L’ACS (Access Control Server) est un élément crucial dans le contexte de l’authentification forte, notamment dans le cadre des paiements électroniques et des transactions en ligne. L’ACS est une composante qui fait partie du protocole 3-D Secure, un protocole de sécurité utilisé pour les transactions de commerce électronique. Il est basé sur le protocole EMV 3-D Secure (3DS 2.0), et gère les échanges de données entre les commerçants, les émetteurs de cartes et les porteurs.
L’ACS peut jouer un rôle important dans la vérification de l’identité du titulaire de la carte lors d’une transaction en ligne. Lorsqu’un utilisateur effectue un paiement en ligne, l’ACS intervient pour vérifier l’identité de l’utilisateur en demandant une authentification supplémentaire, souvent sous la forme d’un code ou d’une autre information confidentielle.
L’ACS peut également jouer un rôle dans la gestion des risques, en analysant divers facteurs pour déterminer le niveau de risque associé à une transaction spécifique et en décidant s’il est nécessaire d’exiger une authentification supplémentaire.
Le système ACS (Access Control Server) stocke les informations d’enregistrement et d’authentification des clients. Ces données, en particulier celles relatives à l’inscription et à l’authentification des porteurs.
En résumé, l’ACS est un composant essentiel de l’authentification forte dans les paiements électroniques, et il est utilisé pour renforcer la sécurité des transactions en ligne en vérifiant l’identité des utilisateurs.
Dans le paysage numérique actuel en évolution rapide, un traitement transparent et sécurisé des transactions est essentiel pour les institutions financières, les passerelles de paiement et les entreprises en ligne. La norme ISO 8583, une norme largement acceptée pour la messagerie financière, facilite la communication entre les différentes entités impliquées dans les transactions électroniques.
ISO 8583 est un protocole transactionnel utilisé par une multitude d´applications dans le domaine bancaire. En effet, la plupart de nos transactions de cartes sont véhiculées via le protocole ISO 8583. C’est un protocole utilisé dans les échanges en ONLINE en monétique.
Il définit une interface a travers laquelle deux entités distincts peuvent s’échanger des messages monétiques. C’est-à-dire qu’il définit le format du message à échanger entre les différents acteurs de la monétique pour harmoniser leur communication. La version 1993 sera utilisée dans cette présentation.
MTI
BITMAT
DATA ELEMENT
BITMAP : Indique la présence ou non d’un élément dans le message, représenté sur 16 positions en hexadécimal. Un message ISO 8583 peut contenir jusqu’à 192 DE, ces DE sont repérés à l’aide de trois (3) bitmaps.
Bitmap Primaire: indique la présence des éléments de 1 à 64, il est toujours présent dans un message ISO 8583; Informe sur la présence éventuelle du bitmap secondaire. Il est sur 16 positions Hexa (exploitable sur 64 positions binaires) indique la présence par (1 ou 0) des champs dans le message.
Bitmap Secondaire: indique la présence des éléments de 65 à 128, informe sur la présence éventuelle du bitmap tertiaire.
Bitmap tertiaire: informe sur la présence des éléments de 129 à 192
Data Eléments (DE) : Les DE sont des champs contenant les données de la transaction. Il y a jusqu’à 192 DE défini dans la norme ISO 8583 version 1993. Un élément du message est caractérisé par : Une position (numéro entre 1 et 192) Un type Une longueur Une valeur
Le 3D Secure est un protocole de sécurité basé sur XML conçu pour renforcer la sécurité des transactions en ligne effectuées par carte de crédit et de débit. Également connu sous le nom de Three-Domain Secure d’EMV 3-D, il s’agit d’un protocole de communication développé par EMVCo pour permettre aux consommateurs de s’authentifier auprès de l’émetteur de leur carte lorsqu’ils effectuent des achats en ligne sans avoir leur carte physique (Card Not Present). Cette couche de sécurité supplémentaire vise à prévenir les transactions non autorisées effectuées sans la présence physique de la carte et à protéger les commerçants contre les risques de fraude.
Les trois domaines impliqués comprennent le domaine marchand/acquéreur (gateway), le domaine de l’émetteur et le domaine d’interopérabilité, qui englobe les systèmes de paiement tels que le serveur de répertoire et le serveur de contrôle d’accès (ACS – Access Control Server).
Le processus 3D Secure ajoute une étape d’authentification supplémentaire pour les paiements en ligne, nécessitant par exemple un mot de passe unique, un code SMS ou un code PIN temporaire pour compléter la transaction. ( En savoir plus sur la 3D Secure)
Le fonctionnement 3Ds
Architecture 3Ds
ÉTAPE 1 –Collecte d’informations sur la carte : pendant cette première étape, le titulaire de la carte saisit les données de sa carte bancaire. ÉTAPE 2 -Confirmation d’inscription à 3D Secure : ensuite le système vérifie si la carte est enregistrée ou non pour la 3D Secure. Si oui, le client est alors redirigé vers une page 3D Secure fournie par le fournisseur de la carte.
ÉTAPE 3 -Phase d’Authentification de sécurité : Sur le site Web du fournisseur, le client sera invité à entrer son mot de passe unique ou un code d’authentification à usage unique (OTP) qui sera envoyé soit par mail à son adresse ou envoyé soit à son numéro de téléphone.
ÉTAPE 4 Si l’authentification du titulaire de la carte a réussi, le titulaire de la carte est ensuite redirigé vers le site Web du commerçant pour confirmation du paiement. La banque acquéreuse autorise la transaction (en communiquant avec le réseau de cartes de crédit et la banque émettrice.
ÉTAPE 5 -Confirmation de paiement : Une fois de retour sur le site du marchand, le client recevra la confirmation d’un paiement (réussi échec). La réponse de la transaction (succès ou échec) est renvoyée au consommateur.
Notion importante : Autorisation vs authentification
L’autorisation représente la validation par la banque émettrice de l’exactitude des informations de la carte fournies, ainsi que l’approbation de la facturation conformément à des règles internes établies (telles que l’autorisation des transactions en ligne, des pays d’achat autorisés, la disponibilité des fonds, etc.).
Quant à l’authentification, elle implique que le consommateur démontre à la banque émettrice qu’il est bien la personne autorisée à effectuer la transaction. Ce processus d’ « authentification » se déroule de manière similaire à celui de la connexion à un site Web.
Il est important de noter que lorsqu’on compare les deux processus décrits ci-dessus (les paiements avec et sans 3D Secure), le paiement sans 3D Secure ne permet pas la communication directe entre la banque émettrice et le consommateur. Dans le cadre du processus d’autorisation de la banque acquéreur, la banque émettrice se limite à vérifier les informations de la carte du consommateur et à autoriser ou refuser la transaction en fonction des paramètres du compte tels que la validité de la carte, la disponibilité des fonds, la non expiration de la carte, etc.
Un terminal de paiement, connu aussi sous le nom de terminal de point de vente (TPV), terminal de carte de crédit, ou TPE, est un appareil conçu pour communiquer avec des cartes de paiement afin d’effectuer des transferts de fonds électroniques.
Ces dispositifs permettent aux commerçants d’insérer, de scanner ou d’entrer manuellement les informations requises des cartes de crédit/débit, de prendre en charge les transactions sans contact via la technologie NFC, et de transmettre ces données à leur fournisseur de services pour autorisation. Ensuite, les fonds sont transférés au commerçant.
Comment fonctionne le paiement via un TPE ? Lors d’un achat en point de vente, également appelé point de vente, la transaction est finalisée lorsque le client effectue le paiement en échange de biens ou de services. Toutes sortes de moyens de paiement peuvent être utilisées, comme l’argent liquide, les cartes de débit, les cartes de crédit, les paiements mobiles, voire même les Bitcoins.
Les différents types de terminaux
TPE fixe pour ligne téléphonique ou accès ADSL
Il s’adresse aux commerçants qui font de l’encaissement de comptoir. Il peut être relié soit sur une ligne téléphonique ou soit sur un accès ADSL avec une prise RJ 45 à condition de disposer un abonnement spécifique ADSL pour TPE. Il permet de faire des achats de toute nature. Le client n’a besoin que de sa carte à mémoire avec son code secret pour pouvoir effectuer le règlement de ses achats. Grâce à une liaison directe avec l’ordinateur de la banque, il permet de transférer immédiatement toutes les informations relatives à l’opération (achat) aux différentes banques concernées (la banque du commerçant pour l’encaissement) et la banque du client (pour décaissement).
Le T.P.E comprend donc : un clavier, un équipement de visualisation, un lecteur de carte, un poste client pour la frappe de code secret et une imprimante.
TPE GPRS Portable
Grace à son système de réseau GPRS, il fonctionne partout à condition d’avoir du réseau à l’aide d’une puce GPRS d’un opérateur. Le système GPRS permet d’être connecté. Il faut noter que les TPE GPRS sont de plus en plus remplacés par les 3G et 4G
TPE Bluetooth portable et sans contact
Ce TPE dispose d’une technologie sans contact ou NFC permettant de réaliser un encaissement sans introduire la carte bancaire dans le terminal CB ou payer via son téléphone portable.
L’introduction des nouvelles technologies dans le secteur financier a engendré l’émergence de nouvelles méthodes de transaction, dont la monétique. Cette dernière représente un système visant à enregistrer diverses informations financières des utilisateurs sur des cartes à puce, modifiant ainsi les habitudes de dépenses des individus. Ces avancées permettent aux particuliers de se passer du transport d’importantes sommes d’argent liquide. Alors, c’est quoi la « monétique » ?
La BCEAO (Banque Centrale des États de l’Afrique de l’Ouest) définit la monétique comme l’ensemble des processus électroniques, informatiques et télématiques requis pour la gestion des cartes bancaires et des transactions qui y sont associées. En d’autres termes, il s’agit de l’ensemble des systèmes et méthodes qui permettent à un client d’effectuer des retraits, des paiements ou d’autres services bancaires à l’aide d’une carte. (Voir définition des termes monétique)
Architecture du système monétique
La monétique est un écosystème qui fait intervenir plusieurs acteurs. Elle se compose de cinq (5) piliers, dont le support (la carte bancaire), l’émetteur (une banque), le porteur (titulaire de la carte bancaire, entreprise ou personne physique), l’acquéreur (la banque du commerçant) et l’accepteur (le commerçant acceptant le paiement électronique). Le fonctionnement du système monétique met en relation plusieurs acteurs d’une opération de paiement : porteur, accepteur, acquéreur, émetteur et le réseau de paiement.
Emetteur : Il s’agit de l’organisme financier (par exemple, une banque) qui met à disposition de son client (le porteur) un support (la carte bancaire). L’émetteur assure la sécurité du système bancaire et fournie une assurance en cas d’utilisation frauduleuse du moyen de paiement. Il détient le compte associé à la carte du porteur.
Acquéreur : Il s’agit de l’organisme financier (par exemple, banque) qui met à disposition de son client (un commerçant, artisan ou profession libérale …) des services d’acquisition de transactions de paiement électronique, notamment grâce à un terminal de paiement électronique (TPE). Plus généralement, il s’agit de la banque du commerçant (pour les paiements) ou la banque du Guichet Automatique de Banque (GAB) ou s’effectue le retrait. De façon générale, l’acquéreur pilote le système d’acceptation de la carte. Accepteur : Toute personne morale (commerçant, artisan, ou profession libérale) acceptant les moyens de paiement électronique en guise de règlement. Dans le cas des automates bancaires (GAB, DAB) l’accepteur est également l’acquéreur (la banque offrant le service de retrait).
Si c’est un commerçant, il signe un contrat commerçant avec l’acquéreur. Il dispose d’un compte au niveau de cet acquéreur, il paiera aussi des commissions par rapport au montant des transactions acceptées. Il doit signaler à sa clientèle l’acceptation de type de paiements par l’affichage de vitrophanie (par ex) fournie par l’acquéreur. Les DAB/GAB sont eux considérés comme des accepteurs particuliers qui appartiennent généralement à la banque acquéreur.
Porteur : Il s’agit de la personne physique qui porte la carte de paiement. Le porteur peut être titulaire du compte courant auquel la carte est adossée (compte sur lequel seront prélevés les débits) ou non (carte affaires portée par des employés alors qu’elle est adossée à un compte de l’entreprise, carte portée par un adolescent alors qu’elle est adossée au compte d’un parent, etc.). Il doit souscrire à un contrat porteur carte bancaire où sont indiquées les conditions générales portant, entre autres, sur la délivrance, l’utilisation, la sécurité et le renouvellement de la carte. En règle générale, le porteur s’engage notamment à « tenir absolument secret son code confidentiel et ne pas le communiquer à qui que ce soit » ainsi que de « veiller à le composer à l’abri des regards indiscrets » sous peine d’engager sa responsabilité. Il est important de noter que le porteur de la carte n’en devient pas propriétaire. La carte reste la propriété de la banque qui peut décider de la reprendre si cela s’avère nécessaire.
Les réseaux : Le réseau monétique regroupe les organismes financiers au sein d’un même pays, ou appartenant à des zones géographiques différentes.
Les réseaux régional (GIM-UEMOA) : Le Groupement Interbancaire Monétique de l’Union Economique et Monétaire Ouest Africaine (GIM-UEMOA) :La BCEAO joue le rôle de fédérateur pour le volet de la monétique et de l’interbancarité au travers de la création des deux structures interbancaires à vocation complémentaire, dotées de personnalités juridiques distinctes à savoir : d’une part, une structure de gouvernance de la monétique régionale créée en février 2003, sous forme de GIE et dénommée le « Groupement Interbancaire Monétique de l’Union Economique et Monétaire Ouest Africaine » (GIM-UEMOA), est chargée notamment d’assurer le suivi de la réglementation, la normalisation du système monétique interbancaire, l’élaboration de la tarification interbancaire, la veille technologique, les relations avec les émetteurs internationaux, la promotion des cartes interbancaires et la formation de ses membres. D’autre part, une structure de traitement ou «Centre de Traitement Monétique Interbancaire » (CTMI-UEMOA).
Les réseaux internationaux : Il s’agit de la solution permettant aux membres d’émettre des cartes co-marquées GIM-MasterCard, GIM-VISA et GIM-UNION PAY et d’accepter les cartes MasterCard, VISA et UNION PAY sur leurs DAB/GAB.
