6. Le Crédit Agricole de la Corse en quelques chiffres
- ¼ des Corses sont clients du Crédit Agricole : 100 000 clients
- 400 collaborateurs au service de nos clients
- 1,8 Mds d’encours de crédit
- 2 Mds d’encours d’épargne
- 80 000 cartes bancaires
- 120 M€ de paiements par carte (+10% en 2017)
Un projet d’entreprise résolument orienté vers le développement :
Le financement des projets, la gestion des flux et des moyens de paiements, sont au cœur de la relation banque - client
7. Les moyens de paiement au cœur de la relation banque – client :
les paiements par carte représentent 50% des opérations
14. Les différents types de paiement
• Le chèque
• Le virement
• La lettre de change
• Le billet à ordre
• La remise documentaire
• Le crédit documentaire
• La lettre de crédit stand-by
• La monnaie
• Paiement EMV
15.
16.
17.
18.
19.
20. Loi n° 2005-51 du 27 juin 2005, adoptée concernant le transfert électronique de fonds.
Emetteur (acquirer) : toute personne morale que la loi autorise dans le cadre de son activité commerciale à mettre un
instrument de transfert électronique de fonds à la disposition d’une autre personne en vertu d’un contrat conclu avec celle-ci.
Bénéficiaire (issuer) : toute personne qui détient un instrument de transfert électronique de fonds, en vertu d’un
contrat qu’elle a conclu avec un émetteur.
Cadre juridique
24. Statistiques de croissance des paiements hors cash
Source:ForexBonuses
Classement général Pays
Proportion de cartes en
cause avec la
fonctionnalité sans
contact
Proportion de
cartes de débit par
Habitant
Proportion de
cartes de crédit par
habitant
% des transactions de
paiement utilisant des
méthodes différentes
du « cash »
Classement des
paiements en sans
contact ces 5
dernières années
1 Canada 26.00 0.7 2.16 57 16
2 Sweden 25.00 0.98 1.04 59 13
3 UK 41.00 1.48 0.88 52 15
4 France 39.00 0.65 0.1 59 14
5 USA 23.00 0.94 2.9 45 12
6 China 56.00 3.28 0.33 10 100
7 Australia 39.00 1.75 1 35 10
8 Germany 26.00 1.25 0.06 33 10
9 Japan 26.00 3.3 0.67 14 12
10 Russia 18.00 1.35 0.22 4 22
28. Debit Credit Prepaid
Pour les possesseurs de comptes bancaires
Pour les possesseurs de comptes bancaires et
les non bancarisés. Chaque «marque» de carte
prépayée s'appelle un programme
Emetteur (Issuer) et Institutions financières
Les émetteurs peuvent être des
institutions financières ou des
entreprises de traitement de cartes ou
des gestionnaires de programme.
Frais de transaction transparents pour le propriétaire de la carte
Le titulaire de carte peut devoir payer des frais
supplémentaires et d'autres frais liés au compte
Peut nécessiter des coûts initiaux Un coût d'installation initial peut être
nécessaire pour créer un programme
Délivrance locale et usage mondial Émission plus large et utilisation mondiale
Produits de paiement
Il y a une demande croissante du prépayé en raison de l’utilisation croissante des eTransactions (eCOM)
29.
30. Commerçant
• Toutes les opérations sans contact sont
garanties pour le commerçant
• Aucune fraude n’est imputée au
commerçant
Titulaire de la carte
• Deux compteurs sont implémentés au
niveau de la carte
• Un compteur du nombre de
paiements Sans Contact
• Un plafond des montants Sans
Contact
• Lorsque l’un des deux
compteurs est atteint, la
transaction SC est refusée et le
TPE SC invite le titulaire de la
carte à l’insérer et à saisir le
code confidentiel
• En cas d’utilisation frauduleuse de la
carte, le titulaire contestera ces
opérations auprès de sa banque et il
sera remboursé automatiquement
Sans contact : Sécurisation
31. Plafonds paiement sans contact
Cumul
Montant maximum 30€
Nombre de paiements 3
Plafonds gérés dans la carte,
Lorsque l’un des deux plafonds est atteint, paiement en mode Contact avec saisie du code confidentiel,
Ces 2 plafonds seront remis à zéro, lors d’une opération avec utilisation du code confidentiel (Retrait ou Paiement
classique en mode contact).
Rappels de sécurité
La 1ère utilisation de la carte se fait avec composition du code et demande d’autorisation auprès de la banque,
A tout moment, le TPE peut demander au porteur d’insérer sa carte même si celui-ci n’a pas atteint les plafonds.
32. • Des données compromises
• Numéro de compte (PAN) et CVV2 : 1€
• Données pistes carte classique : 8 à 73€
• « White plastic » avec piste magnétique : 100€
• Données pistes et PIN : 1 000€
• Du matériel informatique nécessaire
• Logiciel malveillant (malware) : 1 000€ à 2 000€
• Equipement de skimming (clonage) : 1 000€ à 2 000€
Revente de données cartes en quantité sur des
sites de « Carding »
33.
34. Fraudes possibles avec données carte volées
• Vol de PAN : achat en VAD mal sécurisée (sans présentation de
cryptogramme visuel Cxx2)
• Vol de PAN + DFV + Cxx2 (CVV2/CVC2/CBN2) : achat en VAD
classique
• Vol de piste ISO2 complète : contrefaçon utilisable en paiement
sur un terminal non EMV
• Vol de piste ISO2 complète + PIN : contrefaçon utilisable en
paiement et en retrait sur un terminal ou GAB
35. Compte courant Compte de crédit Compte prépayé
Peut-être une carte
virtuelle
Tous les PAN sont associés au même
compte prépayéMultiples Tokens tous associés à une seule carte PAN
Relation entre Compte, PAN et Token
53. Compte courant Compte de crédit Compte prépayé
Peut-être une carte
virtuelle
Tous les PAN sont associés au même
compte prépayéMultiples Tokens tous associés à une seule carte PAN
Relation entre Compte, PAN et Token
54. Schéma Prépayé Schéma Tokenization
Produit de paiement • Carte prépayée • Peut être prépayé, débit ou crédit sous réserve de
la décision de l'émetteur
Coûts pour les
OEM/Brand
• Coût de configuration du programme
• Dans le cas de certains programmes, il n'y a pas de
coût d'installation du programme, mais un coût
unique pour acheter les comptes pour la revente aux
consommateurs
• Le coût pour l'OEM correspond au coût du service
gérer pour gérer l'appareil
• Coût d'enregistrement pour l'OEM de Mastercard
à bord en tant qu'équipementier
• Le coût pour l'OEM correspond au coût du service
géré pour gérer l'appareil
• Frais d'inscription à la découverte (facultatif)
Coût pour le titulaire
de la carte
• Payer pour le compte, frais complémentaires,
frais de demande de compte, ...
• Certains opérateurs prépayés peuvent structurer
les frais en une seule fois
• L'émetteur établira le prix avec le titulaire de la carte
Comparaison des Coûts
56. Objectifs de la Tokenisation
• Réduire la propagation complète des numéros PAN (Permanent Account Number)
• Réduire le risque de compromis
• Réduire la complexité pour le consommateur lorsque le moyen de paiement est perdu ou volé
• Faciliter la portabilité
• Supprimer la complexité du modèle TSM - OEM
57. Concept de la Tokenisation
• Tokenisation PAN des Devices
• Basé sur un Secure Element
• Un PAN 'DPAN’ alternatif sur l'appareil
• Apple Pay lancé en utilisant tokenisation et en partenariat avec les principales structures de
paiement pour générer les Tokens
• Le consommateur doit être connu et approuvé avant la création d’un Token
58. Les différents rôles de la Tokenisation
• Token Service Requestor
• Possède le porte-monnaie pour l'enregistrement du consommateur pour générer un Token
• Doit être conforme à la norme PCI
• Connecté au réseau de paiement pour demander le jeton
• Token Service Manager
• Génère les données EMV requises pour le format de périphérique spécifique
• Pour les appareils actifs, cela est effectué par les réseaux de paiement
• Pour les périphériques passifs, cela est effectué par le TSP
• Distributeur
• Délivre les informations de paiement en toute sécurité sur la puce de l'appareil
• Communique avec la puce sur l'appareil pour livrer les scripts de personnalisation
• Pour les appareils actifs, ceci est effectué par Over the Air directement sur l'appareil
59. Structure du process de Tokenisation
Emetteur MDES/ VTS
Mobile
Management
App
"Au nom du
demandeur de
jeton" (jeton
ID demandeur /
portefeuille)
Device
Owner/Brand
TSP
60. Couverture du MDES Europe
Coverage
Europe High
ISRAEL High
SWEDEN High
RUSSIA High
UKRAINE High
FINLAND High
AUSTRIA High
GERMANY High
ITALY High
UNITED KINGDOM High
GEORGIA High
POLAND High
HUNGARY High
NORWAY High
DENMARK High
SPAIN High
BELGIUM High
SLOVENIA High
NETHERLANDS Medium
BELARUS Medium
SLOVAKIA Medium
SWITZERLAND Medium
CZECH REPUBLIC Medium
KAZAKHSTAN Medium
MACEDONIA Medium
GREECE Medium low
IRELAND Medium Low
FRANCE Medium Low
Remarques :
• Cela suppose que l'ensemble du
portefeuille de l'émetteur (débit,
crédit) est sur MDES. En pratique,
certains émetteurs ont choisi de
n'activer qu'une partie de leur
portefeuille (crédit uniquement)
• Cela prend en compte les projets de
MC en cours de mise en œuvre
61. Program Manager
Exemples de partenariats avec les acteurs de l'écosystème
Issuers MDES/VTS Wearable Makers
Consumers
Token Requestor/
RemoteManager
Chip & Inlay Supplier
Beyond Payment
6
4
62. BIN Table
- 5513
-
-
-
Always
processes
through the
payment network
D
FPAN DPAN
55123456
-
-
-
-
-
55134787
-
-
-
-
-
Token
Distributor
DPAN
Wearable
Device PAN
Token
Validation
Auth
FPAN
Process de Tokenisation PAN
DPAN = Account number on the
Device = Token
FPAN = Account number on the
bank card = Funding account
Acquéreur
Emetteur
Token
Requestor
13
64. Hardware de provisioning
Distribution Centre
• Ecommerce
• Bank
• Bulk
Tablet
• Retail
• Personal
• Kiosk
Retail
• POS
• Concession
• Customer Service
Personal
• Consumer self
or
65. Certifications PCI DSS and PCI CP
Enregistrement
Token Requestor
➕
PCI DSS
Process de sécurisation
Gestionnaire de
services Certifié
➕
Process de sécurisation
Form factor autre que cartes :
Pas d’hologramme
Pas de bande magnétique
Pas de gaufrage
Device du consommateur
66. 1. Le consommateur utilise une plateforme de vente tierce pour acheter
son wearable
2. Le consommateur sélectionne le service de paiement et saisit la carte
PAN
3. Éligibilité du consommateur complétée
4. Le consommateur achète le portable et signe le contrat de l'émetteur
Provisionning du Token au Wearable
5. Provisioning a Token (DPAN) basé sur une carte FPAN au lieu de
distribution
6. Expédier le Wearable fourni (non actif) à la maison du client
Activation du Token
7. Le consommateur reçoit le Wearable fourni
8. Téléchargements pour les consommateurs de l’application de management et
demandes Code d'activation
9. Le consommateur reçoit le code d'activation SMS
10. Le jeton est activé
Vendeur Web
Banque
émettrice
Expérience utilisateur – Token pour le eCommerce
1
2
3
OEM
Distribution
premises
7
1
Acheter le Wearable
67. 1. Le consommateur achète son wearable
2. Il télécharge l’application de gestion
3. Le consommateur ajoute le wearable à l'application
Provisionning du Token au Wearable
5. Mise en fonction de la station de tokenisation portable en boutique
6. Provisionnig du DPAN basé sur une carte FPAN sur la station de
tokenization boutique
Activation du Token
7. Le consommateur demande l'activation du jeton dans l'application
8. Le consommateur reçoit le code d'activation SMS
9. Le jeton est activé
Banque
émettrice
Expérience utilisateur – Vente de Token
1
2
3
Station de
Personnalisation/Tokenization
7
2
Acheter le Wearable
68. 1. Le consommateur sélectionne son wearable
2. Le consommateur ajoute le wearable à l'application
3. Le consommateur sélectionne le service de paiement et saisit la carte
PAN (Digiseq Market Platform intégrée à Vendor Web)
4. Éligibilité du consommateur validée
5. Le consommateur achète le wearable et signe le contrat de l'émetteur
Provisionning du Token au Wearable
5. Expédier le Wearable provisionné (non actif) au domicile du client plus un
périphérique Perso du consommateur (si nécessaire)
6. Le consommateur reçoit le Wearable fourni et télécharge l'application de
gestion Wearable
7. Le consommateur connecte le périphérique Consumer Perso au mobile
8. Jeton provisionné (DPAN) basé sur une carte FPAN utilisant un mobile
grand public
Activation duToken
7. Le consommateur se connecte à l'application de gestion Wearable et
demande le code d'activation
8. Le consommateur se connecte au site Web / à l'application bancaire ou reçoit
le code d'activation SMS
9. Le jeton est activé
Vendeur Web
Banque
émettrice
Expérience utilisateur – Token et eCommerce en Self Provisioning
1
2
3
7
3
Acheter le Wearable
71. Ecosystèmes de paiement des Wearables
Issuers
Program
Manager
MDES/VTS
Wearable
Makers
Consumers
Token Requestor/
Remote Manager
Chip & Inlay
Supplier
7
6
72. Services des Technologies
Gestion de la
Technologie
Chip
Support de plusieurs Puces
Logistique des Puces
Certification
Soumission
d'approbation de
type de périphérique
et assistance Personalisation
Paiement
Contrôle d’accès
Token Requestor
Mastercard
Visa
ProvisioningHardware
Distributeur
Détail
Personel
Préparation des données
EMV
Mifare/Desfire
Gestion du Cycle de vie
Contrôle des Devices
Contrôle des services
73. Expérience Utilisateur
Expérience
Utilisateur bout en
bout
App Mobile
Enregistrement et gestion
des devices
Web services
Registration
EcommIntegration
……..
Découverte des services
Découverte des Device
Découverte des Services
Historique des transactions
Gestion et contrôle des
transactions
Gestion des Devices
Suspendus
Non-suspendus
Supprimés
74. Program Manager
Exemples de partenariats avec les acteurs de l'écosystème
Issuers MDES/VTS Wearable Makers
Consumers
Token Requestor/
RemoteManager
Chip & Inlay Supplier
Beyond Payment
7
9
75. Guichet et prise en charge bout en bout
Découverte
et inscription
Token Request
Token
Provision
Activation du
compte
Gestion
de compte
Web Site & plug-in Mobile Apps &API
Mobile Apps,
Hardware &API
Mobile Apps &API Mobile Apps &API
DigiSEq Software, Hardware and Services
Developpement
des Wearables
Services
professionnels et
outils
On-Boarding Process, Gestion de projet et des services
8
0
77. Program Manager
Issuer/BIN
Sponsor
Processing
Chargement des
Comptes prépayés
Marchand
Acquirer
Processor
Règlement
Manageur
de Comptes
Manager de
fonds
Top-Up
Top-Up
Compte du
cardholder
PAN Prépayés
Régulateur
de Risques
Equilibrage des comptes prépayés
Peut-être une seule entité
78. Provisionning en prépayé pour Wearable
• Le provisioning peut-être effectué avant l'enregistrement du client
• Emission anonyme sans KYC (Know Your Consumer) possible pour une utilisation jusqu'à
des limites de dépenses réglementaires.
• Le provising en bloc est possible
• Le consommateur peut activer et enregistrer le post-approvisionnement pour avoir accès à
des limites de paiement plus élevées
• La gestion du contrôle du stock marchand est requise
80. App Mobile – Ajout d’un Wearable
Les consommateurs téléchargent
l'application mobile ICARE
1
65
3 42
1
Le consommateur crée son compte2
3 Le consommateur connecte sa bague ou en
achète une
4 La bague est liée à un compte et le
consommateur peut ajouter des services
5 Le consommateur enregistre sa carte bancaire
6
Le consommateur sélectionne les services
auxiliaires qu’il souhaite ajouter
7 Le consommateur synchronise sa bague
7
81. 40
Intégration d’un générateur de Token pour le eCommerce
Le consommateur a sélectionné un appareil à
acheter sur le site Web du fournisseur. Tutoriel
et processus expliqués pour le consommateur
Le consommateur se connecte au service
d'enregistrement de jeton fourni par
Digiseq
Le consommateur peut vérifier si sa carte
peut être mise sur l'appareil sélectionné
Le consommateur saisit les détails de sa
carte pour l'enregistrement complet du jeton
sur l'appareil sélectionné
Le consommateur accepte les termes
et conditions de la banque
L'appareil est maintenant approvisionné
par le distributeur et livré au
consommateur
Notes de l'éditeur
Le plan de la présentation est le suivant, nous commencerons par étaler le CV, soit principalement le cursus académique, les expériences pédagogiques ainsi que les domaines de recherche explorés et les travaux élaborés dans ce sens.
D’ailleurs nous consacrons deux parties majeures dans cette présentation pour exposer nos travaux de recherche établis dans le cadre du mastère ainsi que dans le cadre de la thèse de doctorat.
La principale différence entre une carte à puce et une carte à bande magnétique traditionnelle est la présence d'une micropuce avec un stockage sécurisé et une capacité de fonctionnement cryptographique. La puce contient: l'applet de la carte, les données utilisateur confidentielles et les clés de sécurité. Une carte sans contact possède également une puce NFC
card verification value
Primary Account Numbe
HCE, le second souffl e du NFC Les diffi cultés rencontrées pour harmoniser la chaine de valeur (modèle économique) ainsi que la lente convergence des solutions vers un cadre normalisé éprouvé (cas d’usages et parcours client) sont des obstacles majeurs à la généralisation du paiement NFC sur mobile.
Avec l’évolution fi n 2013 de son système d’exploitation Android, Google se présente comme un catalyseur en proposant la technologie HCE - Host Card Emulation - qui offre la possibilité de repousser les limites du modèle, voire de stimuler l’arrivée de nouveaux services mobiles NFC (dématérialisation destitres restaurant, cartes cadeaux, services à valeur ajoutée utilisant la géolocalisation…).
2.1. Qu’est-ce que le HCE ? Le HCE se défi nit comme un service intégré au système d’exploitation d’un mobile permettant, via des interfaces dédiées (API 7), à des applications logicielles installées dans le mobile de dialoguer directement avec l’interface NFC. Avec ce service, une application peut ainsi émuler une carte virtuelle au sein du mobile pour communiquer avec le lecteur sans contact.
A l’inverse des solutions de paiement mobile NFC déployées (ex. modèle « SIM-centric »), le HCE ne nécessite pas l’utilisation dans le mobile d’un Secure Element8(SE) pour héberger une application de paiement et ses données sensibles.
En termes d’architecture, une solution de type « SE-centric » positionne le SE comme un composant central par lequel passe nécessairement toute communication NFC (via le protocole SWP9 entre le composant NFC du mobile et le SE), en particulier une transaction de paiement sans contact.
Des modèles commerciaux complexes sont nécessaires pour identifier un paiement
Cela crée des dépendances qui le rendent complexe et coûteux à interagir.
Les émetteurs d'applications ont besoin d'accords avec les émetteurs SE qui doivent se connecter aux combinés mobiles.
Capacité de stockage limitée de la SE et vitesse de traitement.
HCE permet au SE d'être placé dans un environnement de cloud hébergé, plutôt que sur l'appareil mobile.
Les fournisseurs de services peuvent prendre le contrôle de leurs applications en inscrivant une SE dans la plate-forme Cloud:
Il facilite l'utilisation des services de paiement mobile NFC.
Les émetteurs d'applications peuvent provisionner leurs applications directement sur l'appareil sans intervention de tiers.
Il raccourcit la chaîne de valeur car moins de parties doivent être impliquées, réduisant les coûts de provisionnement.
L'accès direct à la SE permet la détection instantanée de la fraude et permet un blocage immédiat des applications.
Plus grande puissance de traitement et capacité de stockage permettant une gestion des risques plus avancée.
Sans intermédiaires, l'écart entre les émetteurs d'applications et les consommateurs diminuent.
ISSUER = BENEFICIAIRE
Original Equipement Manufacturers
Device Primary Account Number
Selon les idées reçues, la tokenisation et plus spécifiquement la tokenisation pour le paiement au sens EMV répond uniquement à l’exigence d’anonymisation du PAN. Il s’agit du remplacement, lors d’un processus réversible, du PAN par un Payment Token (rôle du Token Service Provider - TSP, Figure 8), qui garde le même format et les mêmes propriétés qu’un PAN classique.
Le bénéfice de ce mécanisme de tokenisation est de pouvoir limiter les impacts dans les processus existants de traitement des transactions de paiement tout en désensibilisant le PAN. L’ajout d’attributs au Payment Token permet alors d’en limiter l’utilisation sur un domaine particulier (cloisonnement d’utilisation) - un Payment Token peut être lié à un canal d’utilisation, par exemple une unique solution de paiement mobile NFC, et à un device unique - ou d’y associer un niveau de confiance lors de sa délivrance et de son stockage.
(Payment Card Industry Data Security Standard ou PCI DSS
guide de 12 règlements qui aident les entreprises émettrices de cartes de paiement à protéger leurs données et à prévenir les fraudes.