SlideShare une entreprise Scribd logo
Sécurité et Moyens de
Paiements
ECITV - 18 Juin 2015
Plan
• Présentation
• C’est quoi la sécurité ?
• Pourquoi sécuriser une application ?
• Comment fonctionne un paiement en ligne ?
• E-Commerce, des nouveaux risques
• Moyens de paiements
• Protection des paiements
• Prestataires de paiements
Présentation
Frédéric BAILLON
Président de Darkmira
fbaillon@darkmira.fr
Plusieurs années dans différents environnements
traitant de sécurité
C’est quoi la sécurité ?
Quand peut on dire que nous sommes en
sécurité ?

Recommandé pour vous

Rapport De PFE
Rapport De PFERapport De PFE
Rapport De PFE

Conception et réalisation d’une solution de « Mobile Banking ».

Marque marwa nouvelle stratégie digitale
Marque marwa nouvelle stratégie digitale Marque marwa nouvelle stratégie digitale
Marque marwa nouvelle stratégie digitale

Présentation que j'ai effectué lors du cours de Web Marketing à l'ENCG Settat/ Proposition d'une stratégie Marketing digital pour la marque MARWA

Pfe conception et réalisation d'une application de gestion des processus d'ac...
Pfe conception et réalisation d'une application de gestion des processus d'ac...Pfe conception et réalisation d'une application de gestion des processus d'ac...
Pfe conception et réalisation d'une application de gestion des processus d'ac...

Ce travail s’inscrit dans le cadre du projet de fin d’études pour l’obtention de diplôme de licence en science et technologies de l'information et de la communication. Il vise à réaliser une application web pour l’évaluation des fournisseurs tenant compte les chiffres d'affaires, la condition des livraisons par rapport aux commandes ainsi que les non conformités. Pour ce faire l'application associe des critères quantitatifs pour calculer un taux de respect des engagements moyennant une extraction des données du logiciel de gestion à des critères qualitatifs pour évaluer les aspects affaire et technique des fournisseurs.

Penser la sécurité
Comment pense-t-on la sécurité ?
C’est quoi la sécurité ?
Exercice subversif
C’est quoi la sécurité ?
Fonctionnement d’une serrure
C’est quoi la sécurité ?
Images depuis http://korben.info/sensibilisation-au-lockpicking.html
Fonctionnement d’une serrure
C’est quoi la sécurité ?
Images depuis http://korben.info/sensibilisation-au-lockpicking.html

Recommandé pour vous

gestion de magasin vente matériels informatique
gestion de magasin vente matériels informatiquegestion de magasin vente matériels informatique
gestion de magasin vente matériels informatique
uml
Présentation de soutenance de PFE - La digitalisation des points de vente
Présentation de soutenance de PFE - La digitalisation des points de ventePrésentation de soutenance de PFE - La digitalisation des points de vente
Présentation de soutenance de PFE - La digitalisation des points de vente

Présentation de soutenance de projet de fin d'études (PFE) sous thème : La digitalisation des points de vente pour une expérience client réinventée. © Yousra Beddaou Marketing et Action Commerciale ENCG Kénitra / Université Ibn Tofail – 2017

digitaldigitalisationpfe
Questionnaire sous spss
Questionnaire sous spssQuestionnaire sous spss
Questionnaire sous spss

SPSS est un logiciel bien adapté pour l’analyse des questionnaires. A l’inverse de l’Excel, SPSS être capable de réduire considérablement le temps de la saisie des données .

questionnairespsscodification
Je n’ai pas la clé
• Le crochetage
• Les bumpkeys et les pickguns,
• L’impression, la copie de clé illicite et la
fabrication de passe-partout...
C’est quoi la sécurité ?
Le crochetage
C’est quoi la sécurité ?
Pourquoi sécuriser une application ?
Aspect juridique
Un accroissement des responsabilités des dirigeants face à la sécurité des informations
numériques
• + de protection des données
• + de traçabilité
• Nul n’est censé ignorer la loi
• Sensibilisation du personnel interne / externe
• Mettre l’entreprise en conformité avec la législation
Engagement de la responsabilité civile et / ou pénale
• Directive européenne : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amendes
Pourquoi sécuriser une application ?

Recommandé pour vous

Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...

Mon rapport de stage PFE pour l’obtention du Diplôme National de Master MÉMOIRE DE MASTER Présenté en vue de l’obtention du Diplôme National de Master Professionnel en Sciences et Technologies Mention : Informatique Spécialité : Sécurité des Systèmes Informatiques Communicants et Embarqués Conception et Réalisation d’une Application Sécurisée de Gestion des Ressources Humaines

pfemastermémoire de master
Rapport stage pfe
Rapport stage  pfe Rapport stage  pfe
Rapport stage pfe

Rapport de stage de projet du fin d’études: Conception & Développement d’une application mobile pour la réservation des tickets auprès des guichets de service

pfe rapport iset licence application mobile scrum
Présentation PFE
Présentation PFEPrésentation PFE
Présentation PFE

Présentation de mon projet de fin d'étude (ISET Sfax)

j2ee jee pfe red5 iset sfax
OWASP
OWASP : Open Web Application Security Project - Organisation mondiale à but non lucratif
http://www.owasp.org
Son rôle : sensibiliser à la sécurité des Applications Web pour aider à prendre les bonnes
décisions en matière de sécurité
Evènements et présence :
● Des conférences à travers le
monde
● Des listes de diffusion spécifiques
● Des chapitres locaux
Des matériels :
● documentations (Top10, Cheats
Sheets, Normes, Guides, …)
● outils (Samy, ZAP)
● code (Librairies)
Pourquoi sécuriser une application ?
Fonctionnement du web
Pourquoi sécuriser une application ?
Fonctionnement du web
Injection SQL
Pourquoi sécuriser une application ?
Dès lors qu’un utilisateur peut interagir avec le site, il peut aussi entrer
des informations non attendues.
Une requête SQL classique pour la vérification de
mots de passe est SELECT * from admins
WHERE login='$login' AND
password='$password'
Que se passe-t-il si je rentre pour l’identifiant ?
' OR 1=1#
la requête devient alors
SELECT * from admins WHERE login='' OR
1=1
Méditation créative
1 2 3
4 5 6
7 8 9
relier les 9 trésors
4 lignes droites
sans lever le stylo
Pourquoi sécuriser une application ?

Recommandé pour vous

Rapport pfe licence
Rapport pfe licenceRapport pfe licence
Rapport pfe licence

Rapport PFE S6 filière SMI

Mise en place d'une stratégie de marketing digital
Mise en place d'une stratégie de marketing digital Mise en place d'une stratégie de marketing digital
Mise en place d'une stratégie de marketing digital

Cette mémoire s‘intéresse à la mise en place d’une stratégie Marketing Digital de la plateforme « M-Logistique ». Ainsi, après une étude de l’existant et une analyse concurrentielle, la mise en place d'une stratégie de marketing digital s’est révélée indispensable pour assurer la présence sur le web et sur les réseaux sociaux de la plateforme « M-Logistique ». En effet, grâce à la mise en place d’une stratégie marketing digital, « M- Logistique » a connu, une amélioration du référencement, une prolifération des opportunités d’affaires, une augmentation de trafic. Mots-Clés : Marketing digital, Stratégie marketing digital, Stratégie, plateforme e-logistique, référencement, SEO, SMO, trafic, Communication digital.

marketing digitalseosearch engine optimization
Rapport de stage de perfectionnement
Rapport de stage de perfectionnementRapport de stage de perfectionnement
Rapport de stage de perfectionnement
Comment fonctionne un paiement en ligne ?
1ère étape
Le site marchand ou le PSP
(Payment Service Provider)
génère le formulaire pour
collecter les données de la
carte du client et l’envoi au
navigateur du client.
2ième étape
Le client saisit les
informations de sa carte et
valide le formulaire. Le
navigateur envoie donc les
données de la carte au PSP
ou au site marchand.
3ième étape
Les données sont reçues par
le PSP ou le site marchand
et transmises au système de
paiement pour autorisation.
Les données doivent absolument être chiffrées lors du transit entre les différentes parties
E-commerce
Le paiement sans contact
• fait directement à partir d'une carte ou d'un téléphone mobile
Le e-commerce
• possible à partir d’un numéro de carte bleue et d’une date de fin de
validité
E-commerce
La sécurité E-Commerce
• doit être partie intégrante du processus de sécurité d’une
application
• a ses propres spécificités et est un des principaux (et des plus
visibles) composants affectant l’utilisateur final au travers de ses
paiements sur Internet
Moyens de paiements
Carte bleue
Vous avez vraiment besoin d’explication ?
E-carte bleue
• service bancaire qui génère un numéro de carte éphémère et pour un montant maximum
pour chaque transaction à réaliser sur Internet
• le numéro de carte bancaire réelle n’est pas utilisé et n’apparaît donc pas dans la
transaction
• le montant maximum de l’e-carte est défini et le marchand ne pourra pas utiliser un
montant supérieur

Recommandé pour vous

Soutenance mémoire de fin d'études
Soutenance mémoire de fin d'étudesSoutenance mémoire de fin d'études
Soutenance mémoire de fin d'études

Ce fichier est la présentation de mon mémoire de fin d'études

saasassurancejava ee
Présentation de mon PFE
Présentation de mon PFEPrésentation de mon PFE
Présentation de mon PFE

Conception et réalisation d’une solution de « Mobile Banking ».

Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...

Rapport de PFE,

titaniumj2meprojet
Moyens de paiements
M-Paiement
• toutes les transactions effectuées depuis un téléphone mobile, le paiement peut être débité
• d’une carte bancaire
• d’un porte-monnaie électronique
• d’une facture d’opérateur téléphonique
• 4 catégories de paiements par mobile
• paiement en ligne
• paiement sans contact sur une borne
• transfert d’argent de mobile à mobile
• paiement par SMS
• Exemples de technologies
• Internet Mobile
• NFC
• SMS
• QR Code
• Bluetooth
Moyens de paiements
Google Wallet
• système de paiement mobile développé par Google
• permet de stocker ses cartes de débits, crédits, …
• peut utiliser la technologie NFC pour le paiement sans contact avec les terminaux de
paiements
Depuis 2013, Google a intégré Gmail et Google Wallet pour pouvoir envoyer de l’argent en pièce
jointe d’e-mails.
• le code PIN à 4 chiffres de l’application peut être trouvé assez rapidement grâce au
bruteforce (10 000 combinaisons)
• facilement sujet à des attaques dès lors qu’une faille est découverte sur le système du
téléphone car stocké directement en crypté sur le téléphone
• il est également recommandé de ne pas “rooté” son téléphone Android
Moyens de paiements
Et bien d’autres
• Apple Pay
• Amazon Payment
• Paypal (porte-monnaie électronique)
• ...
Pré requis
Pré requis essentiels d’une bonne sécurité E-commerce
• Intégrité
• Non répudiation
• Authenticité
• Confidentialité
• Chiffrement
• Disponibilité
Protection des paiements

Recommandé pour vous

Réalisation d'une application de gestion budgétaire
Réalisation d'une application de gestion budgétaireRéalisation d'une application de gestion budgétaire
Réalisation d'une application de gestion budgétaire

PFE: réalisation d'une application de gestion budgétaire en vue d’informatiser le processus de commande pour une société

gestion budgétairepfefst
Présentation du portail du e-consommateur
Présentation du portail du e-consommateurPrésentation du portail du e-consommateur
Présentation du portail du e-consommateur

la protection du consommateur est devenue nécessaire compte tenu de sa vulnérabilité face aux vendeurs professionnels. Au Maroc, elle fait l'objet de mesures légales regroupées dans le code de la consommation. Dans cette optique que la FNEM s’est orientée à fin de sauvegarder la santé du client , sa sécurité et ses intérêts économiques, et à lui donner les moyens de défendre ses droits et ses intérêts. La plate-forme E-consommateur a pour objet de contribuer au développement de la protection des E-consommateurs d’une manière générale, et particulièrement à appuyer ses adhérents dans le développement de leurs activités. La plate-forme E-consommateur a pour objet exclusif la protection des intérêts du e-consommateur, qui repose sur les droits fondamentaux de celui-ci : -Le droit à l’information. -Le droit à la protection de ses intérêts économiques. -Le droit à la représentation. -Le droit à la rétraction. -Le droit au choix. -Le droit à l’écoute.

maroc taswiqmtce-consommateur
5 the-new-flat
5 the-new-flat5 the-new-flat
5 the-new-flat

The document provides a floor plan and names for different rooms in an apartment or "flat". It lists the hall, living room, guest room, dining room, bedroom, kids' room, kitchen, bathroom, and majlis or sitting room. It then continues conversations discussing the beauty of the new flat, whether the person has children, how nearby the school is, and asking about the location of the office. The next section provides masculine and feminine forms of ordinal numbers from first to twelfth. It concludes with questions asking the time and examples of stating the time including phrases like "quarter past" and "quarter to".

arabic language
Mesures
Des mesures à prendre pour assurer la confiance
• Chiffrement
• Signature Digital
• Certificats de sécurité
Protection des paiements
HTTPS
• Couplage du protocole HTTP avec une couche de chiffrement (comme
SSL)
• Protocole de transfert hypertexte sécurisé
• Permet à l’utilisateur de vérifier l’identité du site Web
• Certificat d’authentification émis par une autorité tierce réputée fiable
• Garantit la confidentialité et l’intégrité des données transmises entre
le navigateur du client et le serveur
• Un meilleur référencement du site e-commerce
(http://googlewebmastercentral.blogspot.fr/2014/08/https-as-ranking-signal.html)
Protection des paiements
Certificat SSL
• signé par un tiers de confiance qui assure le lien entre l’entité
numérique (le site) et l’entité physique (la société)
• active le chiffrement des donnés au travers du protocole HTTPS
• 2 méthodes de chiffrement : clés asymétriques et clés symétriques
• Plusieurs types de certificats
• X.509 standard : certificat classique, chiffrement entre 40bits et 256bits
• X.509 étendu : affiche l’indicateur EV (Extended Validation)
• X.509 wildcard : permet de rendre générique une partie du domaine (ex : *.darkmira.fr
-> www.darkmira.fr, tour.darkmira.fr, mais pas darkmira.fr)
• X.509 multisite : certificat contenant une liste de noms de domaine
Certificat SSL

Recommandé pour vous

Ad track study Type 2
Ad track study Type 2Ad track study Type 2
Ad track study Type 2

This document summarizes the results of an ad tracking study conducted by Therefore Consultancy and Services Pvt. Ltd. The key findings are: 1. Offline campaigns generated higher responses than online or BTL campaigns. TV ads performed much better than print ads. 2. TV ads with durations of 20 seconds seemed more effective than 40 second ads. Movies and general entertainment channels performed best in generating responses in states like Maharashtra, Delhi, and Karnataka. 3. Print ads placed on the front page and over 1000 square centimeters performed best. The newspaper HT City dominated in terms of responses. 4. The states of Maharashtra, Delhi, and Uttar Pradesh were most responsive to

ad trackingadvertisingad efficiancy
Réconcilier développement économique et développement humain
Réconcilier développement économique et développement humainRéconcilier développement économique et développement humain
Réconcilier développement économique et développement humain

Conférence pour l'Association "A Contre Voix" 25/11/2016

globalisationleadershipdroits humains
Επαναληπτικό θεωρίας Λογιστική 2
Επαναληπτικό θεωρίας Λογιστική 2Επαναληπτικό θεωρίας Λογιστική 2
Επαναληπτικό θεωρίας Λογιστική 2

Επαναληπτικό θεωρίας Λογιστική 2

θεωρια λογιστικης
Certificat SSL
• Certificate
• Version
• Serial Number
• Algorithm ID
• Issuer
• Validity
• Not Before
• Not After
• Subject
• Subject Public Key Info
• Public Key Algorithm
• Subject Public Key
• Issuer Unique Identifier (optional)
• Subject Unique Identifier (optional)
• Extensions (optional)
• …
• Certificate Signature Algorithm
• Certificate Signature
Certificat SSL
Protection des paiements
Tokenisation
Problématique : Les données sensibles associées à la carte de paiement et à son détenteur ne
doivent être détenues que entre l’acheteur et la banque / système de paiement.
Tokenisation - solution sécurisée appliquée aux paiements en ligne
• solution récente
• Apple Pay l’intègre depuis son lancement en 09/2014
• Visa et Mastercard approuve au même moment la tokenisation comme solution de sécurisation des
transactions (en particulier sans carte)
=> En cas de vol ou de failles permettant de lire les données, le risque induit par la
transmission de données sensibles est grandement réduit.
Protection des paiements
Tokenisation
Les tokens doivent
• remplacer les données sensibles par des substituts
• n’ont aucun lien avec les données
• être créés à partir de caractères / nombres aléatoires et doivent n'avoir aucun lien avec les
données qu'ils remplacent
• avoir le même format, la même taille et les mêmes caractéristiques que les données
originales
Norme EMV - https://www.emvco.com/specifications.aspx?id=263
Protection des paiements

Recommandé pour vous

Minha arte preferida 2º ano por simone helen drumond de carvalho
Minha arte preferida   2º ano por simone helen drumond de carvalhoMinha arte preferida   2º ano por simone helen drumond de carvalho
Minha arte preferida 2º ano por simone helen drumond de carvalho

O documento descreve as atividades artísticas preferidas de uma aluna do 2o ano. Ela gosta de desenhar, pintar e brincar com sombras. Recentemente, a turma colou flores, folhas e cascas encontradas na natureza e as transformaram em obras de arte usando lápis de cor e giz de cera.

arte
How Healthy is Your PPM
How Healthy is Your PPMHow Healthy is Your PPM
How Healthy is Your PPM

This document discusses project and portfolio management solutions for healthcare organizations. It describes Tivitie as providing end-to-end Microsoft-based PPM solutions and services with over 15 years of experience. It outlines key drivers in healthcare that increased projects, such as regulations from HITECH, HIPAA, and the Affordable Care Act. An effective PPM solution can help organizations prioritize projects, understand capacity, track costs and labor, and provide visibility and reporting on projects. The document shares a case study of St. Luke's Health System that improved project management with Microsoft Project Online to gain efficiencies and portfolio visibility.

microsoft project serverheathcare project managementproject online for healthcare
Tva
TvaTva
Tva

Este documento resume las opciones disponibles para personas con discapacidad al terminar la etapa de transición a la vida adulta. Estas opciones incluyen centros ocupacionales, centros de día, residencias, viviendas tuteladas y programas de formación básica adaptada. Proporciona detalles sobre los beneficiarios, prestaciones y ubicaciones de estos recursos en Castellón. También explica los trámites administrativos para solicitar el ingreso en estos centros.

3D Secure
• Protocole sécurisé (basé sur XML) de paiement sur Internet
• Utilisé par Visa et Mastercard (appelation Verified by Visa et Mastercard SecureCode) puis
American Express ...
• Ajoute une couche de sécurité aux paiements en ligne en demandant une information
d’identification en plus de l’information financière
Une des méthodes principales pour combattre la fraude
• Redirige le client sur une page spécialisée de la banque pour renseigner une ou plusieurs
informations personnelles
• envoi d’un code par sms sur son téléphone
• un mot de passe
• une date de naissance
• un e-mail
Protection des paiements
3D Secure
passe une commande
Utilisateur
essaye de payer en
renseignant les
informations de sa
carte
3D Secure demande des
informations pour identifier
l’utilisateur (ex. : code par
SMS)
Informations non valides
Transaction refusée Continue avec la
transaction
Protection des paiements
3D Secure
Protection des paiements
Card Security Code
Code de sécurité
• valide l’authenticité de la carte utilisée lors d’une transaction financière
• valide que le consommateur a bien la carte en main
• imprimé sur le devant ou le dos des cartes de crédits
• créé pour les paiements où le code PIN ne peut être utilisé (téléphone, mail, achat sur
internet)
• différents noms suivants les cartes (CVN2, CVC2, CID, CVV2, …)
Apparition
• Mastercard 1997
• American Express 1999
• Visa 2001
Les paiement sans contact ont leur propre système de code généré électroniquement comme le
ICVV ou le Dynamic CVV
Protection des paiements

Recommandé pour vous

Wine: Selling to consumers / Wine Business Innovation Summit 2014, Münich
Wine: Selling to consumers / Wine Business Innovation Summit 2014, MünichWine: Selling to consumers / Wine Business Innovation Summit 2014, Münich
Wine: Selling to consumers / Wine Business Innovation Summit 2014, Münich

By Ryan Opaz and Giampiero Nadali. Go direct. Wineries, specially the smallest ones, have a great opportunity to open new sales channels through the direct contact with consumers. Personally and through wine social media. You'll find some ideas inside. [This is the presentation we held at Wine Business Innovation Summit 2014, Münich, on Jan. 19th]

winewbiswinelover
1 acquaintance
1 acquaintance1 acquaintance
1 acquaintance

This document provides an introduction to basic Arabic greetings and introductions. It includes a table with the Arabic alphabet, letters, names, and examples. It also lists common greetings in Arabic like "Marhabaa" (Welcome), "Ahlan wa Sahlan" (Welcome), and "Assalaamu Alaykum" (Peace be upon you). Finally, it provides examples of basic introductions and questions like "What is your name?" and responses for identifying one's name, occupation, and asking the same about the other person.

arabic language
Solos
SolosSolos
Solos

O solo é formado pela decomposição das rochas pela ação do clima e matéria orgânica. Existem diferentes tipos de solo como aluvial, formado por sedimentos transportados, e eluvial, formado pela alteração da rocha abaixo. O perfil do solo é composto por horizontes O, A, B e C, que variam em composição orgânica, nutrientes e profundidade.

Card Security Code
La PCI DSS interdit le stockage du CSC lors d’une transaction
• un marchand ne doit ainsi pas stocker ce code dans son système lorsque vous lui
fournissez
• si les données de transactions sont volées, le pirate n’obtient pas le code et ne peut pas
effectuer d’autres achats
Le code de sécurité n’est pas inclus dans la bande magnétique ni la carte à puce
• donc n’est pas transmis automatiquement lors d’une transaction face à face avec un
marchand
Protection des paiements
Card Security Code
3 numéros sur le dos de la
carte pour Visa / Mastercard
4 numéros sur le devant pour
American Express
Il est recommandé de retenir ce numéro et de l’effacer de la carte
Protection des paiements
Chaque banque française (CIC, HSBC, BNP, …) propose plusieurs services pour intégrer leur solution de
paiement à votre site e-commerce. Chaque formule apporte plus ou moins de fonctionnalités et supports :
• leur kit API (à intégrer à votre site e-commerce)
• la page de paiement international
• le paiement multi-devise
• la gestion multi-compte / multi-site
• le support
• …
Pour la plupart, le kit propose sur le site des paiements par :
• Cartes bancaires ou cartes privatives (Aurore, American Express, …)
• Paiement par débit du compte via Paypal
• Facilité de paiements via la mise en place de crédits en ligne
Il convient ainsi de comparer les différentes banques / services et leurs tarifs :
• des frais d’ouvertures
• un abonnement mensuel
• des commissions sur les ventes
Les solutions bancaires
Prestataires de paiements
Les solutions Paypal
• qui ne connaît pas Paypal ?
• créé en 1998, racheté par Ebay en 2002
• service de paiements en ligne pour payer ses achats sur internet, recevoir des paiements,
transférer de l’argent ou en recevoir
• inscription gratuite et ne nécessite pas l’obtention d’un contrat de vente à distance
• montant fixe par vente de quelques centimes + commission sur les ventes (possibilité d’un
abonnement mensuel pour bénéficier de tarifs + avantageux)
Paypal propose la possibilité de ne pas avoir à saisir sa carte bancaire à chaque transaction
d’achat
• possibilité de renseigner son compte bancaire ou sa carte de crédit pour débit lors d’une
transaction
• compte protégé uniquement par un e-mail et un mot de passe (nécessité de fournir un mot
de passe fort)
Prestataires de paiements

Recommandé pour vous

Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...
Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...
Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...

The Indian Dental Academy is the Leader in continuing dental education , training dentists in all aspects of dentistry and offering a wide range of dental certified courses in different formats. Indian dental academy provides dental crown & Bridge,rotary endodontics,fixed orthodontics, Dental implants courses.for details pls visit www.indiandentalacademy.com ,or call 0091-9248678078

dental coursescertified fixed orthodontic coursesprosthodontic courses
Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...
Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...
Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...

Présentation au colloque international du CRIMT sur l'avenir syndical

Chapitre 2
Chapitre 2Chapitre 2
Chapitre 2
raouf jaziricours e-commerce
La solution Stripe
• Simple d’utilisation et opérationnel rapidement
• Installation rapide, peu de configuration
• possibilité d’intégrer Stripe sans avoir à ce créer un compte marchand
• s’intègre très facilement aux checkouts, modules existants pour les CMS
• montant fixe de 0,30cts + 2,9% sur les ventes
• accessible actuellement dans peu de pays (malgré une bêta en France)
• Supporte l’Apple Pay et les transactions Bitcoin
Prestataires de paiements
Autres solutions
• Payplug
• HiPay
• ...
ou pour des besoins adaptés à un pays précis, ex: le brésil, PagSeguro
Merci
QUESTIONS
?

Contenu connexe

Tendances

Réussir des exercices de prospective : méthodes et conseils
Réussir des exercices de prospective : méthodes et conseilsRéussir des exercices de prospective : méthodes et conseils
Réussir des exercices de prospective : méthodes et conseils
Qualiméditerranée
 
Rapport Projet de Fin d'Etudes
Rapport Projet de Fin d'EtudesRapport Projet de Fin d'Etudes
Rapport Projet de Fin d'Etudes
Hosni Mansour
 
Rapport de stage d'initiation 2015 Mahmoudi Mohamed Amine
Rapport de stage d'initiation 2015 Mahmoudi Mohamed AmineRapport de stage d'initiation 2015 Mahmoudi Mohamed Amine
Rapport de stage d'initiation 2015 Mahmoudi Mohamed Amine
Mohamed Amine Mahmoudi
 
Rapport De PFE
Rapport De PFERapport De PFE
Rapport De PFE
Nadir Haouari
 
Marque marwa nouvelle stratégie digitale
Marque marwa nouvelle stratégie digitale Marque marwa nouvelle stratégie digitale
Marque marwa nouvelle stratégie digitale
maryaslm
 
Pfe conception et réalisation d'une application de gestion des processus d'ac...
Pfe conception et réalisation d'une application de gestion des processus d'ac...Pfe conception et réalisation d'une application de gestion des processus d'ac...
Pfe conception et réalisation d'une application de gestion des processus d'ac...
Ahmed Makni
 
gestion de magasin vente matériels informatique
gestion de magasin vente matériels informatiquegestion de magasin vente matériels informatique
gestion de magasin vente matériels informatique
Oussama Yoshiki
 
Présentation de soutenance de PFE - La digitalisation des points de vente
Présentation de soutenance de PFE - La digitalisation des points de ventePrésentation de soutenance de PFE - La digitalisation des points de vente
Présentation de soutenance de PFE - La digitalisation des points de vente
Yousra Beddaou
 
Questionnaire sous spss
Questionnaire sous spssQuestionnaire sous spss
Questionnaire sous spss
Adad Med Chérif
 
Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...
Mohamed Amine Mahmoudi
 
Rapport stage pfe
Rapport stage  pfe Rapport stage  pfe
Rapport stage pfe
rimeh moussi
 
Présentation PFE
Présentation PFEPrésentation PFE
Présentation PFE
Semah Mhamdi
 
Rapport pfe licence
Rapport pfe licenceRapport pfe licence
Rapport pfe licence
Fatima Zahra Fagroud
 
Mise en place d'une stratégie de marketing digital
Mise en place d'une stratégie de marketing digital Mise en place d'une stratégie de marketing digital
Mise en place d'une stratégie de marketing digital
Karim Ben Alaya
 
Rapport de stage de perfectionnement
Rapport de stage de perfectionnementRapport de stage de perfectionnement
Rapport de stage de perfectionnement
badouuur
 
Soutenance mémoire de fin d'études
Soutenance mémoire de fin d'étudesSoutenance mémoire de fin d'études
Soutenance mémoire de fin d'études
Fabrice HAUHOUOT
 
Présentation de mon PFE
Présentation de mon PFEPrésentation de mon PFE
Présentation de mon PFE
Nadir Haouari
 
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Riadh K.
 
Réalisation d'une application de gestion budgétaire
Réalisation d'une application de gestion budgétaireRéalisation d'une application de gestion budgétaire
Réalisation d'une application de gestion budgétaire
Lamiae Demraoui
 
Présentation du portail du e-consommateur
Présentation du portail du e-consommateurPrésentation du portail du e-consommateur
Présentation du portail du e-consommateur
Made In Morocco
 

Tendances (20)

Réussir des exercices de prospective : méthodes et conseils
Réussir des exercices de prospective : méthodes et conseilsRéussir des exercices de prospective : méthodes et conseils
Réussir des exercices de prospective : méthodes et conseils
 
Rapport Projet de Fin d'Etudes
Rapport Projet de Fin d'EtudesRapport Projet de Fin d'Etudes
Rapport Projet de Fin d'Etudes
 
Rapport de stage d'initiation 2015 Mahmoudi Mohamed Amine
Rapport de stage d'initiation 2015 Mahmoudi Mohamed AmineRapport de stage d'initiation 2015 Mahmoudi Mohamed Amine
Rapport de stage d'initiation 2015 Mahmoudi Mohamed Amine
 
Rapport De PFE
Rapport De PFERapport De PFE
Rapport De PFE
 
Marque marwa nouvelle stratégie digitale
Marque marwa nouvelle stratégie digitale Marque marwa nouvelle stratégie digitale
Marque marwa nouvelle stratégie digitale
 
Pfe conception et réalisation d'une application de gestion des processus d'ac...
Pfe conception et réalisation d'une application de gestion des processus d'ac...Pfe conception et réalisation d'une application de gestion des processus d'ac...
Pfe conception et réalisation d'une application de gestion des processus d'ac...
 
gestion de magasin vente matériels informatique
gestion de magasin vente matériels informatiquegestion de magasin vente matériels informatique
gestion de magasin vente matériels informatique
 
Présentation de soutenance de PFE - La digitalisation des points de vente
Présentation de soutenance de PFE - La digitalisation des points de ventePrésentation de soutenance de PFE - La digitalisation des points de vente
Présentation de soutenance de PFE - La digitalisation des points de vente
 
Questionnaire sous spss
Questionnaire sous spssQuestionnaire sous spss
Questionnaire sous spss
 
Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...
 
Rapport stage pfe
Rapport stage  pfe Rapport stage  pfe
Rapport stage pfe
 
Présentation PFE
Présentation PFEPrésentation PFE
Présentation PFE
 
Rapport pfe licence
Rapport pfe licenceRapport pfe licence
Rapport pfe licence
 
Mise en place d'une stratégie de marketing digital
Mise en place d'une stratégie de marketing digital Mise en place d'une stratégie de marketing digital
Mise en place d'une stratégie de marketing digital
 
Rapport de stage de perfectionnement
Rapport de stage de perfectionnementRapport de stage de perfectionnement
Rapport de stage de perfectionnement
 
Soutenance mémoire de fin d'études
Soutenance mémoire de fin d'étudesSoutenance mémoire de fin d'études
Soutenance mémoire de fin d'études
 
Présentation de mon PFE
Présentation de mon PFEPrésentation de mon PFE
Présentation de mon PFE
 
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
 
Réalisation d'une application de gestion budgétaire
Réalisation d'une application de gestion budgétaireRéalisation d'une application de gestion budgétaire
Réalisation d'une application de gestion budgétaire
 
Présentation du portail du e-consommateur
Présentation du portail du e-consommateurPrésentation du portail du e-consommateur
Présentation du portail du e-consommateur
 

En vedette

5 the-new-flat
5 the-new-flat5 the-new-flat
5 the-new-flat
Mohammad Ali Abu Awwad
 
Ad track study Type 2
Ad track study Type 2Ad track study Type 2
Réconcilier développement économique et développement humain
Réconcilier développement économique et développement humainRéconcilier développement économique et développement humain
Réconcilier développement économique et développement humain
ADHERE RH
 
Επαναληπτικό θεωρίας Λογιστική 2
Επαναληπτικό θεωρίας Λογιστική 2Επαναληπτικό θεωρίας Λογιστική 2
Επαναληπτικό θεωρίας Λογιστική 2
Alexandros Tsikolatas
 
Minha arte preferida 2º ano por simone helen drumond de carvalho
Minha arte preferida   2º ano por simone helen drumond de carvalhoMinha arte preferida   2º ano por simone helen drumond de carvalho
Minha arte preferida 2º ano por simone helen drumond de carvalho
SimoneHelenDrumond
 
How Healthy is Your PPM
How Healthy is Your PPMHow Healthy is Your PPM
How Healthy is Your PPM
Michelle Manimtim
 
Tva
TvaTva
Wine: Selling to consumers / Wine Business Innovation Summit 2014, Münich
Wine: Selling to consumers / Wine Business Innovation Summit 2014, MünichWine: Selling to consumers / Wine Business Innovation Summit 2014, Münich
Wine: Selling to consumers / Wine Business Innovation Summit 2014, Münich
Giampiero Nadali
 
1 acquaintance
1 acquaintance1 acquaintance
1 acquaintance
Mohammad Ali Abu Awwad
 
Solos
SolosSolos
Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...
Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...
Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...
Indian dental academy
 
Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...
Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...
Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...
Institut pour la Responsabilité Globale dans l'Entreprise
 

En vedette (12)

5 the-new-flat
5 the-new-flat5 the-new-flat
5 the-new-flat
 
Ad track study Type 2
Ad track study Type 2Ad track study Type 2
Ad track study Type 2
 
Réconcilier développement économique et développement humain
Réconcilier développement économique et développement humainRéconcilier développement économique et développement humain
Réconcilier développement économique et développement humain
 
Επαναληπτικό θεωρίας Λογιστική 2
Επαναληπτικό θεωρίας Λογιστική 2Επαναληπτικό θεωρίας Λογιστική 2
Επαναληπτικό θεωρίας Λογιστική 2
 
Minha arte preferida 2º ano por simone helen drumond de carvalho
Minha arte preferida   2º ano por simone helen drumond de carvalhoMinha arte preferida   2º ano por simone helen drumond de carvalho
Minha arte preferida 2º ano por simone helen drumond de carvalho
 
How Healthy is Your PPM
How Healthy is Your PPMHow Healthy is Your PPM
How Healthy is Your PPM
 
Tva
TvaTva
Tva
 
Wine: Selling to consumers / Wine Business Innovation Summit 2014, Münich
Wine: Selling to consumers / Wine Business Innovation Summit 2014, MünichWine: Selling to consumers / Wine Business Innovation Summit 2014, Münich
Wine: Selling to consumers / Wine Business Innovation Summit 2014, Münich
 
1 acquaintance
1 acquaintance1 acquaintance
1 acquaintance
 
Solos
SolosSolos
Solos
 
Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...
Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...
Surgical anatomy of orbit 1 /certified fixed orthodontic courses by Indian de...
 
Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...
Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...
Havard & Sobczak (2012) Les stratégies RSE des organisations syndicales franç...
 

Similaire à Sécurité et Moyens de Paiements

e-commerce et sécurié
e-commerce et sécuriée-commerce et sécurié
e-commerce et sécurié
Brahim Belghmi
 
Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018
African Cyber Security Summit
 
Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018
corsica.io
 
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud   exemple de wikimedia (wikipedia)La fin du mot de passe pour accèder au cloud   exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
Alice and Bob
 
E paiement (2)
E paiement (2)E paiement (2)
E paiement (2)
Maeyy
 
Paiements électronique
Paiements électroniquePaiements électronique
Paiements électronique
eGov Innovation Center
 
French_iSignthis Brochures
French_iSignthis BrochuresFrench_iSignthis Brochures
French_iSignthis Brochures
John Karantzis
 
Guide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électroniqueGuide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électronique
Idaraty.tn
 
5 Atrait - Concours
5 Atrait - Concours5 Atrait - Concours
5 Atrait - Concours
mmmaroc
 
powerpoint de la séance1.2 E-commerce and Internet Marketing
powerpoint de la séance1.2 E-commerce and Internet Marketingpowerpoint de la séance1.2 E-commerce and Internet Marketing
powerpoint de la séance1.2 E-commerce and Internet Marketing
sciafrique
 
Internet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie HospitalièreInternet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie Hospitalière
ADIPh
 
Devoxx 2019 authentification
Devoxx 2019 authentificationDevoxx 2019 authentification
Devoxx 2019 authentification
Pascal Abaziou
 
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Paysite-cash France
 
Paiement en ligne
Paiement en lignePaiement en ligne
Un secteur à 100% conforme aux exigences de la loi 09/08.
Un secteur à 100% conforme aux exigences de la loi 09/08.Un secteur à 100% conforme aux exigences de la loi 09/08.
Un secteur à 100% conforme aux exigences de la loi 09/08.
Made In Morocco
 
e-commerce: Les Paiements électroniques;
e-commerce: Les Paiements électroniques;e-commerce: Les Paiements électroniques;
e-commerce: Les Paiements électroniques;
RodrigueKalumendo1
 
Comment obtenir un certificat SSL pour sécuriser son site internet?
Comment obtenir un certificat SSL pour sécuriser son site internet? Comment obtenir un certificat SSL pour sécuriser son site internet?
Comment obtenir un certificat SSL pour sécuriser son site internet?
ssleuropa
 

Similaire à Sécurité et Moyens de Paiements (20)

Chapitre 2
Chapitre 2Chapitre 2
Chapitre 2
 
e-commerce et sécurié
e-commerce et sécuriée-commerce et sécurié
e-commerce et sécurié
 
Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018
 
Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018Pagamenti Novi - Vendredi 20 Avril 2018
Pagamenti Novi - Vendredi 20 Avril 2018
 
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud   exemple de wikimedia (wikipedia)La fin du mot de passe pour accèder au cloud   exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
 
E paiement (2)
E paiement (2)E paiement (2)
E paiement (2)
 
Paiements électronique
Paiements électroniquePaiements électronique
Paiements électronique
 
Guide e commerce
Guide e commerceGuide e commerce
Guide e commerce
 
French_iSignthis Brochures
French_iSignthis BrochuresFrench_iSignthis Brochures
French_iSignthis Brochures
 
Guide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électroniqueGuide du promoteur en Tunisie - Commerce électronique
Guide du promoteur en Tunisie - Commerce électronique
 
5 Atrait - Concours
5 Atrait - Concours5 Atrait - Concours
5 Atrait - Concours
 
powerpoint de la séance1.2 E-commerce and Internet Marketing
powerpoint de la séance1.2 E-commerce and Internet Marketingpowerpoint de la séance1.2 E-commerce and Internet Marketing
powerpoint de la séance1.2 E-commerce and Internet Marketing
 
Internet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie HospitalièreInternet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie Hospitalière
 
Devoxx 2019 authentification
Devoxx 2019 authentificationDevoxx 2019 authentification
Devoxx 2019 authentification
 
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
Comment réduire vos impaysé et optimiser vos conversions avec le 3-D Secure D...
 
Paiement en ligne
Paiement en lignePaiement en ligne
Paiement en ligne
 
Un secteur à 100% conforme aux exigences de la loi 09/08.
Un secteur à 100% conforme aux exigences de la loi 09/08.Un secteur à 100% conforme aux exigences de la loi 09/08.
Un secteur à 100% conforme aux exigences de la loi 09/08.
 
SSL strip
SSL stripSSL strip
SSL strip
 
e-commerce: Les Paiements électroniques;
e-commerce: Les Paiements électroniques;e-commerce: Les Paiements électroniques;
e-commerce: Les Paiements électroniques;
 
Comment obtenir un certificat SSL pour sécuriser son site internet?
Comment obtenir un certificat SSL pour sécuriser son site internet? Comment obtenir un certificat SSL pour sécuriser son site internet?
Comment obtenir un certificat SSL pour sécuriser son site internet?
 

Sécurité et Moyens de Paiements

  • 1. Sécurité et Moyens de Paiements ECITV - 18 Juin 2015
  • 2. Plan • Présentation • C’est quoi la sécurité ? • Pourquoi sécuriser une application ? • Comment fonctionne un paiement en ligne ? • E-Commerce, des nouveaux risques • Moyens de paiements • Protection des paiements • Prestataires de paiements
  • 3. Présentation Frédéric BAILLON Président de Darkmira fbaillon@darkmira.fr Plusieurs années dans différents environnements traitant de sécurité
  • 4. C’est quoi la sécurité ? Quand peut on dire que nous sommes en sécurité ?
  • 5. Penser la sécurité Comment pense-t-on la sécurité ? C’est quoi la sécurité ?
  • 7. Fonctionnement d’une serrure C’est quoi la sécurité ? Images depuis http://korben.info/sensibilisation-au-lockpicking.html
  • 8. Fonctionnement d’une serrure C’est quoi la sécurité ? Images depuis http://korben.info/sensibilisation-au-lockpicking.html
  • 9. Je n’ai pas la clé • Le crochetage • Les bumpkeys et les pickguns, • L’impression, la copie de clé illicite et la fabrication de passe-partout... C’est quoi la sécurité ?
  • 10. Le crochetage C’est quoi la sécurité ?
  • 11. Pourquoi sécuriser une application ?
  • 12. Aspect juridique Un accroissement des responsabilités des dirigeants face à la sécurité des informations numériques • + de protection des données • + de traçabilité • Nul n’est censé ignorer la loi • Sensibilisation du personnel interne / externe • Mettre l’entreprise en conformité avec la législation Engagement de la responsabilité civile et / ou pénale • Directive européenne : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amendes Pourquoi sécuriser une application ?
  • 13. OWASP OWASP : Open Web Application Security Project - Organisation mondiale à but non lucratif http://www.owasp.org Son rôle : sensibiliser à la sécurité des Applications Web pour aider à prendre les bonnes décisions en matière de sécurité Evènements et présence : ● Des conférences à travers le monde ● Des listes de diffusion spécifiques ● Des chapitres locaux Des matériels : ● documentations (Top10, Cheats Sheets, Normes, Guides, …) ● outils (Samy, ZAP) ● code (Librairies) Pourquoi sécuriser une application ?
  • 14. Fonctionnement du web Pourquoi sécuriser une application ? Fonctionnement du web
  • 15. Injection SQL Pourquoi sécuriser une application ? Dès lors qu’un utilisateur peut interagir avec le site, il peut aussi entrer des informations non attendues. Une requête SQL classique pour la vérification de mots de passe est SELECT * from admins WHERE login='$login' AND password='$password' Que se passe-t-il si je rentre pour l’identifiant ? ' OR 1=1# la requête devient alors SELECT * from admins WHERE login='' OR 1=1
  • 16. Méditation créative 1 2 3 4 5 6 7 8 9 relier les 9 trésors 4 lignes droites sans lever le stylo Pourquoi sécuriser une application ?
  • 17. Comment fonctionne un paiement en ligne ? 1ère étape Le site marchand ou le PSP (Payment Service Provider) génère le formulaire pour collecter les données de la carte du client et l’envoi au navigateur du client. 2ième étape Le client saisit les informations de sa carte et valide le formulaire. Le navigateur envoie donc les données de la carte au PSP ou au site marchand. 3ième étape Les données sont reçues par le PSP ou le site marchand et transmises au système de paiement pour autorisation. Les données doivent absolument être chiffrées lors du transit entre les différentes parties
  • 18. E-commerce Le paiement sans contact • fait directement à partir d'une carte ou d'un téléphone mobile Le e-commerce • possible à partir d’un numéro de carte bleue et d’une date de fin de validité
  • 19. E-commerce La sécurité E-Commerce • doit être partie intégrante du processus de sécurité d’une application • a ses propres spécificités et est un des principaux (et des plus visibles) composants affectant l’utilisateur final au travers de ses paiements sur Internet
  • 20. Moyens de paiements Carte bleue Vous avez vraiment besoin d’explication ? E-carte bleue • service bancaire qui génère un numéro de carte éphémère et pour un montant maximum pour chaque transaction à réaliser sur Internet • le numéro de carte bancaire réelle n’est pas utilisé et n’apparaît donc pas dans la transaction • le montant maximum de l’e-carte est défini et le marchand ne pourra pas utiliser un montant supérieur
  • 21. Moyens de paiements M-Paiement • toutes les transactions effectuées depuis un téléphone mobile, le paiement peut être débité • d’une carte bancaire • d’un porte-monnaie électronique • d’une facture d’opérateur téléphonique • 4 catégories de paiements par mobile • paiement en ligne • paiement sans contact sur une borne • transfert d’argent de mobile à mobile • paiement par SMS • Exemples de technologies • Internet Mobile • NFC • SMS • QR Code • Bluetooth
  • 22. Moyens de paiements Google Wallet • système de paiement mobile développé par Google • permet de stocker ses cartes de débits, crédits, … • peut utiliser la technologie NFC pour le paiement sans contact avec les terminaux de paiements Depuis 2013, Google a intégré Gmail et Google Wallet pour pouvoir envoyer de l’argent en pièce jointe d’e-mails. • le code PIN à 4 chiffres de l’application peut être trouvé assez rapidement grâce au bruteforce (10 000 combinaisons) • facilement sujet à des attaques dès lors qu’une faille est découverte sur le système du téléphone car stocké directement en crypté sur le téléphone • il est également recommandé de ne pas “rooté” son téléphone Android
  • 23. Moyens de paiements Et bien d’autres • Apple Pay • Amazon Payment • Paypal (porte-monnaie électronique) • ...
  • 24. Pré requis Pré requis essentiels d’une bonne sécurité E-commerce • Intégrité • Non répudiation • Authenticité • Confidentialité • Chiffrement • Disponibilité Protection des paiements
  • 25. Mesures Des mesures à prendre pour assurer la confiance • Chiffrement • Signature Digital • Certificats de sécurité Protection des paiements
  • 26. HTTPS • Couplage du protocole HTTP avec une couche de chiffrement (comme SSL) • Protocole de transfert hypertexte sécurisé • Permet à l’utilisateur de vérifier l’identité du site Web • Certificat d’authentification émis par une autorité tierce réputée fiable • Garantit la confidentialité et l’intégrité des données transmises entre le navigateur du client et le serveur • Un meilleur référencement du site e-commerce (http://googlewebmastercentral.blogspot.fr/2014/08/https-as-ranking-signal.html) Protection des paiements
  • 27. Certificat SSL • signé par un tiers de confiance qui assure le lien entre l’entité numérique (le site) et l’entité physique (la société) • active le chiffrement des donnés au travers du protocole HTTPS • 2 méthodes de chiffrement : clés asymétriques et clés symétriques • Plusieurs types de certificats • X.509 standard : certificat classique, chiffrement entre 40bits et 256bits • X.509 étendu : affiche l’indicateur EV (Extended Validation) • X.509 wildcard : permet de rendre générique une partie du domaine (ex : *.darkmira.fr -> www.darkmira.fr, tour.darkmira.fr, mais pas darkmira.fr) • X.509 multisite : certificat contenant une liste de noms de domaine
  • 29. Certificat SSL • Certificate • Version • Serial Number • Algorithm ID • Issuer • Validity • Not Before • Not After • Subject • Subject Public Key Info • Public Key Algorithm • Subject Public Key • Issuer Unique Identifier (optional) • Subject Unique Identifier (optional) • Extensions (optional) • … • Certificate Signature Algorithm • Certificate Signature
  • 31. Tokenisation Problématique : Les données sensibles associées à la carte de paiement et à son détenteur ne doivent être détenues que entre l’acheteur et la banque / système de paiement. Tokenisation - solution sécurisée appliquée aux paiements en ligne • solution récente • Apple Pay l’intègre depuis son lancement en 09/2014 • Visa et Mastercard approuve au même moment la tokenisation comme solution de sécurisation des transactions (en particulier sans carte) => En cas de vol ou de failles permettant de lire les données, le risque induit par la transmission de données sensibles est grandement réduit. Protection des paiements
  • 32. Tokenisation Les tokens doivent • remplacer les données sensibles par des substituts • n’ont aucun lien avec les données • être créés à partir de caractères / nombres aléatoires et doivent n'avoir aucun lien avec les données qu'ils remplacent • avoir le même format, la même taille et les mêmes caractéristiques que les données originales Norme EMV - https://www.emvco.com/specifications.aspx?id=263 Protection des paiements
  • 33. 3D Secure • Protocole sécurisé (basé sur XML) de paiement sur Internet • Utilisé par Visa et Mastercard (appelation Verified by Visa et Mastercard SecureCode) puis American Express ... • Ajoute une couche de sécurité aux paiements en ligne en demandant une information d’identification en plus de l’information financière Une des méthodes principales pour combattre la fraude • Redirige le client sur une page spécialisée de la banque pour renseigner une ou plusieurs informations personnelles • envoi d’un code par sms sur son téléphone • un mot de passe • une date de naissance • un e-mail Protection des paiements
  • 34. 3D Secure passe une commande Utilisateur essaye de payer en renseignant les informations de sa carte 3D Secure demande des informations pour identifier l’utilisateur (ex. : code par SMS) Informations non valides Transaction refusée Continue avec la transaction Protection des paiements
  • 36. Card Security Code Code de sécurité • valide l’authenticité de la carte utilisée lors d’une transaction financière • valide que le consommateur a bien la carte en main • imprimé sur le devant ou le dos des cartes de crédits • créé pour les paiements où le code PIN ne peut être utilisé (téléphone, mail, achat sur internet) • différents noms suivants les cartes (CVN2, CVC2, CID, CVV2, …) Apparition • Mastercard 1997 • American Express 1999 • Visa 2001 Les paiement sans contact ont leur propre système de code généré électroniquement comme le ICVV ou le Dynamic CVV Protection des paiements
  • 37. Card Security Code La PCI DSS interdit le stockage du CSC lors d’une transaction • un marchand ne doit ainsi pas stocker ce code dans son système lorsque vous lui fournissez • si les données de transactions sont volées, le pirate n’obtient pas le code et ne peut pas effectuer d’autres achats Le code de sécurité n’est pas inclus dans la bande magnétique ni la carte à puce • donc n’est pas transmis automatiquement lors d’une transaction face à face avec un marchand Protection des paiements
  • 38. Card Security Code 3 numéros sur le dos de la carte pour Visa / Mastercard 4 numéros sur le devant pour American Express Il est recommandé de retenir ce numéro et de l’effacer de la carte Protection des paiements
  • 39. Chaque banque française (CIC, HSBC, BNP, …) propose plusieurs services pour intégrer leur solution de paiement à votre site e-commerce. Chaque formule apporte plus ou moins de fonctionnalités et supports : • leur kit API (à intégrer à votre site e-commerce) • la page de paiement international • le paiement multi-devise • la gestion multi-compte / multi-site • le support • … Pour la plupart, le kit propose sur le site des paiements par : • Cartes bancaires ou cartes privatives (Aurore, American Express, …) • Paiement par débit du compte via Paypal • Facilité de paiements via la mise en place de crédits en ligne Il convient ainsi de comparer les différentes banques / services et leurs tarifs : • des frais d’ouvertures • un abonnement mensuel • des commissions sur les ventes Les solutions bancaires Prestataires de paiements
  • 40. Les solutions Paypal • qui ne connaît pas Paypal ? • créé en 1998, racheté par Ebay en 2002 • service de paiements en ligne pour payer ses achats sur internet, recevoir des paiements, transférer de l’argent ou en recevoir • inscription gratuite et ne nécessite pas l’obtention d’un contrat de vente à distance • montant fixe par vente de quelques centimes + commission sur les ventes (possibilité d’un abonnement mensuel pour bénéficier de tarifs + avantageux) Paypal propose la possibilité de ne pas avoir à saisir sa carte bancaire à chaque transaction d’achat • possibilité de renseigner son compte bancaire ou sa carte de crédit pour débit lors d’une transaction • compte protégé uniquement par un e-mail et un mot de passe (nécessité de fournir un mot de passe fort) Prestataires de paiements
  • 41. La solution Stripe • Simple d’utilisation et opérationnel rapidement • Installation rapide, peu de configuration • possibilité d’intégrer Stripe sans avoir à ce créer un compte marchand • s’intègre très facilement aux checkouts, modules existants pour les CMS • montant fixe de 0,30cts + 2,9% sur les ventes • accessible actuellement dans peu de pays (malgré une bêta en France) • Supporte l’Apple Pay et les transactions Bitcoin Prestataires de paiements
  • 42. Autres solutions • Payplug • HiPay • ... ou pour des besoins adaptés à un pays précis, ex: le brésil, PagSeguro