Rapport annuel 2006 La sécurité des données de cartes de paiement dans la filière de personnalisation
En complément de létude menée lan dernier sur la sécurité des données de cartes dans la filière acquisition, lObservatoire a analysé les mesures de sécurité mises en uvre lors des opérations de « personnalisation »des cartes, sur la base dun questionnaire adressé aux représentants des émetteurs et des personnalisateurs de cartes. La personnalisation est un ensemble dopérations consistant à préparer et introduire sur les cartes vierges produites par les industriels les informations relatives à lémetteur et au titulaire en vue de permettre leur utilisation par les porteurs. Elle inclut également les phases dexpédition des cartes personnalisées et des codes confidentiels.
La filière personnalisation Les émetteurs peuvent soit faire réaliser les opérations de personnalisation par leurs propres services, soit recourir à des prestataires spécialisés (ateliers de personnalisation ou personnalisateurs). Les personnalisateurs réceptionnent les cartes vierges produites par les industriels, non utilisables à ce stade. Séparément, ils reçoivent part les données transmises par lémetteur, comportant les éléments didentification du porteur (nom, adresse denvoi de la carte) et de la carte (numéro de la carte, type de carte), les modalités dusage de la carte (paiement et/ou retrait, plafond dutilisation, autorisation systématique), ainsi que des informations de gestion administrative (mode de distribution, adresse, conditionnement). Ils les complètent en y associant des données secrètes (codes confidentiels, clés et cryptogrammes) et des données de gestion administrative de la production (éléments de traçabilité). Intervient ensuite lenregistrement des données sur la carte, réalisé par la machine de personnalisation. Enfin, le personnel procède au contrôle et à la mise sous pli des cartes, en vue de leur expédition vers les porteurs ou les centres de répartition des agences bancaires. Dans le cas des cartes de paiement fonctionnant avec un code confidentiel (PIN), il peut également procéder à lenvoi du code par courrier sécurisé (dit « mailer »).
Les mesures de sécurité Les informations et les produits intervenant dans les différentes étapes de la personnalisation constituent des éléments sensibles qui, sils étaient détournés ou copiés, pourraient être utilisés pour réaliser des paiements frauduleux.