La tokenisation, ça vous parle ?

Accueil Geek La tokenisation, ça vous parle ?

Pour les banques, les e-commerçants et les différents opérateurs qui effectuent des transactions en ligne, la sécurité des données personnelles des clients constitue un enjeu majeur.

Des réglementations, comme le PCI-DSS, sont apparues pour contrôler et certifier le niveau de sécurité de ces différents acteurs. Seulement, elles s’avèrent plutôt contraignantes, surtout pour les banques de l’hexagone. Parallèlement, la tokenisation apparaît comme une solution à la fois fiable et plus simple à gérer pour protéger les informations sensibles.

Qu’est-ce qu’un token ?

Lorsqu’une personne effectue une transaction en ligne, elle doit communiquer ses coordonnées afin de finaliser le paiement digital. Ces informations sont reçues, stockées et gérées par le destinataire, c’est-à-dire l’établissement auprès duquel l’opération s’effectue (boutique en ligne, par exemple).

Ainsi, les coordonnées bancaires sont transmises en ligne. Elles sont souvent chiffrées pour prévenir toute tentative de piratage. Toutefois, le mécanisme de cryptage ou de décryptage peut s’effectuer dans les deux sens, et une information reste potentiellement accessible aux intrus, qui peuvent donc décoder les données échangées.

Dans le cadre de la tokenisation, les informations sont remplacées par des données non sensibles, c’est-à-dire un alias, un jeton ou un « token ». Plus précisément, le Primary Account Number ou PAN de chaque carte est remplacé par un identifiant généré de manière aléatoire. Ce dernier ne possède aucune valeur sensible, même si les hackers venaient à en prendre connaissance.

Par ailleurs, il s’agit d’un processus non réversible, qui s’exécute uniquement dans un sens. Il est donc impossible de décoder le token en retour. C’est un système fermé, et le token une fois sorti du processus ne possède aucune valeur d’identification. La tokenisation consiste donc à masquer les informations en séparant les données du code qui les recouvre.

Le token peut comporter une partie des caractéristiques des numéros de carte tokenisés, par exemple une portion du BIN (Bank Identification Number). Il peut servir à remplacer, et donc à protéger divers types d’informations concernant le paiement mobile ou bancaire (numéros de carte, notamment), la santé (ex : numéro de sécurité sociale) et l’identification en général (carte d’identité, permis de conduire, passeport…).

Tokenisation et paiement mobile

On appelle Token Requestor (TR) l’organisme qui a besoin de transformer les informations en tokens. Il peut s’agir d’une banque ou d’un marchand. Le Token Service Provider (TSP) opère pour sa part le processus de tokenisation, en prenant en charge la boucle d’autorisation. Il stocke les informations et les transmet sous forme détokenisée à l’émetteur initial lors de la demande d’autorisation. Voici les détails du processus dans le cas d’un paiement mobile :

  • Transmission des données du consommateur vers le TSP ;
  • Transmission des données vers le réseau de paiement et obtention de l’autorisation ;
  • Transformation des informations en tokens et stockage des données par le TSP ;
  • Envoi d’un message et d’un token utilisable du TSP vers le TR.

Dans ce processus de tokenisation, le TSP joue un rôle central, car il est responsable des données sensibles échangées. Celles-ci ne passent plus dans le système du TR, et ce dernier n’a pas à stocker ni à gérer la confidentialité des informations transmises.

Aujourd’hui, les pays possédant un réseau interbancaire dense construisent des TSP locaux adaptés à la configuration nationale existante. Pour les pays où l’utilisation de cartes, codes et paiement mobile est relativement récente (ex : Arabie Saoudite), la mise en place de TSP domestiques répond au désir de contrôler les informations et de les garder sur le territoire national dans une optique de souveraineté.

Comme l’explique cet article, beaucoup d’entreprises semblent aussi être intéressées par cette technologie révolutionnaire. Néanmoins, on constate que les premiers TSP restent les grands acteurs du paiement international. Visa et MasterCard ont déjà adopté la tokenisation au sein de leur infrastructure.

Mathilde
Mathilde
Tout d'abord si c'est votre première visite je vous souhaite la bienvenue sur mon blog, mettez-vous à l'aise. Sur Nerd-out je traite beaucoup de sujets, généralement liés de près ou de loin à la technologie et la culture Geek. Ce blog est un moyen pour moi de faire ma veille ainsi que de confronter mes opinions aux vôtres, alors qu'est-ce-que vous attendez ? Lisez !

LAISSER UN COMMENTAIRE

Please enter your name here
Please enter your comment!

À ne pas manquer

Que valent les talkies walkies Baofeng ?

Que valent vraiment les talkies walkies signés Baofeng ? Quel est le point commun entre les passionnés du plein air, les baroudeurs, les agents de sécurité,...

Le Growth Driven Design ou le site en amélioration permanente

Le Growth Driven Design est un procédé par lequel le marketing et le design collaborent pour accomplir des buts communs et des meilleures performances. Aujourd’hui,...

La tokenisation, ça vous parle ?

Pour les banques, les e-commerçants et les différents opérateurs qui effectuent des transactions en ligne, la sécurité des données personnelles des clients constitue un...

Comment les partenariats Youtube ont-ils fait exploser la notoriété de RAID Shadow Legends

RAID Shadow Legends est un jeu gratuit en ligne développé par PLARIUM , classé dans la catégorie MMORPG. Lancé le 28 Février 2019, il...

La technologie NFC au cœur de notre quotidien

Que peut nous apporter la technologie NFC au quotidien ? La technologie NFC est arrivée en France en 2013. Il s’agit d’un système intégré dans une...