Pour les banques, les e-commerçants et les différents opérateurs qui effectuent des transactions en ligne, la sécurité des données personnelles des clients constitue un enjeu majeur.
Des réglementations, comme le PCI-DSS, sont apparues pour contrôler et certifier le niveau de sécurité de ces différents acteurs. Seulement, elles s’avèrent plutôt contraignantes, surtout pour les banques de l’hexagone. Parallèlement, la tokenisation apparaît comme une solution à la fois fiable et plus simple à gérer pour protéger les informations sensibles.
Qu’est-ce qu’un token ?
Lorsqu’une personne effectue une transaction en ligne, elle doit communiquer ses coordonnées afin de finaliser le paiement digital. Ces informations sont reçues, stockées et gérées par le destinataire, c’est-à-dire l’établissement auprès duquel l’opération s’effectue (boutique en ligne, par exemple).
Ainsi, les coordonnées bancaires sont transmises en ligne. Elles sont souvent chiffrées pour prévenir toute tentative de piratage. Toutefois, le mécanisme de cryptage ou de décryptage peut s’effectuer dans les deux sens, et une information reste potentiellement accessible aux intrus, qui peuvent donc décoder les données échangées.
Dans le cadre de la tokenisation, les informations sont remplacées par des données non sensibles, c’est-à-dire un alias, un jeton ou un « token ». Plus précisément, le Primary Account Number ou PAN de chaque carte est remplacé par un identifiant généré de manière aléatoire. Ce dernier ne possède aucune valeur sensible, même si les hackers venaient à en prendre connaissance.
Par ailleurs, il s’agit d’un processus non réversible, qui s’exécute uniquement dans un sens. Il est donc impossible de décoder le token en retour. C’est un système fermé, et le token une fois sorti du processus ne possède aucune valeur d’identification. La tokenisation consiste donc à masquer les informations en séparant les données du code qui les recouvre.
Le token peut comporter une partie des caractéristiques des numéros de carte tokenisés, par exemple une portion du BIN (Bank Identification Number). Il peut servir à remplacer, et donc à protéger divers types d’informations concernant le paiement mobile ou bancaire (numéros de carte, notamment), la santé (ex : numéro de sécurité sociale) et l’identification en général (carte d’identité, permis de conduire, passeport…).
Tokenisation et paiement mobile
On appelle Token Requestor (TR) l’organisme qui a besoin de transformer les informations en tokens. Il peut s’agir d’une banque ou d’un marchand. Le Token Service Provider (TSP) opère pour sa part le processus de tokenisation, en prenant en charge la boucle d’autorisation. Il stocke les informations et les transmet sous forme détokenisée à l’émetteur initial lors de la demande d’autorisation. Voici les détails du processus dans le cas d’un paiement mobile :
- Transmission des données du consommateur vers le TSP ;
- Transmission des données vers le réseau de paiement et obtention de l’autorisation ;
- Transformation des informations en tokens et stockage des données par le TSP ;
- Envoi d’un message et d’un token utilisable du TSP vers le TR.
Dans ce processus de tokenisation, le TSP joue un rôle central, car il est responsable des données sensibles échangées. Celles-ci ne passent plus dans le système du TR, et ce dernier n’a pas à stocker ni à gérer la confidentialité des informations transmises.
Aujourd’hui, les pays possédant un réseau interbancaire dense construisent des TSP locaux adaptés à la configuration nationale existante. Pour les pays où l’utilisation de cartes, codes et paiement mobile est relativement récente (ex : Arabie Saoudite), la mise en place de TSP domestiques répond au désir de contrôler les informations et de les garder sur le territoire national dans une optique de souveraineté.
Comme l’explique cet article, beaucoup d’entreprises semblent aussi être intéressées par cette technologie révolutionnaire. Néanmoins, on constate que les premiers TSP restent les grands acteurs du paiement international. Visa et MasterCard ont déjà adopté la tokenisation au sein de leur infrastructure.
