PAIEMENT SÉCURISÉ

 

1.   PRINCIPE DE SECURISATION DES PAIEMENTS

Grâce aux technologies employées et à l'absence d'imprimé mentionnant en clair le numéro de carte bancaire, nous affirmons qu'il est plus sécurisant de payer avec sa carte bancaire sur les sites affiliés à HSBC que dans la plupart des commerces de proximité.

L'ensemble des phases de paiement entre l'acheteur et HSBC est entièrement crypté et protégé. Le protocole utilisé est SSL, couplé à de la monétique bancaire.

Cela signifie que les informations liées à la commande et le numéro de la carte bancaire ne circulent pas en clair sur internet.

Le numéro de carte bancaire n'est imprimé sur aucun papier, facture, facturette ou listing.

SPOOTNIK© n'a accès ni de façon informatique, ni de façon papier aux coordonnées des cartes bancaires des acheteurs.

Le risque de se faire " pirater " son numéro de carte bancaire lors d'un achat sur SPOOTNIK© est nul. 

 

2.   ETAPES DE SECURISATION DES PAIEMENTS SUR INTERNET

A chaque demande de paiement, l'acheteur bascule du site SPOOTNIK© vers le serveur de paiement HSBC.

2.1.   L'acheteur arrive sur une page de paiement cryptée SSL.

2.2.   Saisie du numéro de carte, date de fin de validité, cryptogramme visuel et demande d'autorisation. La liaison entre l'acheteur et le serveur HSBC est établie en HTTPS, protocole sécurisé avec SSL, qui crypte l'ensemble des informations échangées. Cette protection protège les données envoyées par internet et garantit à l'acheteur que son numéro de carte bancaire ne peut être intercepté en clair par un tiers durant son transfert vers le serveur sécurisé HSBC. La page d'accueil de HSBC informe l'acheteur sur son achat (présentation du nom SPOOTNIK©, garantissant que le commerce a été authentifié).

2.3.   Lorsque le numéro de carte a passé un premier niveau de contrôle (clé de Luhn, oppositions, …), le serveur HSBC émet une demande d'autorisation. Ceci est réalisé en utilisant les protocoles bancaires normalisés sur un réseau de télécommunication spécialisé.

2.4.   Le centre d'autorisation de la banque renvoie un numéro d'autorisation ou un refus. Si le paiement est accepté, HSBC effectue alors les opérations suivantes :

  • envoi du ticket de paiement par email à l'acheteur et à SPOOTNIK©
  • le numéro de carte n'est par contre JAMAIS envoyé à SPOOTNIK©

2.5.    L'acheteur est ensuite automatiquement redirigé vers le serveur du commerçant, où il peut reprendre le cours de sa visite.

Un processus particulier, développé par HSBC, permet de surveiller en temps réel le comportement du porteur, notamment pour éviter l'utilisation du serveur de paiement comme testeur de numéros de carte générés automatiquement, ou pour d'autres types d'attaques :

  • recherche de BIN par incrément, dérivation ou masque
  • multiplication des essais avec différentes dates d'expiration
  • adresses (IP) porteurs aléatoires
  • carte "nomade"

 

3.   VERIFICATION DU MODE SECURISE

Dans ce cas, un cadenas fermé apparaît en bas de la fenêtre du logiciel de navigation.

Le début de l'adresse du site http://www indiqué en haut de l'écran passe en https://www. Le " S " qui suit " http " signale que la communication est protégée. 

 

4.   SECURISATION DE LA PLATEFORME DE PAIEMENT

HSBC est naturellement agrée par  et  dans le cadre du programme PCI DSS.

Les différents audits menés ont validé que HSBC appliquait un haut niveau de sécurité et d’intégrité, complété d'une action soutenue de veille technologique, afin de maintenir l'infrastructure de sa double plate forme.

Ce programme PCI DSS impose des normes de sécurité définies par VISA, MASTERCARD, le GROUPEMENT CARTE BANCAIRE, ainsi que AMERICAN EXPRESS et de nombreux systèmes de paiement.