Tokenisation
Pour rechercher dans la page utiliser Ctrl+F sur votre clavier
En matière de sécurisation des paiements, la tokenisation est le procédé qui remplace le numéro de carte (PAN), une des données sensibles, par une valeur alternative unique appelée « token » (jeton). Ce procédé préserve la sécurité des données de paiement lors des transactions car il évite l’utilisation et le stockage des informations originales de la carte.
Il existe deux types de tokenisation sur Worldline Sips :
-
Le merchant token (ou token PAT) :
- Le numéro de carte (PAN) est récupéré par Worldline Sips qui le transforme en merchant token et le stocke de manière sécurisée en respectant toutes les réglementations et les meilleures pratiques.
- Cette référence à la carte stockée (= token) vous est renvoyée. Elle ne contient aucune information sensible ou réglementée.
- Vous créez de nouveaux paiements ou remboursements en utilisant cette référence. Worldline Sips la transforme en PAN lors de l'acceptation de la transaction.
- Objectif principal : réduction du périmètre PCI du commerçant.
-
Le scheme token (aussi appelé network token) :
- La scheme tokenisation a pour objectif d'apporter une sécurisation plus importante sur la chaîne du paiement. Elle s'applique aux cas d'usage card-on-file, c'est-à-dire dès lors que vous stockez les données cartes du porteur pour une utilisation ultérieure.
- Les données de la carte sont utilisées pour demander à un fournisseur de services de tokens (Token Service Provider ou TSP) de générer un token.
- Le scheme token fait référence à la carte réelle qui sera utilisée pour le paiement. La date d'expiration du token diffère de celle de la carte. Le cycle de vie du scheme token peut être géré par l'émetteur et le TSP ainsi que par vous, qui pouvez par exemple le suspendre ou le réactiver.
- Les échanges avec l’acquéreur pour l’autorisation et la remise sont réalisés avec le scheme token. Le scheme détokenise le scheme token pour récupérer le PAN qui sera utilisé dans les échanges avec l’émetteur.
-
Il existe 2 types de scheme tokens :
- ceux qui sont liés à un device (ex. Apple Pay, …) utilisables par tous les commerçants,
- ceux qui sont définis et limités à un commerçant (ou enseigne).
- Objectif principal : chiffrement des données carte du commerçant jusqu'au réseau (scheme) en contrôlant mieux le stockage de la carte.
- Bénéfices : Possibilité de continuité des paiements même en cas de perte, de vol ou d'expiration de la carte.
Sujet | Merchant token | Scheme token |
---|---|---|
Périmètre | ||
Scheme | CB, VISA, MASTERCARD, AMEX | CB, VISA, MASTERCARD |
Cobadging CB |
Valable pour tous les schemes 1 PAN = 1 merchantToken pour CB, VISA et MASTERCARD |
Mono-scheme 1 scheme = 1 schemeToken Le scheme token correspond au scheme sélectionné pour effectuer la CIT ayant généré le scheme token Un second scheme token peut être généré avec le même PAN si une nouvelle CIT fortement authentifiée est réalisée avec l'autre scheme de la carte |
orderChannel | Internet, Inapp, MOTO | |
Type de transactions | MIT abonnement et multiple, et CIT OneClick | |
Acquéreurs supportés | Tous les acquéreurs |
Protocole d’autorisation CB2A 1.6.1 requis Contacter Worldline pour obtenir la liste des acquéreurs |
Gestion du cycle de vie du token | ||
Notification des événements (suppression, renouvellement, etc.) | N/A | A la main de l'émetteur, du TSP (Token Service Provider) et du commerçant |
Renouvellement du PAN |
peut éventuellement être géré par le commerçant via le service card updater disponible sur Sips Office pour CB uniquement - dépend de l'accord du titulaire de la carte donné à son émetteur |
Géré automatiquement par le service scheme token |
Conformité | ||
PCI DSS | Oui (supporté par Worldline Sips) | Oui (supporté par le scheme) |
DSP2 | Oui (application des mêmes règles) | |
Alias du PAN non sensible | merchantToken (champ tokenPAN) | schemeTokenReference (champ schemeTokenReference) |
Accès au PAN | Oui (méthode token2Pan) | Non (PAN connu uniquement par l'émetteur) - possibilité de retrouver les 4 derniers chiffres et la date d'expiration pour les afficher |
Activation | ||
Contractualisation | avec Worldline Sips | avec Worldline Sips et l'acquéreur |
Inscription et activation | avec Worldline Sips | avec Worldline Sips, le(s) scheme(s) et l'acquéreur |
Implémentation | ||
Interface Worldline Sips | Sips Office | |
Implémentation |
2 modes d'implémentation :
|
3 modes d'implémentation :
|
Format du token |
|
|