Qu’est-ce que l’authentification forte ?
Concrètement, cela signifie que le client qui souhaite initier des paiements sur Internet devra protéger son accès à des données de paiement sensibles et ses opérations par un processus qui assure que c’est un utilisateur légitime qui ordonne le paiement. Avant l’exécution de toute opération de paiement, la banque doit s’assurer de l’identité du client. La banque équipe donc ses clients de solutions d’authentification forte, telles que Safetrans ou K-Sign. Mais qu’entend-on par « authentification forte » ?
Le régulateur la définit comme une procédure qui utilise au moins deux des éléments suivants :
- Un élément que seul l’utilisateur connaît (mot de passe, identifiant,...).
- Un élément que l’utilisateur possède (téléphone mobile, jeton d’authentification,...), ou un élément qui le caractérise (données biométriques).
Du côté des sites marchands
Pour les opérations de paiement électronique, l’authentification forte peut passer par :
- Le protocole 3D Secure permet de s’assurer, lors d’un paiement en ligne, que la carte est bien utilisée par son porteur.
- La norme PCI DSS (Payment Card Industry Data Security Standard) est une autre illustration de la recherche de plus de sécurité. Ce standard protège les données liées à la carte bancaire :
- Pas de stockage du cryptogramme visuel.
- Protection des données du porteur.
- Protection des systèmes contre les logiciels malveillants.
- Cryptage des données transmises sur les réseaux publics ouverts.
- ...
Ce standard s’applique à tous les prestataires qui gèrent les données liées à la carte bancaire.