
chèques.
Ces
moyens de paiements sont généralement émis
par des banques ou des organismes de crédit comme AMEX,
JCB, COFINOGA etc...
Les
cartes sont soit des cartes à piste magnétique soit
des cartes à puces (microprocesseur). Avec l'extension
de la norme de paiement EMV (Eurocard/Mastercard/Visa) les cartes
dites à piste magnétique ont tendance à migrer
vers la technologie à microprocesseur. C'est le cas d'AMEX
ou JCB en France par exemple.
La
carte est utilisée par le porteur pour payer ses achats.
Cela permet de sécuriser le paiement en assurant la confidentialité
des échanges - les transactions sont chiffrées -
l'intégrité des échanges et la non répudiation
(la saisie du PIN y participe) - authentification du porteur au
travers du PIN et signature des transactions.
Le
paiement par chèque fait aussi l'objet de contrôle
avec demande d'autorisation et télécollecte.
Le
système ACCEPTEUR [Haut]
Il
s'agit de l'ensemble des équipements qui vont permettre
le dialogue avec d'un coté la carte du porteur (client)
et de l'autre le système acquéreur chargé
de recevoir et traiter les transactions. De façon schématique
il s'agit donc des terminaux de paiement que l'on trouve chez
les commercants et dans lesquels on insert la carte de paiement.
Il peut aussi s'agir d'automates comme dans les parkings par exemple.
Un
terminal de paiement est composé d'un écran, d'un
clavier pour saisir le PIN, d'une imprimante pour imprimer les
tickets du client et du commercant et d'un lecteur de carte à
puce et suivant les cas d'un lecteur de carte à piste magnétique.
Parfois les lecteurs sont dits hybrides c.a.d qu'ils servent en
même temps à la lecture puce et piste.
Les
principes de fonctionnement entre le lecteur et la carte sont
décrits dans les spécifications EMVCO. Ces spécifications
reposent sur les normes ISO 7816 et imposent aussi des niveaux
de sécurité concernant la gestion du PIN (saisie,
transfert, traitement). Il s'agit des spécifications VISA
PED et maintenant PCI PED en vigueur depuis janvier 2006.
Tous
les fabricants de terminaux de paiement doivent faire certifier
le lecteur et la librairie EMV en faisant réaliser des
tests EMV Level 1 et Level 2 par un laboratoire agréé.
Au
dela du standard EMV international chaque pays est libre d'imposer
un sur ensemble de spécifications additionnelles. C'est
le cas par exemple en France ou le GIE CB a produit des spécifications
CB5.2 décrivant comment l'EMV 4.0 devait être décliné
en France. C'est le cas dans quasiement chaque pays européen
: ZKA en Allemagne, SIBS au Portugal, 4B,CECA, SERMEPA en Espagne
etc... De ce fait les applications de paiements ne sont pas directement
réutilisables d'un pays à l'autre.
La
puissance des terminaux de paiements évolue aussi avec
la technologie. Les processeurs vont de 8 bits à 32 bits,
cadencés à 200Mhz pour les plus rapides. La mémoire
RAM va de 1Mo à 8Mo environ et l'E2PROM ou la flash dans
lesquelles sont stockées les binaires et les données
des applications de paiement vont de 2Mo à 8Mo.
En
France les terminaux de paiements sont dits multi-applicatifs
c.a.d qu'ils sont capables de traiter plusieurs applications de
paiement. Une seule étant exécutée à
la fois. De ce fait l'OS gère les accès à
la mémoire de façon à garantir l'étanchéité
des applications : aucun mélange d'informations (transaction,
données, paramètres etc) n'est possible entre les
applications. Seuls les échanges pré définis
sont possibles en passant par une application tierce appelée
Gestionnaire d'Application.
Par
ailleurs les terminaux sont aussi protégés contre
les attaques de types physiques ou logiques. Des capteurs permettent
de détecter l'ouverture ou l'intrusion dans la coque ce
qui conduit à la perte des données sensibles. De
plus le coeur du système est protégé pour
empecher toute tentative de piratage ou de fraude.
On
trouve différent type d'architectures pour les systèmes
d'acceptations :
- les architectures
dites intégrées que l'on rencontre dans la grande
distribution notamment
- les architectures
dites autonomes que l'on rencontre chez la plupart des commercants
Architecture
intégrée : le pinpad communique avec la
caisse et utilise les periphériques de celle ci notamment
pour imprimer les tickets. La caisse envoie au pinpad le montant
et la devise de la transaction ainsi que le mode de paiement (carte
ou chèque). Le Pinpad gère la transaction (demande
de pin éventuelle, controle la liste des BIN, controle
la liste d'opposition, envoi la demande d'autorisation) puis envoie
le contenu du ticket à la caisse pour impression. La transaction
est définitivement enregistrée lorsque les tickets
ont bien été imprimés. Dans certains cas
le Pin Pad est connecté directement à la caisse
par liaison série RS232.
Architecture
autonome : toute la transaction est gérée
sur le PIN PAD. L'impression des tickets se fait sur le PIN PAD.
Il se connecte à un PAD par RTC pour les demandes d'autorisation,
les télécollectes et les téléparamétrages.
Dans certains cas le Pin Pad est connecté à la caisse
par liaison série RS232.
Les
principaux fournisseurs de terminaux sont :
- Ingenico (Fr)
- Verifone (US)
- Hypercom (US)
- Lipman (Israel)
- Sagem (Fr)
- Thales (Fr)
Le
système ACQUEREUR [haut]
Il
s'agit des systèmes informatiques chargés de collecter
les transactions financières effectuées au niveau
du système d'acceptation.
Son
rôle est d'une part de transmettre la demande d'autorisation
envoyée par le système accepteur vers le serveur
bancaire du porteur pour obtenir l'accord de sa banque. D'autre
part le serveur acquéreur (généralement la
banque du commercant) va collecter en fin de journée toutes
les transactions effectuées sur le système d'acceptation
dans le but de créditer le compte commercant et transmettre
les transactions à debiter aux banques des clients (porteurs
de cartes). Enfin il a aussi pour role de transmettre régulièrement
au système d'acceptation l'ensemble des paramètres
de fonctionnement pour chaque application de paiement présente.
les
serveurs acquereurs sont généralement des plate
formes unix tres puissantes capablent d'absorber des pics de transactions
très importants. C'est le cas notamment des flux de transactions
provenant des hypermarchés pendant la période des
achats de Noel.
les
protocoles utilisés entre le système d'acceptation
et le système acquéreur sont le CB2A au niveau applicatif
et le CBCOM au niveau session. Ils reposent sur la norme ISO 8583.
Au niveau transport/réseau le principe est de se connecter
à un PAD X25 par SDLC/RTC ou par IP. Récemment le
GIE CB a défini une nouvelle spécification CB2A
IP permettant la connexion TCP/IP directe entre un système
d'acceptation et un système acquereur. Ces connexions sont
sécurisées par SSL avec authentification mutuelle.
les
principaux acquéreurs sont :
- les banques
(Credit Mutuel, CEDICAM, SG etc...)
- SETIB
- ATOS
- EXPERIAN
Une transaction
complète avec demande d'autorisation prend environ 20 à
25 secondes entre l'insertion de la carte et la sortie du ticket.
Cela dépend aussi du temps passé pour rentrer son
code PIN.
[retour
haut]
Marketing mobile: test grandeur
nature mené à Lille autour de la RFID
