Aller au contenu principal
Europay MasterCard Visa

Objectifs :

L’EMV (Europay MasterCard Visa) est une norme imposée par les réseaux internationaux Visa et MasterCard afin d’assurer l’interopérabilité mondiale des paiements par carte à puce dans un environnement particulièrement sécuritaire.

Basée sur la technologie de la puce, la norme EMV a été conçue dans un contexte multi-applicatif. Ceci permet à la carte bancaire de supporter plusieurs applications en sus de celles de paiement et de retrait utilisées.

ORGANISME DE GESTION

  • EMVCo

CONFORMITE EXIGEE

  • GIM-UEMOA
  • Membres
  • Personnalisateurs de cartes
  • Fabricants de terminaux de paiement

AVANTAGES

L’EMV est un enjeu important pour les banques car elle leur permet de renforcer la sécurité lors de l’utilisation de la carte, cette dernière étant notamment plus difficile à contrefaire. Par ailleurs, l’offre multi-applicative qu’elles peuvent développer grâce à la puce leur donne l’opportunité d’intégrer des services non bancaires dans leurs produits monétiques.

L’apport sécuritaire majeur de l’EMV est le renforcement de la protection contre la fraude à travers plusieurs facteurs concomitants :

 


  • Lutte contre la contrefaçon des cartes à piste magnétique grâce à leur remplacement par des cartes à puces.

  • Lutte contre l’utilisation frauduleuse des cartes perdues ou volées grâce à la généralisation (au niveau international) de l’usage du code confidentiel (code PIN) pour authentifier le porteur.

  • Amélioration de la gestion du risque porteur par l’émetteur (via, par exemple, des demandes d’autorisation qui seront générées en fonction des caractéristiques de la transaction en cours, mais également des transactions précédentes enregistrées sur la carte, du profil du porteur, …). 

  • Amélioration de l’authentification de la transaction (à travers l’authentification de la carte, de l’émetteur, etc.).

Et également un bref rappel historique sur le Transfert de responsabilité (en anglais Liability shift)


  • Transfert de Responsabilité EMV :  

En Février 2003, le conseil d’administration de VISA EUROPE établissait le principe du Transfert de Responsabilité ainsi que les règles le régissant, en Octobre 2003 la zone CEMEA adoptait les mêmes règles.

L’application du Transfert de Responsabilité devenait effective le 01 Janvier 2005 au niveau de la zone VISA EUROPE, et plus tard le 01 Janvier 2006 au niveau de la zone CEMEA.

En début d’année 2005, le conseil d’administration de Visa International entérinait un accord bilatéral entre les zones Visa CEMEA et Visa EUROPE portant sur le principe du Transfert de Responsabilité.

Cet accord devait voir son effectivité à compter du 1er Janvier 2006, selon ces mêmes accords il était stipulé que les transactions ATM n’étaient pas concernées dans une première phase et qu’elles devraient l’être dans un futur proche.

Ainsi en Octobre 2006, un amendement fût rajouté par le conseil d’administration de VISA INTL  sur les accords  portant sur le principe du Transfert de Responsabilité déjà en vigueur entre la zone VISA CEMEA et la zone VISA EUROPE et précisait que désormais les transactions ATM seraient concernées par le Transfert de Responsabilité avec comme date d’effectivité le  01 Juillet 2008;

Including ATM Transactions


  • Impact chez l’Acquéreur

Les acquéreurs au travers de leurs Gabs qui ne seront pas en mesure de traiter des transactions par carte à puce EMV s’exposent à des risques de fraude en cas de contrefaçons de cartes à puce émises par la zone VISA EUROPE.


  • Impact chez  l'Emetteur

Les émetteurs qui auront investi dans la technologie puce EMV bénéficieront de la protection liée au principe de Transfert de Responsabilité au moment où leurs cartes seront utilisées dans des distributeurs non certifiés EMV.


  • Résumé des Règles du Transfert de Responsabilité

Si dans deux zones concernées par le Transfert de Responsabilité, un émetteur est aux normes EMV et un acquéreur ne l’est pas, et que l’utilisation frauduleuse d’une carte EMV ait été favorisée du fait du non alignement de l’acquéreur aux normes EMV, la Responsabilité est engagée du côté de l’acquéreur, par contre dans le cas où les deux parties sont aux normes EMV, et que la transaction s’est faite au moyen d’une lecture de la puce et que le pin a été contrôlé, l’émetteur sera responsable de la transaction ou à défaut en cas de contestation il devra se référer aux règles Opérationnelles Internationales de VISA (VIOR)


  •  les transactions Intra Régionales entre un émetteur membre de la zone CEMEA et un Acquéreur membre de la zone CEMEA,  les règles du Transfert de Responsabilité s’appliquent à toutes les transactions dont la carte était présente, effectuées le ou après le 01 Janvier 2006, ceci intègre aussi les transactions ATM.

  • Pour les transactions Inter Régionales avec la zone VISA EUROPE (ex transaction entre un émetteur de la zone VISA CEMEA et un acquéreur de la zone VISA EUROPE ou l’inverse), les règles du Transfert de Responsabilité s’appliquent à toutes les transactions frauduleuses dont la carte était présente  (exceptées les transactions ATM) effectuées le ou après le 01 Janvier 2006.
Norme PCI DSS

Le GIM-UEMOA a finalisé avec succès son projet annuel de reconduite de sa certification à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), en tant que fournisseur de services level 1.

Le GIM-UEMOA est ainsi répertorié sur le registre mondial des fournisseurs de services certifiés PCI DSS, situé à l'adresse (www.visa.com/onthelist).

Cette présence sur le registre mondial est une garantie sur le volet sécuritaire et confirme la notoriété mondiale du GIM-UEMOA.

Protocole 3D SECURE

Dans le cadre du renforcement de la sécurisation des paiements en ligne effectués par les porteurs de cartes (GIM Pure, GIM- VISA, GIM-Mastercard) de ses membres et la réduction de la fraude commerciale, le GIM-UEMOA propose une solution 3D Secure dénommée GIM-eSecure. Elle permet aux émetteurs de mettre à la disposition de leurs porteurs une solution d’authentification forte lors des transactions e-commerce à la fois souple et efficace tout en répondant aux exigences sécuritaires de l’architecture 3D Secure. Ce service a été conçu pour être adaptable aussi bien pour les banques délégataires que les banques interbancaires.

Avantages

  • La protection renforcée des porteurs contre l’usage frauduleux de leurs cartes
  • La réduction de la fraude sur les paiements en ligne et lutte contre le piratage
  • Adaptable pour tous les membres avec une facilité de mise en œuvre

 

Norme ISO/IEC/22301

 ISO 22301 spécifie les exigences pour planifier, établir, mettre en œuvre, exploiter, surveiller, revoir, maintenir et améliorer en continu un système de management de la continuité d'activité (SMCA). Un SMCA est une partie du système de management global qui établit, met en œuvre, opère, contrôle, révise, maintient et améliore la continuité d'activité. Le GIM-UEMOA respecte les bonnes pratiques édictées par la norme.

 

Norme ISO/IEC/27001 DEFINITION

ISO 27001 spécifie les exigences relatives à l'établissement, à la mise en œuvre, au fonctionnement, à la surveillance, au réexamen, à la mise à jour et à l'amélioration d'un système de management de la sécurité de l'information (SMSI). Un SMSI est un ensemble de règles et de procédures qui couvre tous les contrôles juridiques, physiques et techniques impliqués dans les processus de gestion des risques pesant sur les informations d'une entreprise. Le GIM-UEMOA respecte les bonnes pratiques édictées par la norme.