La tokenisation, ça vous parle ?

Accueil Geek La tokenisation, ça vous parle ?

Pour les banques, les e-commerçants et les différents opérateurs qui effectuent des transactions en ligne, la sécurité des données personnelles des clients constitue un enjeu majeur.

Des réglementations, comme le PCI-DSS, sont apparues pour contrôler et certifier le niveau de sécurité de ces différents acteurs. Seulement, elles s’avèrent plutôt contraignantes, surtout pour les banques de l’hexagone. Parallèlement, la tokenisation apparaît comme une solution à la fois fiable et plus simple à gérer pour protéger les informations sensibles.

Qu’est-ce qu’un token ?

Lorsqu’une personne effectue une transaction en ligne, elle doit communiquer ses coordonnées afin de finaliser le paiement digital. Ces informations sont reçues, stockées et gérées par le destinataire, c’est-à-dire l’établissement auprès duquel l’opération s’effectue (boutique en ligne, par exemple).

Ainsi, les coordonnées bancaires sont transmises en ligne. Elles sont souvent chiffrées pour prévenir toute tentative de piratage. Toutefois, le mécanisme de cryptage ou de décryptage peut s’effectuer dans les deux sens, et une information reste potentiellement accessible aux intrus, qui peuvent donc décoder les données échangées.

Dans le cadre de la tokenisation, les informations sont remplacées par des données non sensibles, c’est-à-dire un alias, un jeton ou un « token ». Plus précisément, le Primary Account Number ou PAN de chaque carte est remplacé par un identifiant généré de manière aléatoire. Ce dernier ne possède aucune valeur sensible, même si les hackers venaient à en prendre connaissance.

Par ailleurs, il s’agit d’un processus non réversible, qui s’exécute uniquement dans un sens. Il est donc impossible de décoder le token en retour. C’est un système fermé, et le token une fois sorti du processus ne possède aucune valeur d’identification. La tokenisation consiste donc à masquer les informations en séparant les données du code qui les recouvre.

Le token peut comporter une partie des caractéristiques des numéros de carte tokenisés, par exemple une portion du BIN (Bank Identification Number). Il peut servir à remplacer, et donc à protéger divers types d’informations concernant le paiement mobile ou bancaire (numéros de carte, notamment), la santé (ex : numéro de sécurité sociale) et l’identification en général (carte d’identité, permis de conduire, passeport…).

Tokenisation et paiement mobile

On appelle Token Requestor (TR) l’organisme qui a besoin de transformer les informations en tokens. Il peut s’agir d’une banque ou d’un marchand. Le Token Service Provider (TSP) opère pour sa part le processus de tokenisation, en prenant en charge la boucle d’autorisation. Il stocke les informations et les transmet sous forme détokenisée à l’émetteur initial lors de la demande d’autorisation. Voici les détails du processus dans le cas d’un paiement mobile :

  • Transmission des données du consommateur vers le TSP ;
  • Transmission des données vers le réseau de paiement et obtention de l’autorisation ;
  • Transformation des informations en tokens et stockage des données par le TSP ;
  • Envoi d’un message et d’un token utilisable du TSP vers le TR.

Dans ce processus de tokenisation, le TSP joue un rôle central, car il est responsable des données sensibles échangées. Celles-ci ne passent plus dans le système du TR, et ce dernier n’a pas à stocker ni à gérer la confidentialité des informations transmises.

Aujourd’hui, les pays possédant un réseau interbancaire dense construisent des TSP locaux adaptés à la configuration nationale existante. Pour les pays où l’utilisation de cartes, codes et paiement mobile est relativement récente (ex : Arabie Saoudite), la mise en place de TSP domestiques répond au désir de contrôler les informations et de les garder sur le territoire national dans une optique de souveraineté.

Comme l’explique cet article, beaucoup d’entreprises semblent aussi être intéressées par cette technologie révolutionnaire. Néanmoins, on constate que les premiers TSP restent les grands acteurs du paiement international. Visa et MasterCard ont déjà adopté la tokenisation au sein de leur infrastructure.

Mathilde
Mathilde
Tout d'abord si c'est votre première visite je vous souhaite la bienvenue sur mon blog, mettez-vous à l'aise. Sur Nerd-out je traite beaucoup de sujets, généralement liés de près ou de loin à la technologie et la culture Geek. Ce blog est un moyen pour moi de faire ma veille ainsi que de confronter mes opinions aux vôtres, alors qu'est-ce-que vous attendez ? Lisez !

LAISSER UN COMMENTAIRE

Please enter your name here
Please enter your comment!

À ne pas manquer

Devenir un espion

Adeptes de films d’espionnage, vous rêvez de devenir un espion incognito pour surveiller certains événements dans la vie. Vous voulez vous mettre dans la...

Changez votre manière de regarder des vidéos grâce à un mini projecteur

Désormais, les appareils issus de la nouvelle technologie se font plus minimalistes et plus pratiques au quotidien. D’ailleurs, le vidéoprojecteur n’échappe pas...

Comment le SIRH se mêle t-il à la au métier de RH

Les SIRH sont de plus en plus utilisés par les services de ressources humaines pour gérer et optimiser leurs tâches quotidiennes. Découvrez les caractéristiques...

5 éléments informatiques essentiels pour le télétravail

Aujourd’hui, selon une étude menée par Odoxa, 14% des Français pratiquent le télétravail. Un chiffre qui ne cesse de changer selon les...

L’avantage de l’écran interactif géant en salle de conférence

L’une des meilleures astuces pour favoriser le travail collaboratif et l’interaction dans une salle de conférence consiste à y installer un écran géant interactif....