par | 21 Oct 2015

Les données de paiement, un sujet brûlant pour les sites eCommerce

Pour améliorer l’expérience d’achat de leurs clients et faciliter les transactions, certains sites eCommerce ont eu l’idée d’enregistrer les coordonnées bancaires de leurs clients réglant leurs achats par carte bancaire, afin que ces derniers n’aient pas à les entrer lors de chaque commande. Est-ce une bonne idée ? Découvrez dans cet article quelles données bancaires peuvent être enregistrées et pourquoi.

Dois-je enregistrer les données de paiement ?

#eCommerce : Dois-je enregistrer les données de paiement ? Cliquez pour tweeter

C’est simple : les hackers et les voleurs d’identités ne peuvent pas voler ce que vous n’avez pas. Notre premier conseil est donc de ne pas collecter ou d’enregistrer les données clients confidentielles dans votre plateforme eCommerce, surtout si elles ne sont pas essentielles à votre activité. Cette technique est appelée : “data minimization” ou “minimisation des données”. Cela signifie que vous devez garder uniquement les données qui vous apportent un avantage concurrentiel, et purger le reste (What Customer Data Should You Keep–And Toss? Forbes).

Selon le GIE des cartes bancaires (Visa ou Mastercard),  il est interdit de stocker le cryptogramme visuel, code de trois chiffres situé au dos de la carte bancaire (CVC), en dehors du temps de transaction. Ce code est demandé afin de s’assurer que la personne entrant les données bancaires est bien le titulaire de la carte. En pratique, les seules données pouvant être enregistrées sont : le nom, le numéro de carte bancaire, la date d’expiration de celle-ci et le type de carte dont il s’agit.

Si les données bancaires de vos clients tombaient entre les mains de hackers, vous pouvez être amené à payer plusieurs millieurs d’euros en amendes et dommages-intérêts (4 Ways to Improve Ecommerce Security for the Holidays, PracticalEcommerce).

Selon un rapport publié par IBM et l’institut Ponemon, le coût moyen par données volées est autour de 150 euros en 2015, avec une augmentation de 12% par rapport à l’année dernière (132 euros). Alors autant éviter de jouer avec le feu…

Les services de paiement en ligne sont-ils la meilleure solution ?

#eCommerce : les services de paiement en ligne sont-ils la meilleure solution ? Cliquez pour tweeter

Les données bancaires doivent être traitées par un organisme tiers spécialisé dans ce domaine. Une partie de ces compagnies, également appelées “services en ligne de traitement de cartes de crédit” sont souvent dirigées par des entreprises de cartes de crédit dont la notoriété et la sécurité ne sont plus à prouver (Cybersource/visa, Accertify/American Express, Datacash/Mastercard). De manière générale, l’ensemble de ces services de paiement sont certifiés PCI DSS et respectent le standard de sécurité des données pour l’industrie des cartes de paiement (plus d’informations sur la norme PCI DSS).

Beaucoup de fournisseurs, y compris Authorize.Net, et PayPal, offrent des services qui vous permettront de vous décharger des informations de paiement. Les principales plates-formes de eCommerce telles que Magento et Shopify sont compatibles avec la plupart des passerelles et systèmes de paiement.

Avec un service de paiement en ligne, les données transitent tout de même par l’infrastructure du marchand. Si votre site de eCommerce est vulnérable ou infecté, les pirates seront en mesure de voler les informations de paiement. Bien choisir son service de paiement en ligne est une première étape, mais n’est pas suffisant pour protéger l’ensemble de vos données clients et la notorité de votre site eCommerce.

OZON est une solution de cybersécurité conçue pour les principales plates-formes eCommerce du marché incluant PrestaShop, Magento et WooCommerce. La solution détecte les vulnérabilités et malwares, protège contre les cyber-attaques et identifie les transactions frauduleuses en temps réel. Testez OZON dès maintenant : vous profitez d’une offre d’évaluation gratuite pendant un mois.

Share This