🔐 𝗘𝗻𝗰𝗿𝘆𝗽𝘁𝗶𝗼𝗻 𝘃𝘀. 𝗧𝗼𝗸𝗲𝗻𝗶𝘇𝗮𝘁𝗶𝗼𝗻
Les commerçants et les FinTechs qui traitent les données des titulaires de cartes ont souvent opté pour le chiffrement comme méthode de prédilection.
Mais voilà le problème ⤵️
𝘌𝘯𝘤𝘳𝘺𝘱𝘵𝘪𝘰𝘯 𝘴𝘵𝘪𝘭𝘭 𝘳𝘦𝘵𝘢𝘪𝘯𝘴 𝘵𝘩𝘦 𝘰𝘳𝘪𝘨𝘪𝘯𝘢𝘭 𝘥𝘢𝘵𝘢, 𝘮𝘦𝘢𝘯𝘪𝘯𝘨, 𝘪𝘵 𝘤𝘢𝘯 𝘣𝘦 𝘳𝘦𝘷𝘦𝘳𝘴𝘦 𝘦𝘯𝘨𝘪𝘯𝘦𝘦𝘳𝘦𝘥
Lorsque les commerçants chiffrent les PAN, ils protègent les données en transit ou au repos, mais ces données existent toujours sous leur forme originale quelque part.
Cela rend le chiffrement :
▪️𝗗𝗲𝗰𝗿𝘆𝗽𝘁𝗮𝗯𝗹𝗲 → Toute personne disposant de la clé (intentionnelle ou malveillante) peut accéder aux données.
▪️𝗖𝗼𝗺𝗽𝗹𝗲𝘅 𝗳𝗼𝗿 𝗣𝗖𝗜 𝗖𝗼𝗺𝗽𝗹𝗶𝗮𝗻𝗰𝗲 → Vous êtes désormais considéré comme un environnement PCI, et les exigences et les coûts d’audit augmentent considérablement.
▪️𝗗𝗶𝗳𝗳𝗶𝗰𝘂𝗹𝘁 𝘁𝗼 𝗜𝘀𝗼𝗹𝗮𝘁𝗲 → Surtout dans les systèmes hérités où les clés de chiffrement peuvent être codées en dur ou mal renouvelées.
Pour de nombreuses entreprises, les données chiffrées des titulaires de cartes sont conservées « au cas où », une mauvaise habitude qui devient un handicap.
𝗧𝗼𝗸𝗲𝗻𝗶𝘇𝗮𝘁𝗶𝗼𝗻 : 𝗔 𝗕𝗲𝘁𝘁𝗲𝗿 𝗔𝗹𝘁𝗲𝗿𝗻𝗮𝘁𝗶𝘃𝗲
La tokenisation résout un problème différent : comment éviter complètement le stockage de données sensibles.
🔹𝗡𝗼 𝗣𝗔𝗡 𝘀𝘁𝗼𝗿𝗲𝗱 = 𝗻𝗼 𝘁𝗮𝗿𝗴𝗲𝘁 → Un jeton est une référence, inutile en cas d'interception ou de fuite.
🔹𝗩𝗮𝘂𝗹𝘁𝗲𝗱 𝗢𝗳𝗳𝘀𝗶𝘁𝗲 → Les coffres-forts de jetons tiers (comme VGS, Spreedly ou les PSP comme Adyen) stockent le PAN réel.
🔹𝗥𝗲𝗱𝘂𝗰𝗲𝘀 𝗣𝗖𝗜 𝗦𝗰𝗼𝗽𝗲 → Étant donné qu'aucun PAN/CVV ne touche votre environnement, vos systèmes peuvent être considérés comme hors de portée.
Contrairement au chiffrement, les jetons ne reposent pas sur des clés cryptographiques. Ils sont mappés aux données d'origine dans un coffre-fort, lui aussi chiffré.
𝗪𝗵𝘆 𝗧𝗵𝗶𝘀 𝗠𝗮𝘁𝘁𝗲𝗿𝘀
À l'ère de la norme PCI-DSS 4.0, le stockage de données de cartes chiffrées à des fins de secours, de reporting ou de retraitement ouvre la voie à :
→ Audits coûteux
→ Risque accru de violation
→ Intégrations et lancements de produits plus lents
La tokenisation offre une solution innovante avec une sécurité renforcée, une conformité plus rapide et une architecture simplifiée.
𝗨𝘀𝗲 𝗖𝗮𝘀𝗲 : 𝗔 𝗚𝗿𝗼𝘄𝗶𝗻𝗴 𝗧𝗿𝗮𝘃𝗲𝗹 𝗣𝗹𝗮𝘁𝗳𝗼𝗿𝗺 𝗪𝗮𝗻𝘁𝘀 𝘁𝗼 𝗦𝘁𝗼𝗿𝗲 𝗖𝗮𝗿𝗱𝘀 📌
Une start-up spécialisée dans la réservation de voyages souhaite permettre à ses clients de « sauvegarder leurs cartes » pour des voyages ultérieurs. Dans un premier temps, elle chiffre les PAN et les stocke sur site. Mais après avoir échoué à un audit PCI, ils migrent vers un coffre-fort de jetons.
Voici les changements :
✅ Les cartes enregistrées deviennent des jetons, et non des PAN.
✅ Le coffre-fort gère la détokenisation, uniquement lors d'une transaction.
✅ Le périmètre PCI est réduit, ce qui réduit les coûts et libère des ressources.
✅ La responsabilité est réduite, ce qui renforce la confiance des investisseurs et des partenaires.
Résultat final ? Une méthode plus rapide, plus sûre et plus conforme pour gérer les données sensibles.
𝗧𝗮𝗸𝗲𝗮𝘄𝗮𝘆
Le chiffrement et la tokenisation jouent tous deux un rôle, mais si vous stockez les données des titulaires de carte pour une utilisation ultérieure, la tokenisation réduit considérablement vos risques et votre charge de conformité.
Source : McKinsey & Company, VGS
🚨Suivez Jason Heister pour des guides quotidiens sur la #fintech et les #paiements, des analyses techniques et des analyses sectorielles.
