Qu'est-ce que la portabilité des données de carte de crédit ?

La portabilité des données de cartes de crédit est un mécanisme permettant de transférer les données de paiement des clients, spécifiquement les Numéros de Compte Primaires (PAN), entre différents prestataires de services de paiement (avec des considérations de sécurité et de conformité). Cela indique une corrélation possible entre la diversification des institutions financières pour le stockage des cartes et certains avantages commerciaux.

Voici les principales caractéristiques des systèmes portables :

•       Exportation sécurisée: Le système offre un processus d'exportation de données conformes PCI vers un autre fournisseur, sous réserve d'une demande formelle.
•     Normalisation du format: Garantir que les données transférées sont dans un format que la partie réceptrice peut utiliser.
•       Compatibilité de la tokenisation: Utilisation de jetons qui peuvent être échangés ou redirigés entre différentes passerelles de traitement.
•   Maintien de la conformité: Maintenir une chaîne de traçabilité ininterrompue qui respecte les normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS).

Le transfert de données des marchands peut influencer leurs interactions avec les fournisseurs de paiement et potentiellement impliquer des dépendances envers des processeurs ou des vendeurs spécifiques. Une pratique courante parmi les fournisseurs implique des systèmes de tokenisation propriétaires ; lorsque les cartes sont stockées auprès de ces fournisseurs, les jetons résultants ne fonctionnent généralement que dans leur environnement.

Lorsqu'un marchand quitte, des frais de sortie peuvent être appliqués par le fournisseur, et la restitution des données peut présenter des considérations de compatibilité de format pour divers systèmes. Finextra suggère une relation possible entre la dépendance vis-à-vis du fournisseur et les entreprises qui subissent une différence de 20% à 30% dans les frais de traitement, ce qui peut être lié à des changements dans les positions de négociation avec leur fournisseur actuel.

La portabilité est considérablement impactée par les exigences PCI DSS (Norme de Sécurité des Données de l'Industrie des Cartes de Paiement). Plus précisément, les marchands évitent souvent ou ont l'interdiction de stocker les numéros de carte de crédit non chiffrés sur leurs serveurs, ce qui peut réduire certains risques. Par conséquent, au lieu de gérer eux-mêmes les données, les marchands utilisent les services du fournisseur qui stockent les données et émettent ensuite un “jeton”.

De part et d'autre, les fournisseurs doivent se conformer aux normes PCI de niveau 1 pour que la migration des données soit possible. De plus, les données doivent être transférées de manière sécurisée et chiffrées pendant le processus de migration, qui est un processus “vault-to-vault”. Un tel transfert maintient le commerçant hors du périmètre PCI, les données ne passent pas par les mains du commerçant, mais permet néanmoins le déplacement des données.

Conceptuellement, il s'agit d'un transfert entre deux environnements sécurisés distincts. Le commerçant demande la migration des données, et le fournisseur actuel utilise la clé publique du nouveau fournisseur (la Destination) pour chiffrer la base de données des numéros de carte.

1.   Demande: Le commerçant initie l'exportation des données du Fournisseur A.
2.   Sécurisation: Le Fournisseur A protège les PAN et les dates d'expiration par chiffrement.
3.   Envoi: Les données sont transférées en utilisant un SFTP sécurisé ou une API dédiée..
4.   Réception: Le Fournisseur B décrypte les informations et émet de nouveaux jetons pour l'usage du marchand.​‍​‌‍​‍‌​‍​‌‍​‍‌

Un​‍​‌‍​‍‌​‍​‌‍​‍‌ coffre-fort de jetons neutre ou centralisé fait référence à une entité tierce qui est séparée de l'environnement du processeur de paiement. Au lieu que le processeur maintienne les données de carte, le coffre-fort le fait. Lorsqu'il est nécessaire d'effectuer une transaction par carte, le coffre-fort transmet les informations au processeur que le commerçant a sélectionné.

L'accès aux données portables permet aux entreprises d'envisager une approche multi-PSP. Cela permet à un marchand de se connecter à plusieurs les processeurs de paiement simultanément. Par exemple, si le Processeur A offre un meilleur taux pour les cartes européennes et que le Processeur B est moins cher pour les cartes américaines, le marchand peut diriger les transactions vers le processeur approprié.

Éléments à prendre en compte lors de l'élaboration d'une stratégie multi-processeurs :

•   Portée géographique: Le fournisseur propose-t-il les méthodes de paiement locales?
•   Optimisation des coûts: Avez-vous la possibilité d'opter pour le “routage au moindre coût” en temps réel ?
•   Charge technique: Votre équipe a-t-elle la capacité de gérer plusieurs Intégrations API?