La migration vers la technologie puce
Il convient de souligner que le développement des moyens de paiement dans le monde et la multiplication des services offerts par les banques, ainsi que la recherche d’une sécurité accrue des opérations par carte, ont amené les opérateurs tunisiens à être au diapason de cette évolution en adoptant l’utilisation de systèmes compatibles aux normes internationales dans le domaine de cartes à puce.
En choisissant de migrer vers la carte à puce, les Banques ont décidé d’équiper Monetique-Tunisie d’un centre de traitement disposant de serveurs pour le traitement des opérations véhiculées (autorisation, compensation) par la carte à puce et d’un centre de personnalisation complet qui offre aux banques et à toute entreprise utilisatrice de cartes, la possibilité de les personnaliser.
Les objectifs recherchés sont :
- La sécurisation des opérations
- L’ouverture de nouvelles perspectives pour l’émission des cartes
- La solution de la problématique de la gestion des petits montants
- Aide à l’exploitation
La migration vers la technologie puce
Les acteurs du secteur financier d’efforcent en permanence de se conformer aux plus récents impératifs dans le domaine des échanges commerciaux, de la technologie et de la sécurité. Les organismes impliqués dans les paiements par carte s’engagent dans une nouvelle phase de mise en conformité PCI.
Le standard PCI DSS (Payment Card Industry Data Security Standard) communément appelé PCI, est l’une des plus récentes initiatives destinées à répondre à la sophistication sans cesse croissante des méthodes criminelles.
Le standard PCI vise à renforcer la confiance des titulaires de cartes envers le système des cartes de paiement. Cette démarche passe par la sécurisation des données relatives aux cartes, à toutes les étapes de la transaction.
Le PCI bénéficie du soutien de tous les acteurs principaux dans l’industrie des cartes. En Septembre 2006, Amex, JCB, Discover Financial Services, Mastercard et Visa ont annoncé la création d’un conseil indépendant destiné à gérer le développement de standards PCI pour la sécurité des données.
PKI & EMV
Les cartes actuellement utilisées par les banques tunisiennes, et personnalisées par la SMT, sont des cartes mono-applicatives uniquement dédiées au support d’applications EMV.
Le rajout de l’application PKI dans les cartes bancaires tunisiennes implique l’utilisation de cartes JavaCard multi-applicatives indispensable pour héberger les 2 applications EMV et PKI.
Le passage de carte native à carte Java se traduit par une modification du script, une modification des fichiers de configurations XML dans Dexxis DP, ainsi que la création de clés dédiées aux cartes JavaCard dans le KMS.
Bien que la personnalisation de l’application PKI sera effectuée par l’ANCE, la SMT a la charge de rajouter le numéro d’identification fournie par la SMT aux données enregistrées durant la phase de personnalisation.
Ce numéro identification sera écrit dans une zone de la carte à puce librement accessible par le logiciel utilisé par l’ANCE pour la gestion PKI.
L’ANCE (Agence Nationale de Certification Électronique) est actuellement le seul FSCE (Fournisseur de Services de Certification Électronique) présent sur le marché tunisien, habilité à émettre des certificats
La problématique d’émission de cartes bi-usage EMV-PKI n’est pas seulement technique La cohabitation d’application EMV et PKI au sein d’une même carte ne pose en effet pas de difficulté technique et peut être réalisée facilement avec un niveau de sécurité équivalent à celui apporté par 2 cartes distinctes.
Dans la mesure où l’émetteur de la carte EMV et l’émetteur du certificat ne sont pas les mêmes, l’émission de cartes EMV-PKI oblige par contre à coordonner les processus de délivrance de cartes et de production du certificat.
Les paramètres de sécurité des applications PKI et EMV sont totalement indépendants. Le porteur disposera donc d’un PIN bancaire potentiellement différent de son PIN PKI.
LES DEFIS
- Sécuriser la chaîne des opérations électroniques
- Atteindre une plus large base de clientèle
- Structurer les services internet en ligne
- Supporter les opérations bancaires et d’e-citoyenneté
Exemple de Solution
La solution d’authentification, fondée sur un 64K carte d’EPROM avec Java et PKI.
La carte contient :
- EMV présente
- Un Porte Monnaie Electronique
- ID électronique pour Banking en ligne et e-commerce
- Les services Gouvernementaux
- Solution de forte d’authentification