La segmentation par jetons de paiement expliquée

La « segmentation en jetons » est un terme de paiement très à la mode, particulièrement en raison de l’intérêt accru pour les applications de paiements mobiles comme Apple Pay. Bien que son fonctionnement soit assez complexe, ce qu’elle accomplit est plutôt simple : la segmentation en jetons ajoute une couche de protection supplémentaire aux données confidentielles des cartes de crédit.

Dans cet article :

Qu'est-ce que la segmentation en jetons?

La segmentation en jetons (ou unités) est le processus de protection des données confidentielles qui consiste à les remplacer par un nombre généré par des algorithmes appelé « jeton ». La segmentation en jetons sert généralement à prévenir la fraude par carte de crédit.
Dans la segmentation en jetons des cartes de crédit, le numéro de compte primaire (PAN) est remplacé par une série de chiffres générés de façon aléatoire, appelée « jeton ». Ces jetons peuvent ensuite être acheminés sur Internet ou dans les différents réseaux sans fil nécessaires pour traiter le paiement sans exposition des détails bancaires réels. Le véritable numéro de compte bancaire est conservé en sécurité dans un coffre de jetons sécurisé.
Tokenization process

La segmentation en jetons vise à prévenir la duplication par les escrocs de vos renseignements bancaires sur une autre carte. Alors que les cartes à puce assurent une protection contre la fraude lorsqu’une personne paie dans un magasin ayant pignon sur rue, la segmentation en jetons vise principalement à lutter contre les violations en ligne ou numériques.

Segmentation en jetons des cartes de crédit - Historique

Les techniques de substitution, comme la segmentation en jetons, sont utilisées depuis des décennies pour isoler les données dans des écosystèmes comme les bases de données. Historiquement, le chiffrement avec « clés » cryptographiques réversibles était la méthode de prédilection pour protéger les données sensibles.

Selon un spécialiste en chiffrement de l’université Stanford, « le chiffrement est la transformation des données en une forme illisible pour tous ceux qui ne possèdent pas la clé de déchiffrement secrète. Son but est de garantir la confidentialité des données en maintenant les renseignements cachés pour toutes les personnes auxquelles ils ne sont pas destinés, même celles qui peuvent voir les données chiffrées. Par exemple, une personne pourrait vouloir chiffrer des fichiers sur un disque dur pour empêcher un intrus de les lire. »
Le chiffrement est utilisé en différentes situations, de la dissimulation des messages privés dans les applications poste à poste au transfert des renseignements confidentiels dans un environnement vulnérable. Cependant, depuis peu, les experts en paiement constatent que de plus en plus d’organisations effectuent une transition du chiffrement à la segmentation en jetons comme méthode plus rentable (et plus sécuritaire) de protection et de sauvegarde des renseignements confidentiels.

Actuellement, la segmentation en jetons trouve l’un de ses usages les plus répandus dans le secteur du traitement des paiements. La segmentation en jetons permet aux utilisateurs d’enregistrer les renseignements de carte de crédit dans des porte-monnaie mobiles, des solutions de commerce électronique et des terminaux de PDV, afin de permettre le débit renouvelé des cartes sans exposition des renseignements réels de la carte.

Acceptez les cartes à puce et Apple Pay partout.

Commandez le Square Reader sans contact et cartes à puce.

La segmentation en jetons par rapport au chiffrement

Critères Segmentation en jetons Chiffrement
Données PAN affichées   X
Réversible mathématiquement   X
Réduit la portée des normes PCI X  
Souplesse des paiements : remboursements, rétrofacturations, paiements récurrents, etc. {{name}} {{variationName}} x {{quantity}}  
Rotation des clés requise   X
Sécurité de bout en bout X  
Faible coût par transaction X  
Format adapté aux champs des anciennes cartes de crédit X  
Gestion centralisée X  
Sécurité éprouvée   X

La segmentation en jetons remplace les détails sensibles du titulaire de la carte par un jeton de remplacement. Cela contribue à sécuriser les détails du compte bancaire du client dans le cadre des transactions par carte de crédit et de commerce électronique.

Le chiffrement de bout en bout (aussi appelé « chiffrement du champ de données ») d’autre part, chiffre les données du titulaire de la carte à l’origine, puis les déchiffre à la destination finale. Parmi les exemples de chiffrement de bout en bout, on retrouve notamment les connexions VPN, la fonctionnalité iMessage d’Apple et d’autres applications de messagerie comme WhatsApp.

La segmentation en jetons et le chiffrement sont utilisés afin de réduire la portée des normes de conformité PCI en réduisant le nombre de systèmes ayant accès aux informations de la carte de crédit du client.
Bien que les deux techniques aient leur place dans la technologie des paiements, la segmentation en jetons se démarque rapidement comme étant une solution plus efficace et plus sécuritaire pour protéger les informations de la carte du client et réduire la portée des normes de conformité PCI. Contrairement aux données qui sont chiffrées, les jetons ne sont pas réversibles mathématiquement à l’aide d’une clé de déchiffrement et les données PAN ne sont jamais affichées.

Exemples de segmentation en jetons

Comment met-on à profit la segmentation en jetons dans le secteur des paiements? De trois façons. La première consiste pour les entreprises à enregistrer les « données de carte dans leurs dossiers » en vue de la facturation des abonnements et des paiements récurrents. La deuxième consiste pour les sites de commerce électronique à offrir aux clients fidèles le paiement « en un seul clic », et la troisième (peut-être celle dont on a le plus entendu parler récemment) consiste à l’intégrer dans les porte-monnaie mobiles CCP comme Apple Pay et Google Pay.

Le fonctionnement de la segmentation en jetons des paiements

Voici comment la segmentation en jetons contribue à vous protéger, selon les différentes situations de paiement :
Segmentation en jetons Apple Pay. Après que vous avez pris une photo de votre carte de crédit et que vous l’avez transférée dans votre iPhone 6, 7 ou 7s, Apple envoie les données de votre carte à la banque émettrice de la carte ou au réseau, qui remplace ensuite les données bancaires par une série de chiffres générés au hasard (le jeton). Le nombre aléatoire est retourné à Apple, qui le programme ensuite dans votre téléphone. Cela signifie qu’il est impossible aux fraudeurs de cloner les données de carte qui se trouvent dans votre téléphone pour en tirer quelque chose d’utile.

La segmentation en jetons Google Pay. La segmentation en jetons dans Google Pay fonctionne à peu près de la même façon. Lorsque vous chargez vos données de carte dans l’application, Google crée un jeton « de remplacement », qui représente le numéro de compte réel. Il est ainsi à peu près impossible à qui que ce soit de découvrir les données réelles de votre carte de crédit.
La segmentation en jetons dans les applications. Disons que vous vouliez acheter quelque chose directement à partir d’une application dans votre téléphone : des billets de concert, des vêtements, des livres ou quoi que ce soit d’autre. Si votre téléphone contient un jeton, aucune de ces applications n’aura accès aux données de votre carte. Autrement dit, au moment de l’achat, vos données bancaires seront protégées, car incompréhensibles pour les fraudeurs. L’utilisation d’un compte segmenté en jetons peut aussi faciliter le passage en caisse, car de nombreuses applications pourront directement utiliser les données d’expédition enregistrées.

Segmentation en jetons pour le commerce électronique. La segmentation en jetons contribue également à protéger vos activités de magasinage en ligne. Vous achetez une table à café sur Ikea.com, par exemple. Si IKEA a segmenté en jetons les chiffres de la carte enregistrée au dossier, vos renseignements sont en sécurité même si IKEA subit un piratage (ce qui n’est jamais arrivé). En fait, le détaillant ne verra jamais et n’enregistrera pas le numéro de carte de crédit; alors, si quelqu’un s’introduit dans le système, il ne verra que des jetons générés de façon aléatoire. Et voici un autre point vraiment intéressant : un nouveau jeton est généré pour chaque détaillant en ligne — vous aurez donc un code différent à chaque endroit où vous magasinez. Par conséquent, si un détaillant est victime d’une violation de la sécurité, tous les jetons délivrés à ce site Web peuvent être désactivés, sans que vous ayez à demander une nouvelle carte.

En résumé, la segmentation en jetons est un sujet compliqué, mais il est important d’en connaître les fondements. Il s’agit d’une évolution stimulante destinée à améliorer la sécurité de tous les types de paiement.

FAQ concernant la segmentation en jetons

Les données segmentées en jetons sont-elles réversibles?
Les données segmentées en jetons ne sont pas réversibles mathématiquement à moins de posséder la clé d’origine utilisée pour créer le jeton.

Comment les jetons sont-ils générés?
Les jetons peuvent être générés par des algorithmes mathématiquement réversibles, des fonctions cryptographiques unidirectionnelles non réversibles ou des tableaux statiques schématisés permettant de générer des valeurs de jeton aléatoires.

L’utilisation de la segmentation en jetons assure-t-elle ma conformité aux normes PCI?
L’utilisation de la segmentation en jetons en elle-même ne garantira pas votre conformité aux normes PCI, mais elle constitue une « pratique exemplaire » et peut contribuer à réduire la portée des normes PCI DSS. Apprenez-en davantage au sujet des meilleures pratiques du Conseil des normes de sécurité PCI pour choisir un fournisseur de segmentation en jetons. Square fournit une solution abordable et conforme aux normes PCI.

Articles connexes :
En quoi consiste la CCP? Tout ce que vous devriez savoir sur la communication en champ proche
En savoir plus sur le traitement des paiements de Square
Introduction aux paiements mobiles